사이버범죄에서 무고한 사용자들을 악용하는 간접정범 식별 수사 절차적 방안

Abstract

Cyber crime evolved itself every day. Criminals set up their plans more perfect and design various tricks not to be penetrated. Thus, they organize themselves to create more complex plans and study various unpredictable fraud methods. Some methods are invented to induce many innocent persons who can help veil criminals' tricks completely. Criminal who draws innocent peoples to his or her own plan is called as "Indirect Principal". Indirect principal exploits innocent agents to achieve his or her goal in cyber crime. To detect the criminal in cyber crime, previous solutions suggest user behavior surveillance scheme or traceable pre-mark packet scheme. However, previous researches regard innocent agent as an attacker without considering indirect principal case. In this thesis, we propose a novel approach of identifying indirect principal and innocent agents. Also, we show obtainable log including IDS alert, website access log, and web firewall log that can be determinate evidence of indirect principal and innocent agents

사이버 범죄는 나날이 진화해 가고 있다. 범죄자들은 수사관의 추적을 피하기 위해 다양한 속임수를 계획하고 수행한다. 심지어 범죄를 계획하는 사람과 직접 수행하는 사람의 역할이 분담되는 조직적인 형태를 구상하기도 한다. 이런 공격에 사용되는 속임수로 무고한 일반 사용자들을 부지불식간에 끌어들여 진짜 범죄자의 의도나 행위를 은밀히 숨기는 방법도 등장하기 시작했다.이렇게 범죄 동참 사실을 인식하지 못한 무고한 사용자를 통해 범죄를 조장하는 범죄자를 “간접정범(間接正犯)” 이라고 부른다. 그런데, 일반 사이버 공격에서 공격자를 탐지하기 위해 수행된 기존의 연구는 이러한 간접정범에 대한 고려가 없었다. 실제 공격자를 추적하기 보다는 공격을 어떻게 방어하느냐에 대한 연구이거나 피해 사이트 입장에서 봤을 때의 일차적 공격자, 즉 무고한 사용자를 추적하는 방법에 대한 연구였기 때문에 진범인 간접정범을 추적하는 연구는 이뤄진 바가 없다.이 연구에서는 사이버 상에서 발생할 수 있는 간접정범에 의한 범죄 수법으로서 CSRF 공격과 DDoS 공격에 대한 실험을 보여주며, 실험에서 설정된 간접정범과 무고한 사용자들의 행위들이 실제로 IDS, 웹서버 로그 및 웹 방화벽의 탐지 로그들의 기록들과 서로 어떤 연관성을 갖고 있는지를 보여주며, 이 자료들 중에서 무엇이 어떻게 조합될 때 간접정범과 무고한 사용자들을 증명할 증거가 될 수 있는 가를 제시한다.