사이버위협 범죄 대응 연구 방향

온라인 공개 정보의 연결망 분석 기법

이 글을 연세대 강정한 교수님, 경찰대학 김지온 교수님, 우병관 연구관, 권은낭 연구원님의 '사이버위협 범죄 연결망 분석 기법에 대한 연구'를 발췌 재구성한 것이다.  

1. 사이버공간에서의 위협 범죄

사람들이 온라인 공간에서 보내는 시간이 늘어나고, 디지털 거래가 일상화되면서 다양한 형태의 사이버 범죄와 위험이 늘어나고 있다. 보이스피싱, 스미싱, 인터넷 피싱, 몸캠 피싱이 수법을 오가면서 피해자를 현혹한다. 'N번방 사건'은 디지털 성착취가 얼마나 조직화하여 상호작용하면서 극단적이 될수 있는지를 보여주었다. 불법 수익을 암호화폐를 통해 유통해서 은닉한다. 마약-대포통장-성착취물 등 다크웹과 텔레그램, 트위터를 통해 불법 거래한다.  이런 위험은 앞으로 늘어날 것이다.  기술을 이용한 대응 방향은 무엇일까? 

2. 국내외 대응 노력과 수사 기법

한국 경찰은 사이버범죄를 신고할 때 수집하는 이름, 전화번호, 계좌번호, IP, ID, URL 등 정보를 모아서 조회할 수 있는 '사이버 인텔리젼스 시스템'을 경찰 폐쇄망에서 제공하고 있다. IBM의 데이터 분석 솔루션인 I2를 배포해서 자금의 흐름과 인물 간 통화 관계를 분석하는데 활용하기도 한다. IBM의 I2는 우리나라뿐 아니라 전 세계 법집행기관들이 많이 사용하는 프로그램이다. I2는 개별 사건  수사 고정에서 수집한 파일들에서 인물과 번호 등 요소(엔티티)를 연결해 보여줄 뿐만 아니라, 경찰 전산망의 DB에서 정보를 찾아내 구조화시켜 보여주는 강력한 도구이다.

  

I2에서 정보를 찾아 지리적으로 보여주는 기능

저장된 DB에서 요소들을 찾아서 시각화해주는 화면 (IBM 홈페이지)

전산망에 저장한 데이터 베이스에서 정보 요소를 찾아 분석해주는 기능은 아직 한국 법집행 기관에서는 활용하고 있지 않다. 솔루션을 구매해서 설치한다고 작동하지 않고, 데이터 실정에 맞는 개발이 필요하기 때문이다. IBM의 I2를 비롯한 분석 도구들이 반드시 가지는 기술은 '사회연결망 분석 기술'이다.

사회연결망 분석 기법은 많은 객체들이 가지고 있는 정보(이름, 전화번호, 장소,,)를 결합해서 각 객체 간의 관계를 연결하는 기법이다. 정보량이 많아질수록 어떤 객체가 가장 중요한 연결지점인지 찾아내는 분석이 필요하다. 가장 많은 선들이 연결되었는가? 서로 다른 집단을 연결하고 있는가? 최종 정보를 수신하는 자인가? 등 다양한 기준으로 연결망을 분석할 수 있다. 

 

사회연결망 분석 기법 예시 (출처 :https://url.kr/qhel57)

3. 사회 연결망을 활용한 사이버위협 범죄 대응

사회연결망 분석 기법을 활용해서 사이버 위협 범죄를 빠르게 탐지할 수 있을까? 저자는 디지털 성착취범 '박사방' 사건을 예시로 분석 시나리오를 제안했다. 1) 트위터에서 범인들이 자주 사용하는 키워드(조건만남, 스폰 알바 등)를 게재한 유저들의 ID, 게재글, 해시태그를 수집한다. 2) 작성자들이 최근 사용한 신종 키워드 '노예플'을 새로운 위험 키워드로 포착하고 그 게재자들의 ID를 2차 수집한다. 3) '노예플' 키워드 게시자의 게시글 리트윗 수가 가장 많은 ID를 선정해 경찰 활동 여부를 판단하는 것이다. 

경찰 정보시스템에서도 여러 정보를 그물망처럼 연결해서 분석하면 많은 단서를 찾을 수 있다. 사이버 인텔리젼스가 가지고 있는 ID와 계좌번호 등 요소를 넓혀가면서 정보를 훑으면 서로 다른 사건 속에서 같은 정보를 갖고 있는 사건들을 찾을 수 있었다. 

이런 분석을 위해 서로 다른 데이터를 잘 연결하는 속성 유형(스키마)을 만들어야 한다.  이런 연구를 쌓아 올려, 인터넷 공간의 위험을 빠르게 대응하고 수사를 효율적으로 할 수 있는 지원 시스템을 만들어야 한다고 주장한다. 

4. 스마트 치안 빅데이터 플랫폼 데이터 활용

어떤 정보를 어떻게 연결해야 할지 연구하는 것은 데이터 수집, 전처리, 분석, 시각화 등 지난한 과정을 거쳐야 한다. 비용도 많이 든다. 이 과정에 스마트 치안 빅데이터 플랫폼을 통해 수집한 데이터를 활용하면 좋을 것이다. 과기정통부 기금 지원을 받아 경찰대학이 만드는 이 플랫폼에는 경찰, 공공, 민간이 공유할 수 있는 치안에 대한 데이터를 쌓고 있다. 사이버 공간의 위협 대응에 사용할 데이터도 다양하다. 

<인피니 그루>라는 보이스피싱 대응 기업은 몸캠 피싱 악성 앱 apk 파일, 몸캠 피싱 악성 앱 설치 파일, 몸캠 피싱 악성 앱 특성 정보, 사기꾼 전화번호, 사기꾼 계좌번호, 문자 스미싱, 메신저(카카오톡) 피싱, 카카오톡 현혹 키워드, 사칭 이미지 스미싱 파일, 스팸 문자 등을 제공한다. 

범죄꾼들이 주로 활용하는 숨어있는 인터넷 공간 다크 웹 정보를 분석하는 전문 기업 <S2W>는 다크 웹에서 한국어 포럼 게시글, 마약 게시글, 성착취 게시글, 사이버 명예훼손 텍스트 정보, 사이버 범죄 이미지 데이터, 피해자 및 범죄자의 위치 정보, I2P  한국어 사이트 수사정보, 피해자 및 범죄자 이메일 주소, PGP Key, 위험 암호화폐 주소, Zeronet  한국어 사이트 수사정보 등을 찾아내서 저장하고 있다.

인터넷 사기 대응 민간 업체 <더치트>는 계좌번호에 대한 금융사기 주의 정보, 연락처에 대한 금융사기 주의 정보를 보내고 있다. 악성 IP 정보를 모아 온라인 안전 서비스에 제공하는 <지란지교 데이터>는 피싱 URL, IP, 유해한 동영상 URL, IP를 보낸다. <엠진 시큐러스>는 범죄 행위에 대한 게시물이 많은 사이트의 이름과 URL, IP, 웹 링크를 모으고 있다. 다양한 범죄 뉴스 데이터도 수집하고 있다.

스마트 치안 빅데이터 플랫폼의 지향점 : 깨끗한 사이버 공간 지원 

데이터는 모으고 있지만, 효과적인 활용을 위해서는 분석과 연구 개발이 필요하다. 사회연결망 기법을 통한 위험 탐지 기술을 만들어 경찰과 공공기관, 필요하다면 금융-통신-포털과 같은 민간 기관도 활용할 수 있다면 플랫폼을 운영하는 보람일 것이다.