2021년부터 2025년 7월까지 차단된 텔레그램 채널 추이(자료=카스퍼스키 텔레그렘 채널 사이버범죄자 분석 보고서)
텔레그램은 봇 프레임워크와 다양한 내장 기능을 기반으로 낮은 진입장벽의 범죄 생태계를 제공한다. 단일 봇 하나로도 문의 처리, 암호화폐 결제 처리, 탈취된 은행 카드·정보 탈취 악성코드 로그·피싱 키트·디도스(DDoS) 공격 등을 자동으로 고객에게 전달할 수 있다.
또 무제한·기한 없는 파일 저장 기능은 수 GB 규모의 데이터베이스 덤프나 탈취된 기업 문서 배포 시 외부 호스팅을 사용할 필요조차 없게 만든다.
이러한 자동화 환경은 자연스럽게 유출 카드 판매, 악성코드 호스팅 등의 저가·대량·저숙련 기반의 범죄 서비스를 활성화한다. 반면 제로데이 취약점 정보와 같은 고가 신뢰 기반 거래는 여전히 평판 중심의 다크웹 포럼에서 이뤄진다.
카스퍼스키 연구진은 텔레그램 기반 불법 활동과 관련해 지하 채널의 평균 수명이 증가했으나, 텔레그램 차단 속도는 과거보다 훨씬 더 빨라지는 2가지 명확한 트렌드를 확인했다고 밝혔다.
실제로 지하 채널의 평균 생존 기간이 증가해 9개월 이상 유지되는 채널 비중이 2023~2024년에 2021~2022년 대비 3배 이상 늘었다.
이어 텔레그램의 차단 활동은 크게 강화됐으며, 2024년 10월 이후 월별 제거 건수는 가장 낮은 시기에도 2023년 전 기간의 최고 수준과 유사한 수준을 기록했다. 2025년에는 차단 속도가 더욱 빨라지면서 악성 활동을 계속 이어가는 것이 더욱 어려워지고 있다.
텔레그램이 사이버범죄자에게 불리하게 작용하는 추가 요인으로는 기본적으로 종단간 암호화(E2E Encryption)가 적용되지 않는 점, 자체 서버를 사용할 수 없는 중앙집중형 인프라 구조, 서버 측 코드가 비공개여서 기능을 검증할 수 없다는 점 등이 있다.
이러한 환경 변화로 인해, 약 9000명 규모의 BFRepo 그룹, Angel Drainer(멀웨어-서비스형, MaaS) 조직 등 여러 주요 지하 커뮤니티는 이미 활동 중심지를 타 플랫폼 또는 자체 제작 메신저로 주요 활동 무대를 옮기기 시작했다.
카스퍼스키의 블라디슬라프 벨로우소프 디지털 풋프린트 분석가는 “사이버 범죄자들은 다양한 악성 활동을 위해 텔레그램을 편리한 도구로 사용해왔지만, 위험 대비 보상 구조가 확실히 변화하고 있다”며 “채널의 생존 기간은 과거보다 늘었지만, 차단 규모가 극적으로 증가하면서 장기적인 안정성을 기대하기가 매우 어려워졌다”고 분석했다.
이어 그는 “하루아침에 채널이나 서비스가 사라졌다가 몇 주 뒤 다시 나타나고 또 제거되는 일이 반복되면 지속적 운영 자체가 불가능하다”며 “이러한 이유로 우리는 이미 지하 커뮤니티의 이동 조짐을 확인하고 있다”고 설명했다.
