글로벌 사이버 보안 전문기업 카스퍼스키(한국지사장 이효은)는 보안 위협 인텔리전스 정보를 제공하는 '디지털 풋프린트 인텔리전스(Kaspersky Digital Footprint Intelligence)’ 팀이 2021년부터 2024년까지 차단된 800개 이상의 사이버범죄 관련 텔레그램 채널을 심층 모니터링한 ‘텔레그렘 채널 사이버범죄자 분석 보고서’를 발표했다고 24일 밝혔다.

이에 따르면, 텔레그램 내 불법 활동은 여전히 존재하지만 지하 생태계의 운영 환경이 점점 더 어려워지고 있다. 텔레그램은 봇 프레임워크와 다양한 내장 기능을 기반으로 낮은 진입장벽의 범죄 생태계를 제공한다. 단일 봇 하나로도 문의 처리, 암호화폐 결제 처리, 탈취된 은행 카드・정보 탈취 악성코드 로그・피싱 키트・DDoS 공격 등을 자동으로 고객에게 전달할 수 있다. 또 무제한·기한 없는 파일 저장 기능은 수 GB 규모의 데이터베이스 덤프나 탈취된 기업 문서 배포 시 외부 호스팅을 사용할 필요조차 없게 만든다.

이러한 자동화 환경은 자연스럽게 저가·대량·저숙련 기반의 범죄 서비스(예: 유출 카드 판매, 악성코드 호스팅 등)를 활성화한다. 반면 제로데이 취약점 정보와 같은 고가 신뢰 기반 거래는 여전히 평판 중심의 다크웹 포럼에서 이루어진다.

텔레그램 내 불법 활동, “채널은 오래가는데 차단은 더 빨라졌다”

카스퍼스키 연구진은 텔레그램 기반 불법 활동과 관련해 지하 채널의 평균 수명이 증가했으나, 텔레그램 차단 속도는 과거보다 훨씬 더 빨라지는 두 가지 명확한 트렌드를 확인했다. 실제로 지하 채널의 평균 생존 기간이 증가해 9개월 이상 유지되는 채널 비중이 2023~2024년에 2021~2022년 대비 3배 이상 늘었다.

두번째는 텔레그램의 차단 활동은 크게 강화되었으며, 2024년 10월 이후 월별 제거 건수는 가장 낮은 시기에도 2023년 전 기간의 최고 수준과 유사한 수준을 기록했다. 2025년에는 차단 속도가 더욱 빨라지면서 악성 활동을 계속 이어가는 것이 더욱 어려워지고 있다.

텔레그램이 사이버범죄자에게 불리하게 작용하는 추가 요인으로는 기본적으로 종단간 암호화(E2E Encryption)가 적용되지 않는 점, 자체 서버를 사용할 수 없는 중앙집중형 인프라 구조, 그리고 서버 측 코드가 비공개여서 기능을 검증할 수 없다는 점 등이 있다.

이 같은 환경 변화로 약 9000명 규모의 BFRepo 그룹, Angel Drainer(멀웨어-서비스형, MaaS) 조직 등 여러 주요 지하 커뮤니티는 이미 활동 중심지를 타 플랫폼 또는 자체 제작 메신저로 주요 활동 무대를 옮기기 시작했다.

카스퍼스키의 블라디슬라프 벨로우소프 디지털 풋프린트 분석가는 “사이버 범죄자들은 다양한 악성 활동을 위해 텔레그램을 편리한 도구로 사용해왔지만, 위험 대비 보상 구조가 확실히 변화하고 있다. 채널의 생존 기간은 과거보다 늘었지만, 차단 규모가 극적으로 증가하면서 장기적인 안정성을 기대하기가 매우 어려워졌다"면서 "하루아침에 채널이나 서비스가 사라졌다가 몇 주 뒤 다시 나타나고 또 제거되는 일이 반복되면 지속적 운영 자체가 불가능하다. 이러한 이유로 우리는 이미 지하 커뮤니티의 이동 조짐을 확인하고 있다”고 밝혔다.

한편 카스퍼스키는 사용자와 기업의 안전을 위해 두 가지 조치를 권장했다.

첫째, 불법 채널 및 봇 신고(커뮤니티 기반 모더레이션 강화를 위해 명확히 불법 활동으로 보이는 계정을 신고) 둘째, 여러가지 위협 인텔리전스 활용(지상·딥웹·다크웹 등 다양한 영역을 아우르는 위협 인텔리전스 정보를 통해 최신 지하 활동 및 TTPs 변화를 추적해야) 등이다.

