최근 몇 년간 스마트폰의 보급률이 폭발적으로 증가하면서 사이버범죄는 기존의 수사체계의 한계를 넘어서는 새로운 형태의 수사단서들을 쏟아내고 있다. 일선 경찰관서에서는 사건 접수 시 피해자로부터 이러한 형태의 수사단서를 수집하여 방대하게 축적하고 있으나, 이를 체계적으로 관리하고 있지 않아 많은 데이터 속에서 이것이 내포하고 있는 숨은 의미를 지나치는 경우가 많다. 사이버범죄에서 주 범행 도구인 컴퓨터 시스템의 특성상 기계적이고 복잡한 단서가 대량 생성되므로, 수집된 수사단서를 체계적으로 분류, 단순화하여 분석할 필요가 있다. 본 논문에서는 국내에서 발생되는 사이버범죄 유형에 따른 수사단서를 체계적으로 분류, 단순화하여 주요수사단서를 선정하고, 데이터 마이닝 및 시각화를 통해 사건 수사단서 간 상호 연관성을 확인할 수 있었다. 이러한 사이버범죄 데이터 활용을 통해 범죄 조기차단 및 중복수사를 방지하여 수사의 효율성을 증대하고 사이버범죄 예방을 도모하고자 한다.
최근 몇 년간 스마트폰의 보급률이 폭발적으로 증가하면서 사이버범죄는 기존의 수사체계의 한계를 넘어서는 새로운 형태의 수사단서들을 쏟아내고 있다. 일선 경찰관서에서는 사건 접수 시 피해자로부터 이러한 형태의 수사단서를 수집하여 방대하게 축적하고 있으나, 이를 체계적으로 관리하고 있지 않아 많은 데이터 속에서 이것이 내포하고 있는 숨은 의미를 지나치는 경우가 많다. 사이버범죄에서 주 범행 도구인 컴퓨터 시스템의 특성상 기계적이고 복잡한 단서가 대량 생성되므로, 수집된 수사단서를 체계적으로 분류, 단순화하여 분석할 필요가 있다. 본 논문에서는 국내에서 발생되는 사이버범죄 유형에 따른 수사단서를 체계적으로 분류, 단순화하여 주요수사단서를 선정하고, 데이터 마이닝 및 시각화를 통해 사건 수사단서 간 상호 연관성을 확인할 수 있었다. 이러한 사이버범죄 데이터 활용을 통해 범죄 조기차단 및 중복수사를 방지하여 수사의 효율성을 증대하고 사이버범죄 예방을 도모하고자 한다.
In recent years, as smart phone penetration rate is growing explosively, new forms of cyber crime data is poured out beyond the limits of management system for cyber crime investigation. These new forms of data are collected and stored in police station but, some of data are not systematically manag...
In recent years, as smart phone penetration rate is growing explosively, new forms of cyber crime data is poured out beyond the limits of management system for cyber crime investigation. These new forms of data are collected and stored in police station but, some of data are not systematically managed. As a result, investigators sometimes miss the hidden data which can be critical for a case. Crime data is usually generated by computer which produces complex and huge data and records many logs automatically, so it is necessary to simplify a collected data and cluster by crime pattern. In this paper, we categorize all kinds of cyber crime and simplify crime database and extract critical clues relative to other cases. Through data mining and network-visualization, we found there is correlation between clues of a case. From this result, we conclude cyber crime data mining helps crime prevention, early blocking and increasing the efficiency of the investigation.
In recent years, as smart phone penetration rate is growing explosively, new forms of cyber crime data is poured out beyond the limits of management system for cyber crime investigation. These new forms of data are collected and stored in police station but, some of data are not systematically managed. As a result, investigators sometimes miss the hidden data which can be critical for a case. Crime data is usually generated by computer which produces complex and huge data and records many logs automatically, so it is necessary to simplify a collected data and cluster by crime pattern. In this paper, we categorize all kinds of cyber crime and simplify crime database and extract critical clues relative to other cases. Through data mining and network-visualization, we found there is correlation between clues of a case. From this result, we conclude cyber crime data mining helps crime prevention, early blocking and increasing the efficiency of the investigation.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구에서는 형사사법시스템에서 처리되지 않던 수사단서를 주요수사단서로 선정한다. 그리고 사건간 중복 값을 측정하여 동일 범죄군으로 판단하고자 한다. 주요수사단서로 선정된 수사단서들은 연속형보다는 범주형 데이터가 대부분을 차지하고 있다.
