위협 인텔리전스를 통한 인신매매 퇴치 - 검찰

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

저희는 인신매매 방지 및 완화를 위한 검찰의 노력을 지원하기 위해 Recorded Future® 플랫폼의 최신 데이터와 비공개 및 오픈 소스를 모두 분석하여 위협 인텔리전스 솔루션을 파악했습니다. 이 보고서는 총 4부로 구성된 시리즈 중 두 번째 보고서로, 첫 번째 보고서는 예방에 중점을 두었으며 이후 몇 달 내에 보호 및 파트너십 노력을 다루고, 해당되는 경우 위협 인텔리전스 솔루션을 제공하며, 완화 권장 사항을 제공하는 2건의 추가 보고서를 발행할 예정입니다.

Executive Summary

소스 및 데이터를 집계하고 분석하는 데 도움이 되는 위협 인텔리전스 솔루션은 인신매매 범죄를 조사하고 기소하려는 법 집행 기관의 노력을 지원할 수 있습니다. 인신매매범들은 역사적으로 백페이지와 유사한 웹사이트와 같은 기밀 웹페이지를 이용해 착취 서비스를 광고해 왔습니다. 백페이지가 폐쇄된 후 성인 서비스 온라인 광고는 여러 유사한 구인구직 웹사이트로 옮겨갔습니다. 레코디드 퓨처는 성인 분류 광고 페이지에서 66,000개 이상의 게시물을 수집하여 8개의 백페이지 유사 웹사이트에서 정보를 수집하고 분석했습니다. 이 데이터는 위협 인텔리전스 솔루션이 잠재적인 인신매매 지표를 식별하고 수사 및 기소 노력에 정보를 제공할 수 있음을 입증하는 개념 증명(POC) 연구로 활용됩니다.

인신매매범들은 착취적인 서비스를 광고할 때 사용자 이름, 이메일 주소, 전화번호 등 다양한 식별자와 연락처를 사용합니다. 이 정보는 인신매매와 관련된 다른 지표, 경고 신호 및 행동과 함께 법 집행 기관이 수사를 시작하고 사건을 구축하는 데 유용한 단서를 생성하는 데 도움이 될 수 있습니다.

성인 분류 웹 페이지에서 수집한 66,000개 이상의 게시물 데이터 세트에서 17,152개의 고유 전화번호와 3,357개의 고유 이메일 주소를 식별했습니다. 분석 대상은 주로 미국에 기반을 둔 오디언스를 대상으로 콘텐츠를 제공했으며 캐나다, 영국, 독일, 프랑스, 이집트, 도미니카 공화국, 케이맨 제도, 터크스 케이커스 제도, 바하마 등 다른 국가 및 지역을 언급하는 목록은 극히 일부에 불과했습니다.

이메일 주소와 관련된 추가 온라인 계정을 식별하는 데 도움이 되는 다양한 오픈소스 인텔리전스(OSINT) 도구와 결합하면 이메일 주소가 유용한 리드가 될 수 있습니다. 특히 이메일 주소의 로컬 부분(도메인 앞에 오는 부분)을 별도로 검색하여 로컬 부분이 사용자 이름으로 사용되는 추가 온라인 계정을 식별할 수 있습니다. 이 방법을 사용하여 잠재적 리드를 구축하여 이름 전체 또는 일부, 외모 정보, 최근 온라인 활동의 타임라인을 파악했습니다. 최근 플로리다주 폴크 카운티 보안관실 부서가 주도하는 인신매매 방지 노력과 인신매매 방지 정보 이니셔티브(ATII)에서도 유사한 방법론이 사용되었다는 사실을 발견했습니다.

