텔레그램은 사이버 범죄 사무실이자 육성소이자 미래

유명 채팅 앱 텔레그램(Telegram)이 “사이버 공격자들의 사무실로 전락했다”는 고발이 나왔다. 보안 기업 사이퍼마(CYFIRMA)에 의하면 “다크웹에서 이뤄지던 일들이 거의 대부분 텔레그램으로 옮겨 왔다”고 한다. 이는 매우 우려되는 현상이다. 해커들에게도 텔레그램은 다크웹보다 훨씬 편리한 공간이기 때문이다. 범죄가 효과적으로 촉진되기도 한다.

토르브라우저의 불편함

다크웹 접속을 한 번이라도 시도해봤다면 알겠지만, 생각보다 번거롭다. 토르브라우저(Tor Browser)라는 별도의 브라우저가 있어야만 한다. 크롬이나 파이어폭스, 에지 등 우리가 잘 아는 브라우저들로는 다크웹에 접속할 수 없다. ‘전용 브라우저를 굳이 찾아 설치해야 한다’는 게 첫 번째 장벽이 된다. 텔레그램도 ‘앱을 설치해야 한다’는 점에서는 비슷한데, 이게 뭐가 문제일까?

토르브라우저를 사용해보면 바로 느낄 텐데, 접속 기술이 근본적으로 달라 속 터질 때가 많다. 기술적으로 상세히 설명하면 글이 길어질 테니 간단히 설명하자면, 양파를 통과하는 것과 비슷하다. 도착지에 가기 위해 여러 겹의 ‘노드’들을 지나가야만 한다는 건데, 그렇기 때문에 내 익명성이 보장되지만(겹겹의 양파 껍질을 온몸으로 관통한다고 상상해보라, 양파 즙에 흠뻑 젖어있지 않겠나!), 대신 속도가 매우 느리다. 참고로 일반 인터넷은 ISP를 거쳐 내가 가고자 하는 웹사이트에 직행할 수 있다. 따라서 익명성을 잃고 속도를 얻는다.

게다가 지금은 스마트폰과 모바일 장비의 시대라 해커들도 주구장창 PC 앞에 앉아 자신들의 음흉한 일들을 하려 하지 않는다. 그들도 가끔은 스마트 장비들로 스마트하게 일하고 싶은데, 토르브라우저는 모바일 환경에서 더욱 느려진다. 여러 이유가 있으나 기본적으로 모바일 장비가 PC보다 자원 소모를 덜하고, 그래서 약하고 느리기 때문이다. 심지어 iOS 환경에서는 토르브라우저 설치가 매우 까다롭기까지 하다.

포럼 생성의 어려움

‘다크웹’이라고는 하지만 사실 대부분 해커들은 이 공간에 마련된 ‘포럼’을 중심으로 활동한다. 범죄도 서로 모여야 성립되니까(솔로 범죄자들이 있긴 하지만), 어디서든 모일 수밖에 없고, 그 모임 장소를 ‘해킹 포럼’이라고 부른다. 여기서 해커들은 범죄를 기획하고, 서로의 역할을 분담하며, 얻은 몫을 나누고, 불법 거래를 진행한다. 이곳이 만남의 광장이요 아고라이며, 시장이다. 

이런 포럼의 존재는 양날의 검이다. 범죄 산업이 육성되기도 하지만, 수사기관의 함정 수사가 성과를 올리는 곳도 바로 이곳 포럼이다. 보안 전문가들도 첩보를 얻기 위해 범죄자인 척 포럼에 도사리고 있다. 그래서 대형 포럼들은 곧바로 감시 대상이 되고, 수사 요원들의 활동으로 폐쇄되기도 한다. 

