통신사 로그기록 보관기간 - tongsinsa logeugilog bogwangigan

IP추적 수사 방법 언제쯤 IP기록이 소멸될까? (+보관 기간, 통신사 아이피 추적 VPN 경찰)

아이피(IP) 사용기록과 주소만으로 위치 추적, 역추적이 가능할까요? 디지털 기술의 발달은 사회 전반을 보다 윤택하게 만들었습니다. 하지만 이로 인한 폐해도 있습니다. ‘n번방’과 같은 음성화된 범죄가 대표적인 예입니다.

최근 IP 추적 기술이 발달하면서

- 커피숍, 도서관, 독서실, 회사, 지하철, 기숙사, 고시원, 원룸 등의 공용 인터넷,
공공 와이파이로 토렌트 사용하면 적발될 수 있나요? (범인이 특정되나요?)
- 그런 사례가 있나요?
- 공용 인터넷, 공공 와이파이 + 중고 스마트폰 공기계를 사용해 받으면 안 걸리나요?

라는 질문이 많아 IP추적의 개념에 대해 자세히 알아보겠습니다.

일단 IP는 인터넷 프로토콜, Internet Protocol 약자로, 라우터를 식별하는 고유의 숫자를 말합니다. 쉽게 말하면 여러분의 컴퓨터, 휴대폰 등 장비의 주소라고 할 수 있습니다. 사이버 범죄를 추적할때 가장 중요한 점은 아이피 주소 위치를 파악하는 것입니다.

IP 안에서도 사설 IP, 공인 IP로 나뉩니다. 사설 IP는 네트워크(Network) 안에서 사용되는 주소 (내부적으로 사용되는 고유한 주소)로 사설 IP는 인터넷상에서 확인할 수 없고 개인 네트워크에서만 사용이 가능한 IP를 말합니다.

가정이나 소규모 사무공간에서 공유기/라우터 등의 장비가 하나의 공인 IP를 할당받고 NAT 방식을 통해 여러 컴퓨터가 나누어 인터넷을 쓰는 방식을 사용될 때 주로 사용되며 132.145.0.0 이나 172.16.0.0, 10.0.0.0 으로 IP가 시작한다면 사설 IP를 사용하고 있다고 보셔도 됩니다.

1. 아이피 주소 추적 가능할까요?  

결론부터 말하자면 아이피 주소만 있으면 위치 추적이 가능합니다. 다만, '국가권력'이 있어야 할 것입니다.하지만 개인이 아이피 주소만으로 정확한 위치를 특정하는 것은 거의 불가능합니다.추적이 가능한 불법 프로그램을 사용하거나 컴퓨터에 능통한 사람이 아니라면 개인이 아이피 주소만으로 위치를 특정할 수는 없다고 봐도 무방합니다.

일반적인 인터넷 공간이라면 인터넷 프로토콜(IP) 등을 통해 업로더를 추적할 수 있습니다. 하지만 ‘토르’ 브라우저로 접속하는 ‘다크웹’은 이조차도 어렵습니다. 토르는 사용자의 IP를 입구, 중계, 출구 등 3개 노드를 거쳐 목적지(사이트)에 도착하도록 합니다. 서버 기업이나 수사기관이 확인할 수 있는 토르 사용자의 최종 IP는 출구 노드로 파악되기 때문에 실제 사용자 IP는 파악하지 못합니다.

토르 같은 브라우저가 아니더라도 문제는 남습니다. 범죄가 발생한 공간의 소유주가 해외 기업일 경우 국내법의 적용 대상이 아니기 때문에 수사협조를 받기 어렵습니다. 특히 n번방,아청물의 근원지인 텔레그램의 경우 현재까지 자사의 데이터를 어디에도 제공하지 않은 것으로 유명한 기업입니다.

2. IP추적 수사방법, 압수수색

일단 사건이 접수되고 죄가 성립된다고 수사가 진행되면 서버가 있다면 공조 요청(자료 수집 단계)을 하게 됩니다.

1) 해당 서비스를 관리하는 회사에 정보 공개를 요청하게 됩니다.
국내/국외 기업도 마찬가지입니다.
네이버 뉴스에 악성 댓글을 달았다면 수사관은 네이버에 n번방 같은 경우는 텔레그램에 카톡 대화 내용이라면 카카오에 어떤 정보를 요청하느냐?
피해자가 접수한 내역을 증명하는 자료를 요청하게 됩니다.

누가, 언제, 어디서, 무엇을, 어떻게, 왜 예를 들어 피해자가 ID로 계시된 글에 가해자로 의심되는 ID에 사용자가 언제 접속하여 어떤 댓글을 남기고 서버에 남아있는 IP는 어떻게 되는지? 공문을 보내게 되는 거죠.

그러면 서비스 제공 사업자는 수사기관에서 요청한 정보를 수사관에게 제공하게 되는 거죠.
여기에는 사용자의 접속 시간, ID 정보, IP, 사용이력(어떤 페이지를 들어갔는지), 무엇을 했는지, 어떤 글을 작성했다면 작성한 글도 모두 알 수 있습니다.

