- 범죄 채널 평균 수명은 늘었지만 차단 속도 급증…지하 커뮤니티, 타 플랫폼으로 이동
사이버 보안 기업 카스퍼스키가 2021년부터 2024년까지 차단된 800개 이상의 사이버범죄 관련 텔레그램 채널을 분석한 ‘텔레그램 채널 사이버범죄자 분석 보고서’를 공개했다. 분석 결과, 텔레그램 내 불법 활동은 지속되고 있으나 차단 조치가 크게 강화되면서 지하 범죄 생태계의 운영 안정성은 빠르게 약화되고 있는 것으로 나타났다.
카스퍼스키 디지털 풋프린트 인텔리전스 팀에 따르면, 텔레그램 기반 지하 범죄 채널의 평균 유지 기간은 오히려 증가했다. 2023~2024년에는 9개월 이상 유지되는 채널 비중이 2021~2022년 대비 3배 이상 늘었다. 반면 채널이 발견된 이후 차단되기까지의 속도는 과거보다 크게 단축됐다. 2024년 10월 이후 월별 채널 제거 건수는 2023년 전체 기간의 최고 수준과 유사한 수준을 지속적으로 기록했으며, 2025년에 들어서는 차단 주기가 더욱 빨라지고 있다.
카스퍼스키는 텔레그램이 봇 프레임워크와 다양한 내장 기능을 통해 사이버범죄의 진입 장벽을 낮춰 왔다고 분석했다. 단일 봇만으로 문의 대응, 암호화폐 결제 처리, 탈취된 카드 정보와 악성코드 로그, 피싱 키트, DDoS 공격 전달까지 자동화할 수 있고, 대용량 파일 저장 기능으로 외부 호스팅 없이도 데이터 유통이 가능하다. 이 구조는 저가·대량·저숙련 기반 범죄 서비스 확산에 유리하게 작용해 왔다.
다만 제로데이 취약점 정보와 같은 고가 신뢰 기반 거래는 여전히 다크웹 포럼 중심으로 이뤄지는 흐름이 유지되고 있다. 카스퍼스키는 텔레그램이 이러한 고급 범죄 활동에는 구조적으로 적합하지 않다고 진단했다.
텔레그램이 사이버범죄자에게 점차 불리해지는 요인으로는 기본적으로 종단간 암호화가 적용되지 않는 점, 중앙집중형 인프라 구조로 자체 서버 운용이 불가능한 점, 서버 측 코드 비공개로 기능 검증이 제한되는 점 등이 지목됐다. 이로 인해 채널이 반복적으로 생성과 삭제를 겪는 환경이 고착화되며 장기적 운영이 어려워지고 있다는 설명이다.
이 같은 환경 변화 속에서 약 9,000명 규모의 BFRepo 그룹과 Angel Drainer(멀웨어-서비스형, MaaS) 조직 등 주요 지하 커뮤니티는 활동 거점을 다른 플랫폼이나 자체 제작 메신저로 이전하는 움직임을 보이고 있다.
카스퍼스키 디지털 풋프린트 분석을 담당하는 블라디슬라프 벨로우소프는 텔레그램을 활용한 범죄 활동의 위험 대비 보상 구조가 명확히 변화하고 있으며, 차단 규모가 급증한 현재의 환경에서는 지속적인 운영 안정성을 기대하기 어렵다고 설명했다. 이러한 조건 변화가 지하 커뮤니티의 이동을 촉진하는 핵심 요인으로 작용하고 있다는 분석이다.
#카스퍼스키 #텔레그램 #사이버범죄 #위협인텔리전스 #보안리포트 #디지털풋프린트 #다크웹 #MaaS