중요 포럼이 하루아침에 사라지면 해커들은 큰 타격을 입는다. 어제 동료와 여기서 만나 나머지 범행을 이어가기로 했는데, 그 ‘여기’가 사라졌으니 동료를 만날 수도 없고(범죄자들끼리 서로 통성명하고 연락처를 주고받는 일은 거의 없다), 잘 진행했던 사업도 중단된다. 그 동안 벌였던 일이 헛수고로 돌아간다. 투자금도 잃고 기회비용도 발생한다. 

가장 큰 문제는 이 포럼이라는 게 생각보다 다시 만드는 게 쉽지 않다는 것이다. 포럼은 그냥 인터넷 카페 만들듯 뚝딱 만들어지는 게 아니다. 게다가 범죄자들을 위한 공간을 만들었다 해서 해커들이 알아서 찾아와 판을 벌이지 않는다. 위에서 말했다시피 각종 함정과 음모가 도사리는 곳이라 처음에는 다들 조심스럽다. 눈치만 한참 본다. 운영진이 신뢰를 쌓고, 범죄자들 사이에서 천천히 평판이 올라가야 하나 둘 모여들기 시작한다. 심지어 포럼 운영을 희망하는 사이버 범죄자들이 세계 곳곳에 있기에 포럼 간에도 경쟁이 치열하다. ‘유명 포럼’으로 올라서기까지 많은 역경과 고난을 딛고 적잖은 시간을 보내야 한다.

텔레그램에서는 뚝딱

하지만 텔레그램은 빠르다. 앱스토어나 플레이에서 텔레그램을 검색해 클릭만 하면 설치가 끝나고, 그 후 가입 절차도 간단하며 앱도 곧바로 사용할 수 있다. PC에서도 빠르고, 모바일에서도 빠르다. 속도 면에서는 토르브라우저와 게임이 되지 않으며, 이 속도감을 한 번 맛본 해커는 어지간해서 토르브라우저로 돌아갈 수 없다. 역체감이 상당하다.

게다가 그 만들기 까다로웠던 ‘포럼’도 텔레그램에서는 쉽게 만들 수 있다. ‘채널’이라고 하는데, 만들기가 얼마나 쉬운지, 경찰이나 보안 전문가에 의해 채널이 폭파된다 하더라도 그 즉시 다른 채널을 생성할 수 있다. 꼬리가 잡히거나, 실제 함정에 걸려 공들여 쌓아올린 채널이 사라지는 게 그리 큰 타격이 아니다. 반대로 수사기관 입장에서는 채널 아무리 폐쇄해봐야 밑 빠진 독에 물 붓기다. 

채널에 자동화 기술을 도입해 여러 범죄 관련 행위를 편리하게 실행하는 것도 텔레그램에서는 가능하다. 탈취 계정을 자동으로 검색하고, 각종 결체 처리도 자동으로 완료하며, 구독자들에게 악성 코드를 빠르고 쉽게 배포할 수도 있다. 사용자들에게 실시간 공지를 전달할 수도 있고, 운영자 메시지를 널리 전파할 수도 있다. 고객 문의 대응도 훨씬 빨라진다. 

물론 포럼에서도 이런 기술들을 구축하는 게 불가능한 건 아니다. 하지만 어니언 라우팅과 토르브라우저는 유연성과 확장성이 낮은 편이며, 따라서 자동화 기술을 탑재시키는 게 난도 높은 작업이 된다. 포럼 하나 새로 만들 때마다 이런 기술을 다시 처음부터 어렵게 구현해야 하니, 포럼 폐쇄가 주는 리스크가 더 커진다. 쉽고 빠른 텔레그램에서는 그 리스크가 없다시피 하다.