본 연구에서는 이러한 중복수사를 방지하기 위해 1개의 수사단서에 한정하지 않고 Table 3에서 선정한 주요수사단서간의 결합을 통해 사건 간 하나 이상의 중복되는 수사단서를 가지는 경우 동일 범죄로 판단할 것을 제안한다. 또한 동일 범죄로 판단된 사건의 실제 연관성 역시 확인해 보고자 한다.
본 논문에서는 수사단서 결합을 통한 동일범죄 판단실험을 위해 2013. 11월경부터 2014.
본 논문에서는 주요 수사단서 선정 및 네트워크 시각화 기법을 이용하여 인터넷 사기 및 신종금융범죄의 주요단서의 중복확인을 통해 사건 간 연결고리를 추적하였다. 추적결과 서로 다른 계좌를 이용한 사건에서 계좌정보를 제외한 수사단서 간 연관성을 확인할 수 있었으며 실제로도 해당 사건들은 동일 피의자의 범행임을 확인할 수 있었다.
본 논문은 이러한 관점에서 사이버범죄의 유형을 체계적으로 분류하고 각 유형에서 주요한 수사단서를 선정한 후, 수사단서를 결합하였을 때 별개의 사건이동일 사건으로 군집화 됨을 보이고자 한다.
제안 방법
11월경부터 2014. 1월경사이 실제 일선 경찰서 사이버수사팀에 접수된 인터넷 물품사기사건 중 피의자 AXX와 연관된 사건정보와 국내 최대 인터넷 사기 검색 사이트인 더치트4), 국내 포털 사이트인 네이버 카페 중고나라 (cafe.naver.com/ joonggonara)에서 위 사건과 관련한 사건 정보를 검색, 수집하였으며, 이를 바탕으로 각 경찰서의 사건번호(C)를 기준으로 인적사항과 전화번호, 계좌번호 등은 모두 개인정보보호를 위해 가명으로 변경하고 날짜는 재구성하여 Table 4와 같이 총 13개 사건의 사건정보를 정리하였다.
는 Cheng and Church가 제시한 개념에 대해 더 나아가 그래프-이론적으로 접근하였다. Fig.3.의 오른쪽 그래프에서와 같이 DNA 마이크로어레이에서 Gene(객체)와 Conditions(속성) 를 이분그래프(bipartite graph)7)로 표현하고 각각의 Gene과 Condition을 유전자 특성에 맞게 연결한 후, 많은 Gene이 연결되어 있는 바이클러스터링 군집(가중치 있는 군집)에 대해서는 하위그래프 (Sub-graph)로 따로 추출하여 중요한 유전자 군집으로 다루었다[8].
본 논문에서는 수사단서 연관성에 대한 네트워크 추적기법의 유효성 검증을 위해 2014년 1월 한달 간 더치트에 등록된 인터넷물품사기사건 총 2,144건에 대해 사건정보를 수집하여 시각화하였다. 등록된 사건 내 많은 정보 중 제2장에서 선정한 인터넷물품 사기 주요수사단서인 계좌, 아이디, 전화번호에 대해서만 추출하였으며, 더치트에 등록된 게시물 번호를 하나의 사건(node)으로 표현하고, 사건 간 중복되는 수사단서가 있는 경우 연결(edge)하였다.
우선 고유한 값을 가지는 수사단서로는 계좌번호, 출금지점 금융기관코드, 전화번호, IP, 주민등록번호(피의자 또는 참고인), apk hash 값 등이 있다. 또한 고유한 값은 아니나 고유한 값의 수사단서와 결합하여 사용할 수 있는 수사단서인 apk명, 사이트, 아이디를 주요 수사단서로 선택하고자 한다. Table 3은 각 사이버범죄 유형별 주요 수사단서를 선정한 결과이다.
사이버범죄에서도 유전자와 같이 각 사건(객체)은 다양한 수사단서(속성)를 포함하고 있으며, 수사단서가 100% 일치하는 사건은 극히 일부에 불과하다. 본 연구에서는 사건에 대해 바이클러스터링 군집화 기법을 적용하여 중복된 수사단서가 있는 경우 동일 범죄로 판단하기로 한다. 그러나 Fig.
