카스퍼스키는 보안 위협 인텔리전스 조직인 디지털 풋프린트 인텔리전스 팀이 2021년부터 2024년까지 차단된 800개 이상의 사이버범죄 관련 텔레그램 채널을 분석한 ‘텔레그램 채널 사이버범죄자 분석 보고서’를 발표했다고 밝혔다. 이번 분석을 통해 텔레그램 내 불법 활동은 여전히 존재하지만, 지하 범죄 생태계의 운영 환경은 점점 더 어려워지고 있는 것으로 나타났다.

 

텔레그램은 봇 프레임워크와 다양한 내장 기능을 기반으로 낮은 진입장벽의 범죄 환경을 제공해 왔다. 단일 봇만으로도 문의 대응, 암호화폐 결제 처리, 탈취된 은행 카드 정보, 정보 탈취 악성코드 로그, 피싱 키트, DDoS 공격 서비스 등을 자동으로 제공할 수 있다. 또한 무제한·기한 없는 파일 저장 기능은 수 기가바이트 규모의 데이터베이스 덤프나 탈취된 기업 문서를 외부 호스팅 없이 배포할 수 있도록 지원해 왔다.

 

이 같은 자동화 환경은 저가·대량·저숙련 기반의 범죄 서비스 확산을 촉진했다. 유출 카드 판매나 악성코드 호스팅과 같은 서비스가 대표적이다. 반면 제로데이 취약점 정보처럼 신뢰와 평판이 중요한 고가 거래는 여전히 다크웹 포럼을 중심으로 이뤄지고 있는 것으로 분석됐다.

 

 

카스퍼스키 연구진은 텔레그램 기반 불법 활동과 관련해 두 가지 뚜렷한 변화를 확인했다. 지하 채널의 평균 생존 기간은 늘어나 9개월 이상 유지되는 채널 비중이 2023~2024년에 2021~2022년 대비 3배 이상 증가했다. 동시에 텔레그램의 차단 조치는 과거보다 훨씬 빠르고 강력해졌다.

 

2024년 10월 이후 월별 제거 건수는 가장 낮은 수준에서도 2023년 전체 기간의 최고 수준과 유사했으며, 2025년에는 차단 속도가 더욱 빨라지면서 악성 활동을 지속하기가 한층 어려워진 것으로 나타났다.

 

텔레그램이 사이버범죄자에게 점차 불리한 환경으로 변하고 있는 요인으로는 기본적으로 종단간 암호화(E2E Encryption)가 적용되지 않는 점, 중앙집중형 인프라 구조로 인해 자체 서버 운영이 불가능한 점, 서버 측 코드가 비공개라 기능 검증이 어렵다는 점 등이 꼽혔다.

 

이 같은 환경 변화로 인해 약 9000명 규모의 BFRepo 그룹과 Angel Drainer와 같은 멀웨어-서비스형(MaaS) 조직 등 주요 지하 커뮤니티는 활동 중심지를 다른 플랫폼이나 자체 제작 메신저로 옮기기 시작한 것으로 분석됐다.

 

블라디슬라프 벨로우소프 카스퍼스키 디지털 풋프린트 분석가는 “사이버범죄자들은 오랫동안 텔레그램을 편리한 도구로 활용해 왔지만, 현재는 위험 대비 보상 구조가 뚜렷하게 변화하고 있다”며 “채널 생존 기간은 늘었지만 차단 규모가 급격히 증가하면서 장기적인 안정성을 기대하기 어려운 상황”이라고 설명했다.

 

이어 “채널이나 서비스가 갑자기 사라졌다가 다시 등장하고 재차 제거되는 일이 반복되면 지속적인 운영 자체가 불가능해지기 때문에, 지하 커뮤니티 이동이 이미 시작됐다”고 덧붙였다.

 

카스퍼스키는 사용자와 기업의 보안 강화를 위해 불법 채널과 봇에 대한 적극적인 신고를 통해 커뮤니티 기반 모더레이션을 강화할 것을 권고했다. 또한 지상·딥웹·다크웹을 포괄하는 다양한 위협 인텔리전스 정보를 활용해 최신 지하 활동과 공격 기법 변화를 지속적으로 추적할 필요가 있다고 강조했다.

 

헬로티 이창현 기자 |