800여 개 지하 채널 분석 결과
불법 활동 지속...운영 안정성 약화
지하 커뮤니티, 다른 플랫폼 이동 조짐
[보안뉴스 여이레 기자] 사이버 범죄자들이 텔레그렘에서 이탈하고 있다. 범죄 활동에 대한 텔레그램의 단속이 강화되고 있기 때문이다.
카스퍼스키가 텔레그렘 내 사이버범죄 활동을 분석해 24일 공개한 ‘텔레그렘 채널 사이버범죄자 분석 보고서’에 따르면, 텔레그렘 내 불법 활동은 여전히 존재하지만 지하 범죄 생태계 운영 환경은 점차 어려워지고 있다.
[자료: 카스퍼스키]
이 보고서는 카스퍼스키 디지털풋프린트인텔리전스(Digital Footprint Intelligence) 팀이 2021-2024년 사이 차단된 800개 이상의 사이버 범죄 관련 텔레그렘 채널을 심층 모니터링한 결과를 바탕으로 작성됐다.
텔레그렘은 봇 프레임워크와 다양한 내장 기능을 기반으로 진입장벽이 낮은 범죄 생태계를 제공해왔다. 단일 봇만으로도 문의 대응, 암호화폐 결제 처리, 탈취된 은행 카드 정보와 정보 탈취 악성코드 로그, 피싱 키트, DDoS 공격 서비스 등을 자동으로 제공할 수 있다.
용량과 기한에 제약 없는 파일 저장 기능으로 대규모 데이터베이스 덤프나 탈취된 기업 문서를 외부 호스팅 없이 배포할 수 있다는 점도 사이버 범죄자들에게 유용했다.
이러한 환경은 저가·대량·저숙련 범죄 서비스 확산으로 이어졌으나, 제로데이 취약점 정보 등 고가의 신뢰 기반 거래는 여전히 평판 중심의 다크웹 포럼에서 이뤄지고 있는 것으로 분석됐다.
텔레그렘 지하 채널의 평균 생존 기간은 늘어났다. 2023~2024년 9개월 이상 유지되는 채널 비중이 2021~2022년에 비해 3배 이상 늘어났다.
반면 텔레그렘의 차단 조치는 대폭 강화됐다. 2024년 10월 이후 월별 제거 건수는 가장 낮은 시기에도 2023년 전체 기간 중 최고 수준과 유사한 수준이었다. 2025년 들어서 차단 속도가 더욱 빨라지며 악성 활동의 지속성이 크게 낮아지고 있다.
기본적으로 종단간 암호화(E2E Encryption)가 적용되지 않는 구조, 중앙집중형 인프라로 자체 서버 운영이 불가능한 점, 서버측 코드가 공개되지 않아 기능 검증이 어렵다는 점 등도 텔레그렘이 사이버 범죄자에게 불리하게 작용하는 요인으로 꼽혔다.
이같은 환경 변화로 약 9000명 규모의 BF레포(BFRepo) 그룹과 멀웨어 서비스형 조직 ‘엔젤 드레이너’(Angel Drainer) 등 텔레그램에서 활동하던 주요 지하 커뮤니티들은 이미 활동 거점을 다른 플랫폼이나 자체 제작 메신저로 옮기기 시작했다.
블라디슬라프 벨로우소프 카스퍼스키 디지털풋프린트인텔리전스팀 분석가는 “사이버 범죄자들은 텔레그렘을 다양한 악성 활동에 활용해 왔지만, 최근엔 위험 대비 보상 구조가 분명히 변화하고 있다”며 “채널의 평균 생존 기간은 늘었지만 차단 규모가 급증하면서 장기적 안정성을 기대하기 어려워졌고, 이로 인해 지하 커뮤니티의 이동이 본격화되고 있다”고 말했다.
[여이레 기자(gore@boannews.com)]
불법 활동 지속...운영 안정성 약화
지하 커뮤니티, 다른 플랫폼 이동 조짐
[보안뉴스 여이레 기자] 사이버 범죄자들이 텔레그렘에서 이탈하고 있다. 범죄 활동에 대한 텔레그램의 단속이 강화되고 있기 때문이다.
카스퍼스키가 텔레그렘 내 사이버범죄 활동을 분석해 24일 공개한 ‘텔레그렘 채널 사이버범죄자 분석 보고서’에 따르면, 텔레그렘 내 불법 활동은 여전히 존재하지만 지하 범죄 생태계 운영 환경은 점차 어려워지고 있다.
[자료: 카스퍼스키]
이 보고서는 카스퍼스키 디지털풋프린트인텔리전스(Digital Footprint Intelligence) 팀이 2021-2024년 사이 차단된 800개 이상의 사이버 범죄 관련 텔레그렘 채널을 심층 모니터링한 결과를 바탕으로 작성됐다.
텔레그렘은 봇 프레임워크와 다양한 내장 기능을 기반으로 진입장벽이 낮은 범죄 생태계를 제공해왔다. 단일 봇만으로도 문의 대응, 암호화폐 결제 처리, 탈취된 은행 카드 정보와 정보 탈취 악성코드 로그, 피싱 키트, DDoS 공격 서비스 등을 자동으로 제공할 수 있다.
용량과 기한에 제약 없는 파일 저장 기능으로 대규모 데이터베이스 덤프나 탈취된 기업 문서를 외부 호스팅 없이 배포할 수 있다는 점도 사이버 범죄자들에게 유용했다.
이러한 환경은 저가·대량·저숙련 범죄 서비스 확산으로 이어졌으나, 제로데이 취약점 정보 등 고가의 신뢰 기반 거래는 여전히 평판 중심의 다크웹 포럼에서 이뤄지고 있는 것으로 분석됐다.
텔레그렘 지하 채널의 평균 생존 기간은 늘어났다. 2023~2024년 9개월 이상 유지되는 채널 비중이 2021~2022년에 비해 3배 이상 늘어났다.
반면 텔레그렘의 차단 조치는 대폭 강화됐다. 2024년 10월 이후 월별 제거 건수는 가장 낮은 시기에도 2023년 전체 기간 중 최고 수준과 유사한 수준이었다. 2025년 들어서 차단 속도가 더욱 빨라지며 악성 활동의 지속성이 크게 낮아지고 있다.
기본적으로 종단간 암호화(E2E Encryption)가 적용되지 않는 구조, 중앙집중형 인프라로 자체 서버 운영이 불가능한 점, 서버측 코드가 공개되지 않아 기능 검증이 어렵다는 점 등도 텔레그렘이 사이버 범죄자에게 불리하게 작용하는 요인으로 꼽혔다.
이같은 환경 변화로 약 9000명 규모의 BF레포(BFRepo) 그룹과 멀웨어 서비스형 조직 ‘엔젤 드레이너’(Angel Drainer) 등 텔레그램에서 활동하던 주요 지하 커뮤니티들은 이미 활동 거점을 다른 플랫폼이나 자체 제작 메신저로 옮기기 시작했다.
블라디슬라프 벨로우소프 카스퍼스키 디지털풋프린트인텔리전스팀 분석가는 “사이버 범죄자들은 텔레그렘을 다양한 악성 활동에 활용해 왔지만, 최근엔 위험 대비 보상 구조가 분명히 변화하고 있다”며 “채널의 평균 생존 기간은 늘었지만 차단 규모가 급증하면서 장기적 안정성을 기대하기 어려워졌고, 이로 인해 지하 커뮤니티의 이동이 본격화되고 있다”고 말했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