이와 같이 현재 사건 병합의 기준이 되고 있는 계좌는 더 이상 유일한 단서가 아니며, 동일 계좌에 따른 이송규칙에 의해 오히려 동일 인터넷사기 범죄가 전국에 흩어져 있는 여러 명의 수사관에 의해 중복 수사되는 결과를 초래하고 있으며, 신종금융사기 범죄 역시 병합기준이 없는 탓에 중복수사가 이루어지고 있다. 본 연구에서는 이러한 중복수사를 방지하기 위해 1개의 수사단서에 한정하지 않고 Table 3에서 선정한 주요수사단서간의 결합을 통해 사건 간 하나 이상의 중복되는 수사단서를 가지는 경우 동일 범죄로 판단할 것을 제안한다. 또한 동일 범죄로 판단된 사건의 실제 연관성 역시 확인해 보고자 한다.
실제 위 사건들은 접수될 당시 인터넷물품사기 사건으로 취급되어 최초 접수관서의 담당 수사관들에 의해 범행에 사용된 계좌의 개설금융지점 관할경찰서 (취급관서)로 이송되었으며, 이를 이송 받은 취급관서의 수사관들은 이송 받은 사건간의 연관성을 자체 고려하여 여러 개의 접수사건을 하나의 사건번호(C) 로 병합, 입건하였다. 그 결과 Table 4에서는 하나의 사건에 여러 개의 금융계좌, 전화번호, 아이디 정보를 포함하고 있다.
의미 있는 범죄정보 추출을 위해서는 이렇게 수집된 수사단서 중 주요한 데이터를 선택, 데이터 전처리, 데이터 변환을 거친 후 데이터 마이닝을 하게 되는데, 본 연구에서는 Table 2에서 언급한 수사단서중 유일한 값 또는 고유한 값으로 인식될 수 있는 정보를 선택하여 본격적으로 데이터 마이닝을 하고자 한다. 우선 고유한 값을 가지는 수사단서로는 계좌번호, 출금지점 금융기관코드, 전화번호, IP, 주민등록번호(피의자 또는 참고인), apk hash 값 등이 있다.
대상 데이터
본 논문에서는 수사단서 연관성에 대한 네트워크 추적기법의 유효성 검증을 위해 2014년 1월 한달 간 더치트에 등록된 인터넷물품사기사건 총 2,144건에 대해 사건정보를 수집하여 시각화하였다. 등록된 사건 내 많은 정보 중 제2장에서 선정한 인터넷물품 사기 주요수사단서인 계좌, 아이디, 전화번호에 대해서만 추출하였으며, 더치트에 등록된 게시물 번호를 하나의 사건(node)으로 표현하고, 사건 간 중복되는 수사단서가 있는 경우 연결(edge)하였다.
본 연구에서는 형사사법시스템에서 처리되지 않던 수사단서를 주요수사단서로 선정한다. 그리고 사건간 중복 값을 측정하여 동일 범죄군으로 판단하고자 한다.
데이터처리
Table 5에서 선정한 사건의 주요수사단서를 활용 하여 동일 수사단서를 가진 사건에 대해 수사단서가 중복될수록 서로에 대한 중복 값을 두어 그 값의 높고 낮음에 따라 동일 사건 여부를 판단한다. 사건 간 중복 값을 계산하기 위해서는 Algorithm 1을 이용 하였다.
이론/모형
주요수사단서로 선정된 수사단서들은 연속형보다는 범주형 데이터가 대부분을 차지하고 있다. 이러한 수사단서의 특성에 따라 데이터 마이닝 기법 중 비지도 학습(unsupervised learning) 및 여러 유형의 데이터 속성을 다룰 수 있는 계층적 군집화 분석 방법(Hierarchical clustering)을 이용하여 실험한다.
성능/효과
각 사건은 노드(node)로 표현하고, 사건 간 동일한 값을 가지는 수사단서는 각 속성에 따라 다양한 선(edge)의 종류로 표현하였다. B 군집에 속해있는 사건들의 수사단서 값을 확인한 결과 총 9개의 금융계좌, 13개의 아이디, 7개의 전화번호가 사용된 것으로 확인되었다. 또한 노드 내 숫자가 높을수록 나중에 발생된 사건으로, 노드 내 숫자를 통해 시간요소를 표현하였으며, 실제 각 사건의 발생일자는 Fig.