그럼 텔레그램처럼 외국에 서버를 두고 익명성을 목적으로 정보를 제공하지 않는 경우는요?? VPN을 경유한 경우는요??
해외에 서버를 두고 있는 ‘에스크’나 '텔레그램' 등 수사관도 모든 사건에 대해 해외 경찰에게 공조수사를 요청하기는 어려운 것이 사실입니다.

하지만 범죄 혐의가 의심되고 아동 음란물과 같은 죄질이 나쁜 사건은 수사가 100% 불가능한 것은 아닙니다. 이유는 수사는 서비스 제공자가 주는 데이터에 의존하지 않기 때문인데요

2) 통신사 정보 제공 요청

의심되는 IP를 찾았다면 통신사에 해당 IP에 대한 접속 이력을 시간별로 요청을 합니다.

범죄 영화나 드라마에서 보면 통신사에 휴대전화 통화 내역을 뽑아서 몇시 몇분에 누구와 얼마나 통화를 했네?를 아는 것처럼 해당 IP의 접속 이력을 모두 뽑아 봅니다. 가해자 IP, 접속 서버 IP, 사용 Port 접속해서 어떤 일을 했는지? 네트워크 상에 Network Flow 정보를 수집을 하는 거죠

Network Flow 란?

누가 언제 어디서 무엇을 어떻게 네트워크를 사용하는지에 관한 정보를 수집하는 건데요
원래 목적은 이와 같은 정보를 분석하여 장애를 유발할 수 있는 네트워크 취약점을 파악하여 장애를 예방할 수 있으며 효율적으로 네트워크를 운영할 목적이었습니다. 사용자를 찾는데 아주 효과적인 거죠.

Q. 유동 IP는 못 찾지 않나요? IP 바뀌면 끝인데...
A.네 우리가 집에서 사용하는 IP나 휴대폰은 고정 IP를 사용하지 않습니다.
90% 이상은 유동 IP를 사용하여 IP가 바뀌게 되는 거죠
하지만 해당 시간대에 사용한 IP 정보를 받으면 MAC 주소도 가지고 있습니다.
또한 유동 IP도 대역으로 일정한 지역에 배정이 되는데요.
인근 지역(동네)까지 범위를 좁힐 수 있는 거죠.
유동 IP도 지역 거점 라우터와 모뎀에서 사용자에게 배정한 IP 정보를 보통 3개월에서 6개월을 보관하고 있습니다.

이 과정을 거친 후 이제 통신사 서버 이력뿐만 아니라, 비트코인 거래소의 거래내역, OFF 라인에서 증거들 될만한 모든 이력을 수집합니다. 이렇게 수집한 정보를 모아 모아 수사관은 법정에서 증거로 사용될 수 있게 보고서 작업을 하게 되는 거죠. 그리고 결정타를 날리게 됩니다.

3)압수 수색

사이버 수사대는 합법적으로 아이피 주소를 추적해 IP로 할당된 가입자의 인적사항을 확인할 수 있습니다. 수사 대상에 따라 차이가 있지만 IP추적 프로그램을 돌리면 해당 IP 주소를 추적하는데 빠르면 30초안에 모든게 끝납니다. IP주소가 확인되면 소유자의 신상정보를 파악해 피해발생 경중에 따라 압수수색을 집행할 수도 있습니다.

뉴스를 보시면 경찰이나 검찰이 사건 현장을 급습하여 PC를 압수수색하는 장면을 보셨을 겁니다. 결정적인 증거를 잡기 위해 PC를 통으로 뜯어와 포렌식을 하게 됩니다.

그동안 모아 모아 영끌한 증거를 바탕으로 킬링 포인트 결정적인 정보는 PC의 하드디스크를 분석하여 기존의 데이터와 맞추는 작업을 하게 되는 겁니다. 접속 로그, 인터넷 쿠키 정보, 로그인 계정, IP 정보 등등 PC 뜯으면 그동안의 모든 악행을 확인하는 과정을 거처 증거자료로 빼박이 되는 거죠.

3. 자주하는 질문

Q. 회원탈퇴후 IP기록 -해당사이트에 게시물 (사진, 영상) 이 존재하는 경우 실수로 삭제 못하고 탈퇴했을 때 3 ~ 6개월 정도만 지나면 안전한 건가요?? 해당 통신사가 ip보관하는 기간이 다른가요?? 

A. 통상적으로는 ip기록 3개월 보관됩니다.그 기간안에 경찰이 서버 압수했다면 계정 탈퇴해도 소용 없답니다.  ip기록 지났더라도 가입하는데 사용한 메일 계정을 계속 사용한다면 메일로도 추적이 가능하답니다

Q. 다수가 이용하는 커피숍, 독서실, PC방, 대중교통 등의 공용 인터넷,
공공 와이파이를 사용했을 시, 경찰이 범인을 특정 가능한가요?
▶ 이런 곳의 ip로 나오면, 경찰이 CCTV나 ip 로그인 분석 등을 할까요?

A.만일 경찰이 살인범 등 중범죄자를 쫓고있고, 그 범인이 어떤 커피숍, PC방, 도서관, 지하철 등
에서 인터넷이나 와이파이 사용한 흔적이 있다는 단서가 잡히면, 커피숍, PC방, 도서관내의
CCTV 및 주변 CCTV 등 총동원해서라도 범인을 잡으려고 노력합니다.