주요 연구 결과

• 가장 많이 언급된 전화번호는 다음 미국 주의 접두사/지역 코드가 포함된 전화번호였습니다: 캘리포니아, 플로리다, 뉴욕, 뉴저지, 텍사스. 캘리포니아 접두사/지역 번호는 식별된 모든 전화번호 중 가장 많이 언급된 번호(약 19%)였습니다.
• 식별된 이메일 주소 중 약 97%가 이메일 도메인으로 gmail.com을 사용했습니다. 탐지된 나머지 3%의 이메일 주소는 다음과 같은 도메인에서 생성되었습니다: yahoo.com, mail.com, mail.aol.com, protonmail.com 및 소수의 일회용 임시 이메일 도메인(예: mojzur.com 및 wgraj.com)을 사용할 수 있습니다.
• 분석된 데이터 세트에서 사고 팔 수 있는 물건과 같이 사람을 물건으로 묘사하는 상품화 및 경멸적 언어의 형태로 경고 신호와 잠재적 인신매매 지표를 확인했습니다.
• 연구와 분석을 바탕으로 잠재적인 인신매매 단서를 식별하기 위한 다음과 같은 방법론을 구축했습니다: 인신매매가 의심되는 출처의 연락처 정보를 파악하고 수집합니다. 연락처 정보를 분류하여 공통점이나 추세를 파악하세요. 다양한 OSINT 도구를 사용하여 연락처 정보를 조사하세요.

배경

인신매매는 유엔 팔레르모 의정서에 명시된 것과 같이 다각적인 접근이 필요한 복잡한 문제입니다. 팔레르모 의정서는 예방, 보호, 기소, 파트너십 조치로 구성된 4P 패러다임의 기반이 되는 의정서입니다. 이 프레임워크에서 '기소'는 인신매매 범죄에 대한 수사와 기소를 모두 의미합니다.

위협 인텔리전스는 인신매매의 경고 신호와 잠재적 지표를 수집하고 식별, 즉 '표면화'하여 법 집행 기관의 수사 활동을 지원할 수 있습니다. 인신매매에 대한 단서를 찾을 수 있는 곳을 파악하고 소스 및 데이터를 수집, 집계, 분석하는 데 도움이 되는 위협 인텔리전스 솔루션을 사용하면 추가적인 가시성과 범죄를 식별할 수 있는 방법을 제공하고 데이터 분석을 통해 추가적인 인사이트를 확보할 수 있습니다.

첫 번째 보고서에서 언급했듯이, 인신매매범들은 역사적으로 백페이지와 유사한 분류된 웹페이지를 이용해 착취적인 서비스를 판매해 왔습니다. 위협 인텔리전스는 인신매매 의심 웹사이트에 대한 선제적인 조사, 모니터링 및 분석을 제공할 수 있습니다. 트래커들은 백페이지와 유사한 웹사이트에 악용 서비스를 광고할 때 이메일과 전화번호 등 다양한 연락 창구를 사용합니다. 식별되고 알려진 접촉 지점은 인신매매와 관련된 다른 게시물, 온라인 커뮤니티, 위협 행위자를 파악하는 데 사용될 수 있으며, 인신매매와 관련된 인신매매범 및 행동을 추가로 지목할 수 있습니다.

백페이지(backpage[.]com)는 2004년부터 2018년까지 미국에서 활동한 분류 광고 웹사이트였습니다. 이 웹사이트는 뉴 타임즈 미디어(일명 빌리지 보이스 미디어)가 소유했으며 크레이그리스트와 유사한 서비스를 제공하여 사용자가 개인, 자동차, 렌탈, 직업, 성인 서비스 등 다양한 카테고리에서 광고와 목록을 게시할 수 있도록 했습니다. 2018년 4월 8일, 백페이지는 '아동 성매매 묘사 광고' 및 자금 세탁 등 성매매와 관련된 혐의로 미국 법무부에 의해 압수수색을 당했습니다. 비평가들은 백페이지의 폐쇄로 인해 성 노동자들이 위험한 고객을 조사하고 법 집행 기관이 잠재적 인신매매범을 추적하는 것이 더 어려워졌다고 주장합니다. 백페이지가 폐쇄된 후 성인 서비스 온라인 광고는 종료되지 않고 여러 유사한 광고 웹사이트로 옮겨갔습니다. 인터넷을 이용한 인신매매의 증가하는 위협에 대응하기 위해 만들어진 두 개의 법안, ' 성매매 알선 행위 방지법(SESTA) '과 ' 국가와 피해자가 온라인 성매매와 싸우도록 허용하는 법(FOSTA)'은 인터넷에서의 표현의 자유와 수정헌법 1조에 대한 광범위한 영향을 미칠 수 있다는 비판을 받기도 했습니다.

