러시아 FSB, 美 IT 기업 향한 간첩 혐의 제기… '디지털 주권' 명분 쌓기인가, 정보전의 서막인가

여기서 핵심은 FSB가 클라우드플레어나 패스틀리 직원이 직접 악성 코드를 만들었다거나 해킹 자체를 지휘했다고 말하지는 않았다는 점이다. 대신 이 회사들의 '기술적 역량'이 작전에 '사용되었다'고만 밝혔는데, 이는 이들 기업의 콘텐츠 전송 네트워크(CDN)나 보안 서비스, 리버스 프록시 인프라가 데이터 빼내기나 명령 체계에 악용되었을 가능성을 암시하는 광범위한 표현이다 . 이를 뒷받침하기 위해 FSB는 샌프란시스코에 있는 클라우드플레어 사무실, 샌프란시스코와 런던에 있는 패스틀리 사무소, 그리고 뉴욕의 한 익명의 건물을 촬영한 영상까지 공개하며 스파이웨어 개발 및 운영 주체와의 연관성을 암시했다 .

FSB는 공식적으로 미국을 직접 지목하지는 않았지만, 영국 국방부를 비롯한 여러 정부 부처가 클라우드플레어와 패스틀리의 네트워크 보안 서비스를 이용하는 고객이라고 강조했다 . 러시아 국영 매체들은 이를 두고 곧바로 '미국과 영국 정보기관'이 모든 배후라고 특징지어 보도했다 .

어떤 독립적인 조사도 이 주장의 진위를 확인해주지 않았다. 클라우드플레어와 패스틀리는 이 구체적인 의혹에 대해 공식 입장을 내놓지 않았으며, 무엇보다 FSB는 악성 코드의 법의학적 증거는 물론, 트래픽 흐름을 보여주는 네트워크 로그, 혹은 서버 설정이 간첩 활동과 연결된다는 그 어떤 기술적 세부 사항도 제공하지 않았다. 이는 FSB 자체가 과거 수백만 개의 야후 계정을 해킹한 범죄 조직으로 미국 법무부에 기소된 바 있는 공격적인 사이버 행위자라는 점을 상기시킨다. 결국 이번 검증되지 않은 주장은 현역 라이벌 정보 기관의 일방적 주장일 뿐이다 .

반복되는 패턴: 서방 기술 기업 때리기

FSB가 서방 기술 기업을 정보 작전의 주체로 낙인찍은 것은 이번이 처음이 아니다. 2023년 6월, FSB는 미국 국가안보국(NSA)이 애플 아이폰의 취약점을 악용해 수천 명의 러시아 국민과 외국 외교관의 기기를 감염시켰으며, 애플이 NSA와 '직접 협력'했다고 공개적으로 주장한 바 있다 . 당시 애플은 이를 강력히 부인했고, 마찬가지로 어떤 기술적 증거도 나오지 않았다. 구조적 유사성은 충격적일 정도다. 즉, 저명한 서방 IT 기업의 인프라나 소프트웨어가 국가 차원의 스파이 활동의 직접적 도구라고 주장하면서도, 이를 뒷받침할 만한 영상 자료 외에 검증 가능한 데이터는 일절 존재하지 않는다는 점이다.

기술 규제에서 간첩죄 프레임으로: '클라우드플레어 길들이기'의 역사

이번 간첩 공모 의혹은 러시아 정부가 수년째 클라우드플레어의 트래픽을 조이거나 차단하고 신뢰를 떨어뜨리려 한 연속적인 작전 한복판에 떨어졌다.

• 2024년 10월: 러시아의 연방 통신 감독국 로스콤나드조르(Roskomnadzor)는 클라우드플레어의 '암호화된 클라이언트 헬로(ECH)' 프로토콜을 사용하는 웹사이트 수천 개를 차단했다. ECH는 통신 초기 핸드셰이크를 암호화해 통신사가 사용자가 어떤 사이트에 접속하는지 알기 어렵게 만드는 기술로, 당국은 이것이 트래픽 검열을 규정한 러시아 규정을 "위반한다"고 밝혔다 .
• 2025년 3월 20일: 이 충돌은 급격히 확대되었다. 당국이 50만 개가 넘는 클라우드플레어 IP 주소를 임시로 막아버린 것이다. 러시아 디지털 인권 단체 로스콤스보보다(Roskomsvoboda)의 기술 전문가는 실제로는 여러 지역에서 약 150만 개의 IP가 영향을 받았다고 추산했다 . 이로 인해 스베르방크, 알파뱅크 같은 주요 은행 온라인 뱅킹과 정부 포털, 메신저, 게임 서비스가 줄줄이 먹통이 되었다 . 소비자와 기업의 불만이 쏟아지자 로스콤나드조르는 "외국 서버 인프라" 탓으로 돌리며, 러시아 기관에 국내 호스팅 업체로 갈아타라고 권고했다 .
• 2025년 6월 9일: 가장 지속적이고 기술적인 공세가 시작되었다. 로스텔레콤, 메가폰, 빔펠콤, MTS, MGTS 등 러시아 주요 ISP들이 클라우드플레어를 경유하는 모든 트래픽에 대해 전국적인 '쓰로틀링(속도 제한)'에 돌입한 것이다 . 이 쓰로틀링은 정밀하게 설계되었는데, 사용자 기기가 어떤 웹 자산이든 처음 16킬로바이트(KB)만 다운로드하게 허용한 뒤 연결을 강제로 끊어버렸다 . 현대 브라우저에서 16KB는 HTTP 헤더 하나와 텍스트 몇 줄을 불러오기에도 턱없이 부족한 분량이다. 결과적으로 러시아 국내 사용자들에게 클라우드플레어로 보호되던 수백만 개의 사이트는 사실상 사라졌지만, 간단한 네트워크 검사에는 마치 정상적으로 접속이 가능한 듯한 '환상'만 제공했다 .

