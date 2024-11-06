2013년 8월 출시 이후 Telegram은 개인 정보 보호에 중점을 둔 사용자를 위한 메시징 앱으로 자리 잡았습니다. 앱 사용을 시작하기 위해 사용자는 실제 전화번호 또는 Fragment 블록체인 마켓플레이스에서 구매한 익명 번호를 사용하여 가입할 수 있습니다. 후자의 경우, Telegram은 사용자의 실제 전화번호나 기타 개인 식별 정보(PII)에 연결할 수 없습니다.
Telegram은 오랫동안 손을 대지 않는 검토 정책으로도 유명했습니다. 해당 플랫폼은 FAQ에서 개인 채팅은 전혀 검토가 불가능하다고 명시적으로 밝혔습니다. 대신 콘텐츠 검토는 사용자 중심으로 이루어졌으며 불법 활동 보고는 주로 사용자 자신에게 맡겨졌습니다. 이와 대조적으로, WhatsApp과 같은 많은 동종 업체는 콘텐츠를 조정하고 법 집행 기관과의 협력에 막대한 투자를 하고 있습니다.
이러한 특성으로 인해 Telegram은 사이버 범죄 및 기타 불법 활동을 위한 메시징 앱으로 선택되었습니다. 여기에는 멀웨어 배포, 불법 상품 및 서비스 판매, 조직원 모집, 사이버 공격 조직화 등이 포함됩니다. 더욱 조직화된 사이버 범죄 집단에게 Telegram은 운영 정보를 공유하고 불법 사업을 확대하는 허브 역할을 하는데, 이는 조직이 주류 채널을 통해 하는 것과 거의 같은 방식입니다.
하지만 2024년 8월 24일 프랑스에서 CEO Pavel Durov가 체포된 이후 Telegram의 사용자 프라이버시와 콘텐츠 검열 방식은 크게 변화했으며, 이후 몇 주 내에 FAQ 페이지와 개인정보 보호정책을 조용히 변경했습니다. Telegram의 대변인인 Remy Vaughn에 따르면 앱의 소스 코드는 변경되지 않았지만, 이제 사용자들은 불법 활동을 신고하여 자동 삭제 또는 수동 조정을 받을 수 있게 되었습니다. 또한, Telegram은 개인정보 보호정책을 업데이트하여, 유효한 법원 명령이 있을 경우 사용자의 전화번호와 IP 주소를 공개할 것이라고 밝혔습니다.
이러한 변화는 법 집행 기관의 올바른 방향으로 나아가기 위한 한 걸음이라고 할 수 있지만, 사이버 범죄 활동이 Signal 또는 Session과 같은 다른 플랫폼으로 마이그레이션되는 것을 촉진하기도 합니다. Bl00dy 랜섬웨어 조직으로 알려진 한 사이버 범죄 조직은 Telegram의 정책 변화의 직접적인 결과로 공개적으로 Telegram 탈퇴를 선언했습니다. 많은 핵티비스트 그룹들 또한 억압적인 정권에서 언론의 자유를 위해 Telegram에 의존하는 합법적인 사용자들과 마찬가지로 이를 따르고 있습니다.
안타깝게도 이러한 정책 변화는 사이버 범죄가 점점 더 광범위한 플랫폼에 걸쳐 파편화되고 있는 불법 활동을 단순히 대체하는 것으로 볼 수도 있습니다. 이로 인해 법 집행 기관과 사이버 보안 분석가들이 위협 행위자를 추적하고 차단하는 데 더 어려워질 수 있습니다. 예를 들어, 레드팀은 이러한 지하 커뮤니티에 접근하여 실제 피해를 입히기 전에 위협을 식별하고 완화하는 데 더 많은 어려움을 겪을 수 있습니다.
Telegram은 오랫동안 풍부한 위협 인텔리전스의 원천이 되어왔으며, 많은 공개 채널이 사이버 범죄 활동을 조직하는 데 사용되어 왔습니다. 비공개 채팅은 대부분 위협 분석가와 법 집행 기관 모두에게 완전히 금지되어 왔지만, 공개 채널에는 더 엄격한 관리 정책이 적용되어 범죄자를 폭로하는 데 더 쉬워질 가능성이 있다. 그러나 원칙적으로 이것이 나쁜 일이라고 주장하는 사람은 거의 없지만, 범죄자들이 다른 곳으로 이동할 수 있다는 경고가 따릅니다.