조사 결과, 도메인 및 브랜딩에 '백페이지' 이름을 사용하는 웹사이트와 백페이지에서 사용하는 것과 유사한 개요 및 비주얼을 사용하는 웹사이트가 발견되었습니다. 백페이지와 유사한 웹사이트 8곳에서 정보를 수집하여 성인 분류 광고 페이지에서 66,000개 이상의 게시물을 수집했습니다. 수집된 정보를 분석한 결과, 위협 인텔리전스 솔루션이 법 집행 기관이 잠재적인 인신매매 지표를 발견하고 수사 및 기소 노력에 정보를 제공하는 데 도움이 될 수 있음을 보여주는 POC 연구입니다.

백페이지와 유사한 웹사이트를 지속적으로 모니터링하면 리스팅과 게시 날짜의 상관관계를 통해 더 많은 인사이트를 발견할 수 있다고 생각합니다. 수개월 또는 수년간 매일 데이터를 수집하는 등 지속적인 모니터링을 통해 패턴을 파악하여 특정 기간 동안 활동의 증가 또는 감소를 강조할 수 있습니다. 많은 백페이지와 유사한 웹사이트는 게시물의 날짜를 표시하지 않아 게시물이 게시된 특정 날짜와 시간을 식별하기 어렵기 때문에, 의심스러운 출처에 대한 지속적인 일일 데이터 수집은 새로운 이벤트의 타임라인을 구축하여 이러한 회피 기법을 잠재적으로 해결할 수 있습니다. 지속적인 모니터링 없이도 연구자들은 백페이지와 유사한 웹사이트에서 정보를 수집하여 데이터 스크래핑 시점의 활성 목록을 나타내는 귀중한 데이터 세트를 생성하고 이 데이터를 사용하여 키워드 또는 위치별 검색을 수행할 수 있습니다.

위협 분석

성인 분류 웹페이지에서 수집한 66,000개 이상의 게시물 데이터 세트에서 총 50,397개의 전화번호를 식별했으며, 이 중 17,152개가 고유 번호였습니다. 가장 많이 언급된 전화번호는 다음 미국 주의 접두사/지역 코드가 포함된 번호였습니다: 캘리포니아, 플로리다, 뉴욕, 뉴저지, 텍사스. 식별된 모든 전화번호에서 캘리포니아 접두사/지역 코드가 가장 많이 참조되었습니다(약 19%)(그림 1 참조).

분석 대상 소스는 주로 미국에 기반을 둔 오디언스를 대상으로 콘텐츠를 제공하는 것으로 나타났습니다. 이는 데이터 세트에서 발견된 위치의 참조와 식별된 전화번호의 접두사/지역 코드에 반영되었습니다. 미국(45,000건 이상의 참조) 외에도 다음과 같은 국가 및 지역에 대한 언급이 감지되었습니다: 캐나다, 영국, 독일, 프랑스, 이집트, 도미니카 공화국, 케이맨 제도, 터크스 케이커스 제도, 바하마. 미국 이외의 국가는 분석 대상 데이터에서 극히 일부에 불과했습니다. 지금은 사라진 백페이지와 마찬가지로 분석 대상은 미국에 집중되어 있었고, 일부는 미국에 위치한 주와 도시별로 성인 섹션만 세분화되어 있었습니다. 미국 이외의 국가에서는 분석 대상 8곳 중 4곳에만 전용 섹션이 있었습니다.

일부 동일한 전화번호가 여러 출처와 게시물에 걸쳐 나타나는 것을 발견했습니다. 예를 들어, 뉴저지 주와 관련된 접두사/지역 코드가 973인 전화번호가 4개의 다른 출처에 게시되어 55개의 목록에 표시되었습니다.