클라우드플레어는 2025년 6월 26일, 블로그를 통해 이것이 자사의 통제 범위를 벗어난 국가 수준의 간섭임을 공식 인정했다 . 자체 데이터 분석 결과, 단순한 네트워크 오류가 아니라 '패킷 인젝션(packet injection)'과 '속도 제한(rate limiting)' 같은 복수의 메커니즘이 동시다발적으로 동원된 활동적인 차단이었다 . 프리덤 하우스(Freedom House)와 독립 인터넷 감시 기관들은 러시아에서 발생하는 총 클라우드플레어 트래픽이 눈에 띄게 감소했으며, 혼란이 발생한 시점에 맞춰 로스콤나드조르가 클라우드플레어를 '정보 유통 조직자 등록부'에 올렸다고 기록했다 . 이 등록부는 감시 체제의 일종으로, 등재된 기업에 러시아 사용자 데이터를 현지 서버에 보관하고 필요시 FSB에 복호화 키를 넘기라고 강제한다. 협력하지 않는 기업은 의무적으로 속도가 제한되거나 완전히 차단되는데, 이는 2025년 6월 이후 지금껏 관측된 바로 그 결과다.

자국민의 인터넷을 '국가 통제망'으로: 본격화된 디지털 주권

클라우드플레어와 패스틀리에 대한 압박은 크렘린이 '디지털 주권'이라는 정책 아래 러시아 인터넷을 완전한 국내 통제 아래 두려는 수년간의 대규모 프로젝트의 일부다.

이제 새로운 법에 따라 통신 사업자는 국가가 통제하는 심층 패킷 감시(DPI) 장비를 의무적으로 설치해야 한다. 이른바 위협 대응 기술 수단(TSPU) 시스템으로 불리는 이 장비는 FSB가 네트워크 수준에서 트래픽을 감시하고, 필터링하며, 속도를 조절할 수 있는 권한을 준다 . 로스콤나드조르에 등록하지 않거나 FSB의 데이터 요청에 응하지 않는 사업자는 벌금과 서비스 제한 조치를 받는다.

2025년 9월에는 '사회적으로 중요한 서비스 등록부'라는 공식 화이트리스트가 등장했다. 초기에 등재된 57개의 사전 승인된 웹사이트(국영 리아 노보스티 통신, 주요 은행, 정부 서비스 포털 '고수슬루기', VK 등의 국내 SNS, 일부 얀덱스 서비스 등)만 네트워크 혼란과 차단 테스트 중에도 접근이 '보장'된다 . 이 목록에 없는 외국 호스팅 서비스는 언제든지 차단될 수 있다.

정부는 암호화된 통신과 우회 도구에 대해서도 강경하게 대처 중이다. 2026년 초까지 로스콤나드조르는 수백 개의 VPN(가상 사설망) 애플리케이션과 프로토콜을 제한했으며 , 2025년 8월에는 텔레그램과 왓츠앱의 음성·영상 통화 기능을 제한했고, 곧이어 텔레그램 자체에 대한 직접 규제에 나섰다 .

러시아의 인터넷 통제는 10년 전의 개별 사이트 차단에서, 대규모 DPI 기반 필터링을 거쳐, 현재는 서방의 콘텐츠 전송 및 인프라 제공 업체 전체를 체계적으로 무력화시키고, 단절시키거나, 공식적인 범죄 혐의를 씌우는 국면으로 진입했다. 궁극적 목표는 모든 트래픽을 FSB가 감청할 수 있고 외국 인프라가 발붙일 틈이 없는, 완전히 폐쇄된 러시아 인터넷 공간이다 .

2026년 6월 2일 FSB의 발표는 그 여정의 최신 전환점일 뿐이다. 러시아가 2년 동안 체계적으로 국민들의 접근을 차단해온 바로 그 기업들을 겨냥한, 증거 없는 첩보 혐의 덮어씌우기인 셈이다.