각각의 사건은 노드(node)로 표현되며, 사건 간 수사단서가 중복될 경우 선 (edge)으로 연결하였다. 그 결과 A ( C 1 - C 2 - C 5 - C 6 - C 7 - C 1 1 ) 와 B(C4-C8-C13-C12)에서 군집이 확ta인되었다, 결과적으로 각 군집 내 사건은 서로 다른 형태의 수사단서를 공유하고 있으나 시각화를 통해 동일 범죄의 군집인 것으로 확인되었다. 실제로도 해당 사건의 공범 피의자들은 각자 다른 전화번호와 아이디를 사용하며, 여러 개의 계좌를 공동으로 사용한 것으로 확인되었다.
Table 6에서 중복단서 값을 보면 동일 피의자 AXX 정보 외에도 절반 이상의 사건들은 서로 중복 수사단서를 가지고 있는 것으로 확인된다. 그 중 C4-C8 사이의 중복단서 값은 5로 가장 많은 중복 값을 가지는 것으로 확인되었으며, 5개의 중복 값은 모두 피의자 정보가 중복되는 것으로 확인되었다.
또한 인터넷 사기 사례에 대해 수사단서 연관성 분석을 통해 동일 범죄군임을 확인할 수 있었으며, 수사단서간의 변동 패턴에 따라 피의자 조직의 범행 추이에 대해서도 확인할 수 있었다.
종합적으로 보면 사건들은 최초 계좌(점선으로 연결)로 연결되었다가 다시 아이디와 전화번호로 연결 (실선으로 연결)이 이어지다가 재차 계좌로 연결되는 흐름을 반복하고 있다. 이와 같은 데이터 마이닝 과정을 통해 다량의 대포통장을 사용하는 피의자들이 새로운 대포통장으로 범행도구를 변경하더라도, 각수사단서의 변경시점은 서로 다른 패턴을 보이므로 계좌 외의 수사단서를 활용하면 피의자들의 범행을 놓치지 않고 추적할 수 있다.
본 논문에서는 주요 수사단서 선정 및 네트워크 시각화 기법을 이용하여 인터넷 사기 및 신종금융범죄의 주요단서의 중복확인을 통해 사건 간 연결고리를 추적하였다. 추적결과 서로 다른 계좌를 이용한 사건에서 계좌정보를 제외한 수사단서 간 연관성을 확인할 수 있었으며 실제로도 해당 사건들은 동일 피의자의 범행임을 확인할 수 있었다.
이 사건의 특징은 피의자들이 휴대폰 대리점을 사칭하며 최신형 스마트폰을 판매할 것처럼 피해자들을 기망한 것으로, 1~2일 사이에 하나의 계좌당 최대 30명 이상의 피해자를 발생시킨 사건이다. 특히 거래물품의 금액이 고가로 피해자 1인당 피해 금액이 상당하였으며, 그로 인하여 하나의 계좌로 인해 발생된 피해금액의 총합이 평균 8백만원 이상에 달하는 것으로 확인되었다. 피의자들은 이러한 수법으로 몇 년에 걸쳐 수 십 개의 대포통장을 이용하여 범행을 저질렀으나, 각 계좌의 개설지점이 전국적으로 흩어져 있는 이유로, 경찰청 인터넷 사기 이송규칙에 의해 각기 다른 경찰관서에서 수사가 진행되었을 것으로 추정된다.
후속연구
이러한 인출책들은 항상 금융기관의 CCTV에 노출되는데, 만약 사건 종결할 때마다 검거하지 못한 인출책의 CCTV 사진을 출금금융기관 지점코드와 지리정보시스템을 결합한 시스템에 저장하는 형태로 데이터를 축적하면, 이후 해당지역을 순찰하는 지역경찰은 이 시스템을 활용하여 해당 금융지점 ATM 인근 지역에 대해 주요 인출책에 대한 탐지 및 식별이 가능해진다. 또한 인출책을 검거한 경우에도 축척된 CCTV 사진 DB에서 안면인식 기능을 연동하여 여죄 검색에도 활용할 수 있을 것이다.