아마도 더 우려되는 것은 사이버 범죄자와 핵티비스트 모두를 국가가 후원하는 사이버 범죄와 사이버 스파이의 무기로 몰아넣을 가능성이 높아진다는 것입니다. 이는 또한 위협 행위자들이 Telegram보다 훨씬 덜 감시하는 엔드-투-엔드 암호화 및 탈중앙화 플랫폼을 사용할 가능성을 열어줍니다. 이는 공격을 시뮬레이션하거나 이러한 커뮤니티를 모니터링해야 하는 레드팀의 노력을 복잡하게 만들어 위협을 조기에 탐지하는 능력을 저하시킬 수 있습니다.
위의 내용이 반드시 Telegram에서 사이버 범죄 행위가 대량으로 이탈한다는 것을 의미하지는 않습니다. 결국, Telegram의 자체 데이터에 따르면, 월간 사용자 수가 약 9억 명에 달하는 이 플랫폼은 서비스형 악성코드와 같은 대규모 사이버 범죄 조직이 도달 범위를 확장하는 데 필요한 방대한 사용자층을 보유하고 있습니다.
또한 신규 사용자는 Fragment 블록체인을 사용하여 익명으로 가입할 수 있으며, 이 경우 법 집행 기관에서 사용자의 전화번호를 요청하는 것을 Telegram이 준수하겠다는 약속은 무의미해집니다. 하지만, Telegram은 여전히 IP 주소를 공유할 수 있으며, 이는 잠재적으로 사용자의 활동을 추적하는데 사용될 수 있습니다.
모든 보안 리더가 잘 알고 있듯이 사이버 범죄 작전이 플랫폼 전반에서 더욱 세분화됨에 따라 위협 환경은 끊임없이 변화하고 복잡해지고 있습니다. 많은 위협 모니터링 툴과 전략이 이를 따라잡는 데 어려움을 겪고 있어 Telegram 이외의 플랫폼에 대한 적용 범위가 제한적이거나 전혀 없습니다. 분산형 오픈소스 플랫폼의 지속적인 증가는 위협 사냥과 분석을 더욱 복잡하게 만들 것입니다. 또한 경쟁 국가들은 사이버 스파이 활동과 국가가 후원하는 사이버 범죄를 위한 자체 플랫폼을 개발하고 있습니다.
모든 플랫폼을 아우르고 여러 데이터 포인트를 통해 위협 기여도를 우선적으로 파악할 수 있는 사이버 보안에 대한 선제적인 자세가 그 어느 때보다 중요해졌습니다. 즉, 사람의 전문 지식과 고급 위협 분석 도구를 결합하여 숨겨져 있을 수 있는 채널의 인텔리전스에 액세스할 수 있습니다.
AI 기반 위협 인텔리전스는 유능한 보안 분석가의 전문 지식과 인사이트를 강력하게 보강합니다. 예를 들어, 언어적 특성을 조사하여 사용자의 글쓰기 스타일에 대한 고유한 프로필을 생성하는 스타일로메트리는 사용 중인 플랫폼에 관계없이 사이버 범죄자를 식별하고 내부자 위협을 탐지하는 데 도움이 될 수 있습니다. AI는 인간 분석가만으로는 감당할 수 없는 규모로 이를 실현할 수 있도록 지원합니다.
사이버 범죄자들이 점점 더 다양한 플랫폼으로 이동하고 있지만, 그들의 행동은 여전히 다양한 패턴에 노출될 수 있습니다. 특정 게시물의 타이밍과 상호작용 스타일 등 활동 추적 기능을 통해, 분석가들은 플랫폼 간 운영과 개인을 연결하는 데 도움이 되는 포괄적인 프로필을 구축할 수 있습니다.
거래 메타데이터나 암호화폐 거래 내역과 같은 데이터 포인트를 추적하는 것이 점점 더 어려워지거나 불가능해지겠지만, AI 기반 행동 분석 도구는 인간 분석가가 위협 행위자를 식별하는 데 도움을 주어 격차를 줄이는 데 도움이 될 수 있습니다. 사이버 범죄 활동이 여러 플랫폼으로 확산되고 보안 분석가가 차세대 사이버 위협에 대한 가시성을 유지하려고 함에 따라 이러한 보안은 더욱 중요해질 것입니다.