최근 텔레그램의 차단 조치 강화로 지하 범죄자들의 이탈이 가속화되고 있다.
카스퍼스키는 이 같은 내용을 담은 '텔레그렘 채널 사이버범죄자 분석 보고서'를 24일 발표했다. 카스퍼스키 디지털 풋프린트 인텔리전스 팀은 2021년부터 2024년까지 차단된 800개 이상의 사이버범죄 관련 텔레그램 채널을 심층 분석했다. 그 결과 텔레그램 내 불법 활동은 여전히 존재하지만, 지하범죄 생태계의 운영 환경은 과거보다 크게 악화한 것으로 나타났다.
보고서에 따르면 텔레그램 지하 채널의 평균 유지 기간은 오히려 늘어났다. 9개월 이상 유지된 채널 비중은 2023~2024년 기준 2021~2022년 대비 3배 이상 증가했다. 그러나 채널이 발견된 이후 차단되는 속도는 과거보다 훨씬 빨라졌다. 실제 2024년 10월 이후 월별 제거 건수는, 가장 낮은 시기에도 2023년 한 해 동안 최고 수준과 유사한 수준을 기록했다. 2025년 들어서는 차단 속도가 더욱 빨라지면서 범죄 활동의 지속성이 크게 떨어지고 있다는 분석이다.
카스퍼스키는 텔레그램이 사이버범죄에 활용돼 온 배경으로 봇 기반 자동화 환경과 낮은 진입장벽을 꼽았다. 단일 봇으로 문의 응대, 암호화폐 결제, 탈취 정보 전달, 피싱 키트 배포, DDoS 공격 제공 등이 가능하고, 대용량 파일을 무제한으로 저장·배포할 수 있어 저가·대량·저숙련 기반 범죄 서비스가 활성화됐다는 설명이다. 반면 제로데이 취약점과 같은 고가·신뢰 기반 거래는 여전히 다크웹 포럼 중심으로 이뤄지고 있다.
다만 텔레그램은 종단간 암호화(E2EE)가 기본 적용되지 않고, 중앙집중형 인프라 구조를 갖고 있으며, 서버 측 코드가 비공개라는 점에서 사이버범죄자에게 구조적 한계를 안고 있다는 지적도 나왔다. 이러한 환경 변화로 인해 BFRepo 그룹, Angel Drainer(MaaS) 조직 등 주요 지하 커뮤니티 일부는 이미 활동 무대를 다른 플랫폼이나 자체 제작 메신저로 옮기고 있는 것으로 나타났다.
블라디슬라프 벨로우소프 카스퍼스키 디지털 풋프린트 분석가는 "텔레그램은 오랫동안 사이버범죄자들에게 편리한 도구였지만, 차단 규모가 급격히 늘어나면서 위험 대비 보상 구조가 확실히 바뀌고 있다"며 "채널이 반복적으로 생성·차단되는 환경에서는 장기적인 운영 자체가 어려워지고 있다"고 말했다.
카스퍼스키는 사용자와 기업을 대상으로 불법 채널과 봇을 적극 신고하고, 지상·딥웹·다크웹을 아우르는 위협 인텔리전스를 활용해 최신 사이버범죄 동향과 공격 기법(TTPs)을 지속적으로 모니터링할 것을 권고했다.