현재 경찰에서는 상습사기에 사용된 것으로 확인된 금융계좌에 대해서는 금융기관을 상대로 지급정지를 요청할 수 있다. 만약 사건을 접수한 수사관이 범행에 사용된 아이디 또는 전화번호와 같이 주요 수사단서에 대한 연관성을 조회할 수있는 시스템을 구축하여 활용할 수 있다면, 해당 수사단서가 상습사기에 사용되었음을 확인하는 등 접수된 사건단서를 대상으로 동일 범죄 조직에 의해 저질러졌음을 알 수 있고 이와 같은 대량피해의 확산을 조기에 차단할 수 있을 것이다.
이러한 조사를 통해 동일 피의자 또는 조직이 범행할 때 이용한 계좌 정보 외에 전화번호, 아이디 등의 수사단서를 통해서도 동일 범죄 파악이 가능함을 알 수 있다. 이와 같은 동일 범죄 파악기법을 사건 접수초기단계에 활용한다면 13개의 경찰관서에서 별도로 처리되던 사건을 최소 5개의 사건(A, B, C, D, E)으로 줄일 수 있으며 중복수사의 수고를 덜 수 있을 것이다.
이와 같이 각 수사단계에서 수집된 수사단서들을 축적하고, 이를 유기적으로 결합하여 본 논문에서 제시된 연관성 분석 및 시각화 기법을 활용하면 사이버 범죄 수사의 효율성을 높일 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
수사관은 어떻게 범죄자를 추적하는가?
범죄자는 범행현장에 흔적을 남기고 수사관은 범죄자가 남긴 수사단서 수집을 통해 범인을 추적한다. 경찰청에서는 이렇게 수집된 수사단서를 형사사법정보시스템에 범죄데이터정보, 범죄수사정보[1] 형태로 저장하며 이를 활용하여 각종 강력범죄, 교통사고, 지능범죄들을 해결하고 있다.
데이터마이닝이란?
수집된 정보나 구축된 데이터베이스에서 의미 있는 정보를 가려내는 기법 중 하나가 바로 데이터마이닝이다. 데이터마이닝은 대량의 데이터로부터 지식을 추출하는 과정 또는 기법을 말하는 것으로, 쌓여가는 데이터 속에서 의사결정에 필요한 중요한 정보를 파악하고, 각 데이터간의 패턴을 인식하는 과정이다[2]. 범죄수사에서도 이러한 기법을 이용하여 주요한 수사단서 간의 결합 또는 분류를 통해 의미 있는 정보를 추출하여 적극 활용한다면 효율적인 수사가 가능하다.
인터넷 사기와 사이버 금융범죄에는 어떠한 유형들이 있고, 각 유형은 어떤 수사단서를 포함하고 있는지 분석할 필요가 있는 이유는?
인터넷 사기는 다른 범죄의 발생건수에 비해 상당히 많이 발생한다. 그래서 언뜻 많은 수의 범죄자가 범죄를 일으키는 것처럼 보이나 실제로 수사를 하다 보면 사실 소수의 피의자 또는 전문 범죄조직에 의해 사건이 대량으로 발생되는 경우가 많다. 여기서 주목해야 할 점은 동일 조직의 피의자에 의해 발생된 인터넷 사기 사건이라면 그들이 남긴 수사단서 역시 비슷한 패턴 또는 중복되는 단서가 존재할 가능성이 있다는 점이다. 따라서 인터넷 사기와 사이버 금융범죄에는 어떠한 유형들이 있고, 각 유형은 어떤 수사단서를 포함하고 있는지 분석할 필요가 있다.
참고문헌 (8)
Dong hwan Lee and Changwon Pyo, "A Systematic Plan to Collect and Analyze Criminal Intelligence by Police," Korea Institute of Criminology, pp. 1-137, Dec. 2005.
Joon Woo Kim, Joong Kweon Sohn, and Sang Han Lee, "Usefulness of Data Mining in Criminal Investigation," Journal of Forensic and Investigative Science, 2(2), pp. 5-19, Dec. 2006.
Keiwon Kim, Jinwan Seo, "The Study on the Typology of Cyber Crime," Korean Public Management Review, 23(4), pp.95-118, Dec. 2009.
Jiawei Han and Micheline Kamber, "Data Mining Concepts and Techniques," Morgan Kaufmann Pub, pp. 608, Nov. 2005.
Jeonghwa Lee, Youngrok Lee and Chi-Hyuck Jun, "Biclustering method for time series data analysis," Industrial Engineeering & Management Systems, 9(2), pp. 131-140, Jun. 2010.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.