비용면에서도 텔레그램이 압도적 우위를 점한다. 다크웹 포럼을 개설해 운영하려면 서버를 유지 관리해야 하고, 호스팅 서비스도 이용해야 한다. 보안 설정도 해야 한다. 이 모든 게 ‘비용’이며 ‘임무’다. 비싸고 할 일이 많다는 것이다. 텔레그램은 서버도 필요없고 호스팅도 걱정하지 않아도 된다. 텔레그램이 다 해준다. 보안 설정도 텔레그램 쪽에서 다 해준다. 비용도 적고 리스크도 낮다. “다크웹 포럼은 ‘내가 직접 쇼핑몰을 만들어 건축하는 것’에 가깝고, 텔레그램 채널 운영은 ‘대형 쇼핑몰에 입점하는 것’에 가깝습니다.”

텔레그램의 단점

물론 텔레그램이 만능인 건 아니다. 논란이 있기야 하지만 텔레그램을 운영하는 회사는 양지에 있는 정상 기업이다. 자사 플랫폼에 범죄 행위가 있다고 보고, 그것을 불편해 하면, 회사 임의로 채널을 닫고 계정을 차단할 수 있다. 이것은 범죄자들에게 있어 ‘항시 존재하는 리스크’로서 작용한다. 다크웹 포럼의 운영 권한이 운영자에게 있는 것과 사뭇 다르다.

텔레그램 운영사가 정부나 법 집행기관과 잘 협조하지 않기로 악명이 높긴 하지만, 최근 기조를 조금 바꾸기도 했고, 어찌됐든 정상 기업이기 때문에 수사기관의 요청이 있을 때 사용자(즉 해커들)의 정보를 넘길 수도 있다. 회사가 중앙에서 모든 사용자 정보를 수집해 가지고 있기 때문에 가능한 일인데, 포럼에서는 구조상 불가능하다. 

그 외에 익명성 보장이라는 측면에서 텔레그램이 아무리 그 방면으로 유명하다 해도 근본적으로 토르브라우저를 이길 수 없다. 텔레그램이 종단간 암호화를 한다 해도, 수사기관이 필요로 하는 메타데이터까지 숨기는 것은 아니라, 결국 범죄자의 로그인 IP나 기기정보, 접속 패턴 등이 수사기관으로 넘어가는 것도 가능하다.

그럼에도 불구하고

단점들이 분명하지만 최근 해커들은 텔레그램으로 빠르게 이동하고 있다고 사이퍼마는 설명한다. “우려되는 현상입니다. 텔레그램이 범죄 플랫폼이 되면서 ‘사이버 범죄로의 진입 장벽이 낮아지기’ 때문입니다. 텔레그램의 편의성이 초보 해커들도 더 심도 깊은 범죄에 참여할 수 있게 한다는 뜻입니다.”

텔레그램에서는 해커들이 빠르게 모이고 흩어질 수 있기 때문에(즉 갑자기 헤어져 못 만날 리스크가 적기 때문에) 범죄의 산업화도 촉진된다. “실제로 텔레그램 채널을 통해 구독형 악성코드가 활발히 거래되고 있으며, 자동화 봇 판매 및 해킹 도구 렌탈 업자들도 쉽게 접할 수 있습니다. 개개인이 해킹 기술을 부려 범죄를 저지르는 것보다, 조직화된 움직임이 훨씬 막기 힘들고 파괴적입니다.”

텔레그램의 빠른 속도 때문에 집단 동원 플랫폼으로 악용하기에도 안성맞춤이다. “디도스 공격을 예고하고, 그 목적을 알려 참여자를 모집한다고 했을 때 텔레그램과 포럼 중 어느 곳에서 더 즉각적 효과가 나타날까요? 핵티비스트들은 이미 텔레그램에서 정치적 선동을 과감히 하고 있으며, 그런 이데올로기 기반 공격을 활발히 기획하고 있습니다. 군중 심리를 즉각적으로 건드려 발동시킬 수 있게 해준다는 점에서 텔레그램은 매우 위험한 환경이 됩니다.”