하지만 중범죄가 아닌 토렌트로 아청물, 음란물 저작권고소 정도의 혐의라면, 굳이 그렇게까지
하지 않을 것으로, 일반적으로 예상되고 있습니다.

즉, 경찰이 꼭 잡으려고 한다면야, 주변 CCTV분석 및 해당 커피숍, PC방, 도서관, 독서실 등의
공유기에 기록된 맥 어드레스(맥 주소) 분석, 그 시간대 해당 공유기 ip로 거쳐간 싸이트, 네이버
등의 로그인 정보 등 분석... 등 수사기법을 총동원해서 범인을 잡을 수 있겠지만... 즉
"수사 의지"에 달린 문제이나, 일반적으로 작은 사건은 그정도까지 깊게 수사하진 않는다는
게 정설입니다. (물론 반드시 그렇단 건 아니고 언제나 예외는 있을 수 있음

Q. 소규모 인원이 쓰는 공용인터넷, 공용와이파이 경우는?
A.기숙사, 회사, 원룸 등 공동 인터넷을 4~5명 정도의 소규모 인원이 사용 중이라면, 경찰이
그 사람들 모두를 조사해 실제 범인을 찾아내려 할 수도 있습니다.

즉, 그들 모두를 소환해 신문하거나, 해당 건물, 호실의 네트워크 장비(공유기, 라우터)에
기록된 맥 어드레스를 조사해서 범인을 특정하려 할 수 있으나, 이 역시 꽤 귀찮은 수사일
터이므로, 담당 경찰의 수사의지에 달린 셈입니다.

Q.공용 인터넷, 공공 와이파이로 적발되면 누구 앞으로 경찰의 소환연락 오나요?
A.아청물/음란물로 ip가 경찰에게 적발되거나, 저작권물로 ip가 저작권자에게 캡처되어 고소당하면
경찰은 그 ip의 명의자 신원을 인터넷 통신사(KT,LG,SK)에 요청합니다. 이때 요청방식은 아래와
같습니다.

"귀사 가입자중 O년O월O일 O시O분O초에 123.456.789 라는 ip를 사용한 사람이 누구냐?"

※ 명의자란 그 회선의 "요금을 내는 사람"을 의미합니다. 따라서 경찰의 소환연락은 해당 공용 인터넷의
관리주체에게 먼저 오게 됩니다. 
※ 모든 네트워크 방식(집인터넷, 공유기 와이파이, LTE, 3G 등등)은 ip를 남기고, 해당 통신사들은 
각 유저의 ip를 보관하는데, 보통 3~6개월 혹은 그 이상 보관한다고 합니다.

Q.여러명이 쓰는 공용 인터넷, 공용PC를 이용해 위법행위 했을시 누가 범인인지

명확히 알 수 없는 경우 어찌 되나요?

A.경찰이 직접 적발하는 아청물, 음란물 등이 문제된 경우는 명확한 행위 주체 (즉 범인, 피의자)를

경찰이 확실한 증거 하에 밝혀내야 처벌이 가능합니다.

그런데 저작권 등 경미한 고소 사건 경우는, 경찰에겐 그다지 중요치않은 (귀찮은) 사건이므로 

만일 명확히 범인을 알 수 없다면 그냥 증거불충분으로 무혐의 처리하기도 하고, 혹은 해당 기기

의 관리 주체를 피의자로 지목하여 사실상 선처인 "기소유예"처분을 하기도 합니다.

Q.맥 어드레스(맥 주소)란 무엇이며, 기록에 남나요?

맥 어드레스(MAC address, 맥 주소)란, "인터넷 연결 기능"이 있는 모든 기기에 부여된 고유한

인식번호를 말합니다. PC나 노트북의 메인보드에 내장된 랜카드에도 맥 어드레스가 있고,

스마트폰이나 태블릿에도 있고, 공유기에도 맥주소가 따로 있습니다. (마치 "주민등록번호"처럼

모든 기기마다 각각 다른 번호가 부여돼 있고, 소위 "공기계"도 당연히 맥 어드레스가 있습니다.)

이러한 맥 어드레스는 가정내 공유기 혹은 공용 공유기에 기록됩니다. 즉 내가 어떤 공유기를

통해 인터넷이나 와이파이를 이용한 경우, 그 공유기에 내 기기(PC, 폰 등)의 맥 어드레스가

기록되는 것. 아래 스샷처럼...(아래 스샷은 iptime사의 공유기 경우)

기타 궁금하신 점이 있으면 아래 오픈톡방 또는 댓글로 문의주시면 감사하겠습니다.(소정의 비용이 발생됩니다.)

open.kakao.com/o/sZkbOfXc

n번방 방지법 아청법 디스코드 처벌 기준(+수사 협조 무료방 음란물 위반)

n번방 방지법 아청법 시청 처벌 사례 언제쯤 되야 안심할수 있을까?(+구글드라이브 아청법)

아청법 저작권 관련 자주하는 질문 모음(+유포 소지)