PC방 옮기고 ID 바꿔도 '패턴' 추적해 '꼬리' 잡았다
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
촛불시위에 참가한 여성을 경찰이 강간했다는 허위사실을 유포했다 잡힌 모 정당원 김모씨(36).경찰이 촛불시위에서 여성을 목졸라 살해했다는 글과 그림을 올려 구속된 지방 M신문사 최모 기자(46).광고 중단 협박에 가담했다 출국금지된 네티즌 20명 등.검찰과 경찰은 어떤 기법으로 이들을 추적해 신원을 알아냈을까. 인터넷주소를 바꾸고 PC방을 옮겨다니며 글을 올리는 지능범까지 잡아내는 추적기술은 '뛰는 네티즌 위에 나는 수사력'이라고 할 만하다.
◆1단계ㆍIP 확보
인터넷을 통해 글을 올리면 항상 해당 인터넷을 사용한 IP(인터넷주소)가 남는다. IP는 집주소와 같이 모든 인터넷 연결선에 달린다.
검ㆍ경은 특정 사이트에 올려진 어떤 글이 어느 통신사의 IP를 통해 작성됐는지 KT,하나로텔레콤,LG파워콤 등 통신 3사에 동시에 문의한다. 즉 게시판에 올려진 하나의 게시물뿐 아니라 수백개의 댓글이 어느 통신사를 거쳤는지 일일이 확인하는 수작업을 거친다. 통신사를 확인하면 이것이 가정인지,기업인지,공공기관인지,공용장소인지,PC방인지 확인하는 작업에 들어간다.
◆2단계ㆍID 확인
다음 단계는 게시판에 글을 올리기 전 해당 사이트에 접속할 때 사용한 ID(아이디) 확인이다. 검ㆍ경은 해당 사이트 운영업체를 통해 ID 보유자의 신원을 확인한다. 만약 IP 사용자와 ID 사용자의 신원이 같으면 해당 사용자는 허위사실 유포와 명예훼손 혐의로 검거된다. IP 사용자와 ID 사용자가 서로 다르면 해당 사용자가 ID를 도용했는지 여부를 가린다.
◆3단계ㆍ유동IP 장소 확인
PC방 등을 전전하며 여러 공용PC로 범행하는 경우 추적은 까다로워진다. IP가 시시때때로 변하기 때문이다(유동IP).모 정당인 김씨는 수사당국의 추적을 피하기 위해 불특정 다수가 사용하는 서울 송파구~영등포구 PC방 등 서울 전 지역을 오가며 글을 올렸고,타인 명의와 주민번호를 도용한 ID를 사용했다.
하지만 경찰은 결국 그를 송파구 소재 모 PC방에서 체포했다. 수사당국은 어느 지역 어느 PC방의 몇 번 자리 PC에서 해당 글을 올렸는지 IP 조회를 통해 알아낸다.
◆4단계ㆍ하드디스크 분석
다음은 해당 PC방 수색이다. 해당 글을 올린 PC 자리를 찾아내고 PC 하드디스크를 확보한다. 허위사실 유포 글이 2008년 6월6일 오전 10시30분 특정 인터넷 게시판에 올라왔다면 그 전후 시간대 PC의 모든 인터넷 로그기록을 분석한다. 분석틀은 이른바 '패턴분석'.인간은 '습관의 동물'이란 것에 초점이 맞춰진다. 범인은 일정한 패턴을 보인다는 것.PC방 이용동선ㆍ인터넷 사용 패턴 등이 대표적이다.
모든 흔적을 종합 분석하면 검ㆍ경은 신원을 파악한 뒤 주변 PC 등에서 잠복근무한다. 탐문수사도 이어진다. 검찰 관계자는 "보다 정밀한 분석틀이 있으나 수사기밀에 해당돼 공개할 수 없다"고 말했다. 이 관계자는 "타인을 비방하거나 악질적 허위사실을 유포하는 인터넷 사범은 반드시 잡힌다고 보면 된다"고 강조했다.
이해성 기자 ihs@hankyung.com
◆1단계ㆍIP 확보
인터넷을 통해 글을 올리면 항상 해당 인터넷을 사용한 IP(인터넷주소)가 남는다. IP는 집주소와 같이 모든 인터넷 연결선에 달린다.
검ㆍ경은 특정 사이트에 올려진 어떤 글이 어느 통신사의 IP를 통해 작성됐는지 KT,하나로텔레콤,LG파워콤 등 통신 3사에 동시에 문의한다. 즉 게시판에 올려진 하나의 게시물뿐 아니라 수백개의 댓글이 어느 통신사를 거쳤는지 일일이 확인하는 수작업을 거친다. 통신사를 확인하면 이것이 가정인지,기업인지,공공기관인지,공용장소인지,PC방인지 확인하는 작업에 들어간다.
◆2단계ㆍID 확인
다음 단계는 게시판에 글을 올리기 전 해당 사이트에 접속할 때 사용한 ID(아이디) 확인이다. 검ㆍ경은 해당 사이트 운영업체를 통해 ID 보유자의 신원을 확인한다. 만약 IP 사용자와 ID 사용자의 신원이 같으면 해당 사용자는 허위사실 유포와 명예훼손 혐의로 검거된다. IP 사용자와 ID 사용자가 서로 다르면 해당 사용자가 ID를 도용했는지 여부를 가린다.
◆3단계ㆍ유동IP 장소 확인
PC방 등을 전전하며 여러 공용PC로 범행하는 경우 추적은 까다로워진다. IP가 시시때때로 변하기 때문이다(유동IP).모 정당인 김씨는 수사당국의 추적을 피하기 위해 불특정 다수가 사용하는 서울 송파구~영등포구 PC방 등 서울 전 지역을 오가며 글을 올렸고,타인 명의와 주민번호를 도용한 ID를 사용했다.
하지만 경찰은 결국 그를 송파구 소재 모 PC방에서 체포했다. 수사당국은 어느 지역 어느 PC방의 몇 번 자리 PC에서 해당 글을 올렸는지 IP 조회를 통해 알아낸다.
◆4단계ㆍ하드디스크 분석
다음은 해당 PC방 수색이다. 해당 글을 올린 PC 자리를 찾아내고 PC 하드디스크를 확보한다. 허위사실 유포 글이 2008년 6월6일 오전 10시30분 특정 인터넷 게시판에 올라왔다면 그 전후 시간대 PC의 모든 인터넷 로그기록을 분석한다. 분석틀은 이른바 '패턴분석'.인간은 '습관의 동물'이란 것에 초점이 맞춰진다. 범인은 일정한 패턴을 보인다는 것.PC방 이용동선ㆍ인터넷 사용 패턴 등이 대표적이다.
모든 흔적을 종합 분석하면 검ㆍ경은 신원을 파악한 뒤 주변 PC 등에서 잠복근무한다. 탐문수사도 이어진다. 검찰 관계자는 "보다 정밀한 분석틀이 있으나 수사기밀에 해당돼 공개할 수 없다"고 말했다. 이 관계자는 "타인을 비방하거나 악질적 허위사실을 유포하는 인터넷 사범은 반드시 잡힌다고 보면 된다"고 강조했다.
이해성 기자 ihs@hankyung.com