가장 우려되는 건 사이버 범죄자들과 일반 사용자들이 한 공간에 모여들고 있다는 것이다. “다크웹 포럼의 경우 일반 사용자들이 우연히 들어가기가 쉽지 않았습니다. 그래서 거기는 순수히 해커들만 상주하는 곳이었어요. 텔레그램은 다르죠. 일반 텔레그램 사용자들이 세계적으로 얼마나 많은지 몰라요. 그 가운데 해커들이 스며들어 있다는 거죠. 아무 것도 모르는 일반 사용자들이 자의나 타의로 사이버 범죄에 연루되거나 물들 수 있습니다.” 이른 바 ‘범죄의 대중화’로 가는 길로 텔레그램이 우리를 안내하고 있는 건 아닐까 보안 전문가들은 걱정하고 있다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Telegram becomes the new dark web for cybercrime - Bitdefender , 2021년 영국 파이낸셜타임스·Cyberint 공동 조사 내용을 바탕으로, 다크웹 포럼 대신 텔레그램에서 계정 탈취 데이터·해킹 툴·위조 문서 등이 거래되며 “다크웹보다 더 편리한 옵션”으로 자리잡고 있다는 점을 분석한 보안 기업 기사
• Report: Telegram “Cybercrime Ecosystem” Rivals the Dark Web, but Much Easier to Access - Swarmnetics (KELA 리포트 요약) , 2023년 위협 인텔리전스 기업 KELA의 보고서를 바탕으로, 텔레그램이 다크웹 포럼과 견줄 정도의 사이버 범죄 생태계를 형성했으며 정보탈취 데이터, 금융정보, 마약·무기 등 불법 상품이 손쉽게 거래된다는 점을 요약한 기사
• Telegram: How a messenger turned into a cybercrime ecosystem by 2023 - KELA 위협 인텔리전스 보고서 (PDF) , 2023년 텔레그램 내 사이버 범죄 채널·봇·그룹 구조를 체계적으로 분석하고, 인포스틸러 유출 데이터 판매, 랜섬웨어·데이터 갈취 조직의 대체 인프라, 불법 실물 상품 거래 등으로 인해 텔레그램이 다크웹 대체 시장으로 기능하고 있음을 정량·사례 중심으로 제시한 기술 보고서
• DarkGram: A Large-Scale Analysis of Cybercriminal Activity Channels on Telegram - 학술 논문(프리프린트) , 2024년 339개 텔레그램 사이버 범죄 채널과 2,380만명 이상의 구독자를 대상으로, 침해 계정·말웨어·해킹 툴·피싱 링크 유포 실태를 계량 분석하고, 전통적인 다크웹 포럼보다 접근성이 낮은 장벽을 통해 새로운 “텔레그램 기반 다크웹” 생태계가 형성되고 있음을 보여주는 대규모 연구

가짜 텔레그램 퍼지며 오랜 망령들 되살아나

💡Editor’s Pick - 가짜 텔레그램 앱, 수개월째 퍼지고 있음 - 권한 상승시키고 원격 명령 실행 가능하게 하는 멀웨어 - 오래된 취약점과 공격 인프라 부활 가짜 텔레그램 앱이 안드로이드 생태계를 감염시키고 있다. 공격자들은 607개의 악성 도메인을 개설한 후 피해자들을 유입시킨 뒤 텔레그램 설치파일로 보이는 멀웨어를 심고 있다. 이 캠페인은 이미 수주

더테크엣지(The Tech Edge)문가용 기자

악명 높은 다크웹 운영자, 국제 공조로 체포돼

💡Editor’s Pick - 우크라이나인으로 보이는 용의자, 긴급 체포 - XSS의 운영자일 가능성 높아 보임 - 사이버 범죄로 인한 리스크, 점점 높아지고 있음 세계에서 가장 악명 높은 다크웹 시장 중 하나인 XSS.IS의 운영자로 보이는 한 우크라이나인이 22일 체포됐다. 유로폴과 프랑스 경찰이 이 작전에 참여했다. 사법 요원들은 한 발 더 나아가

더테크엣지(The Tech Edge)문가용 기자