인신매매범들은 성 착취가 성인 서비스 제공에 종사하는 사람들의 자발적이고 합의된 선택이라는 인상을 주는 것으로 유명합니다. 유엔 초국가적 조직범죄 방지 협약에 따르면 인신매매 피해자의 동의는 중요하지 않습니다. 인신매매는 피해자가 처음에 착취적 서비스 제공에 동의했더라도 발생할 수 있습니다. 인신매매범들은 착취적인 서비스를 독립적이고 조직적이지 않은 것으로 광고하는 것으로 악명이 높습니다. 그러나 잠재적 경고 표시와 인신매매 표시가 있는 일부 게시물의 경우 동일한 전화번호나 이메일 주소가 수백 번 등장하는 것을 보면 이러한 광고가 조직적으로 관리되고 있음을 알 수 있습니다. 일부 목록에서는 자생적인 개인이 거의 사용하지 않는 상품화 및 경멸적인 언어의 형태로 경고 신호와 잠재적인 인신매매 징후를 발견했습니다. '관리'라는 영어 키워드로 데이터 세트를 쿼리했을 때, 일부 광고된 서비스의 조직화된 특성을 확인할 수 있었습니다.

인신매매범과 포주들이 자주 사용하는 상품화 언어의 다른 사례도 많이 발견했지만, 경멸적이고 노골적이기 때문에 이 보고서의 예시에는 포함하지 않기로 결정했습니다. 본질적으로 (위에서 설명한 것과 유사한) 이러한 용어는 사람을 물건으로 환원하여 개인을 시장에서 판매할 물건으로 상품화 및 대상화합니다.

수집된 데이터를 첫 번째 보고서에서 제공한 영어 인신매매 키워드 목록과 비교하여 쿼리한 결과 '매춘 업소', '구매자', '창녀', '피해자', '구매' 등 일부 키워드에 대한 언급을 발견했습니다.

또 다른 잠재적 인신매매 지표는 여러 장소를 잠재적 만남 장소로 나열하는 분류 광고(그림 5)로, 이는 서킷의 일부일 가능성이 높습니다. 예를 들어 샌디에이고, 라스베이거스, 포틀랜드 및 이들 지역 사이의 도시를 포함하는 서부 해안 인신매매 서킷은 인신매매범들이 자주 이용하는 경로입니다.

위에서 설명한 것과 같은 관심 키워드를 식별하면 법 집행 기관이 수사를 시작하고 사건을 구축하는 데 유용한 단서를 생성하는 데 도움이 될 수 있습니다.

전화번호를 제외하고 백페이지와 유사한 웹사이트에서 수집한 66,000개 이상의 게시물 데이터 세트에서 총 21,687개의 이메일 주소를 확인했으며, 이 중 3,357개가 고유한 이메일 주소였습니다. 이메일 주소의 약 97%가 gmail.com 도메인을 사용했습니다. 나머지 3%의 이메일 주소는 다음과 같은 도메인으로 탐지되었습니다: yahoo.com, mail.com, mail.aol.com, protonmail.com 및 소수의 일회용 임시 이메일 도메인(예: mojzur.com 및 wgraj.com)을 사용할 수 있습니다.

백페이지와 유사한 웹사이트의 목록을 분석하여 수집한 데이터 포인트는 법 집행 기관에서 잠재적인 피해자 또는 인신매매범을 식별하고 찾기 위해 추가로 조사할 수 있습니다. Google이나 야후와 같은 공개 상업용 통신 서비스 제공업체에 소환장을 발부받아 송달하면 이름, 계정 생성 정보, 관련 이메일 주소, 전화번호, 로그인 IP 주소 및 관련 타임스탬프, 이메일 콘텐츠 등 계정 소유자에 대한 추가 정보를 얻을 수 있습니다. 계정 등록에 사용된 정보 중 일부는 부정확하거나 가짜일 수 있지만, 수사기관은 인터넷 서비스 제공업체(ISP)에 이메일 제공업체에 로그인하는 데 사용된 IP 주소가 할당된 개인을 식별하도록 강요할 수 있습니다. ISP는 사용자의 이름, 실제 주소 및 기타 식별 정보를 제공할 수 있으며, 이는 우편물 표지 또는 공과금 청구서 확인을 통해 확인할 수 있습니다.

마찬가지로 전화번호 기록의 경우 수사관은 소환장을 사용하여 통신사에 가입자의 이름, 실제 주소, 지역 및 장거리 전화 연결 기록, 세션 시간 및 기간 기록, 서비스 기간(시작일 포함) 및 사용된 서비스 유형, 임시로 할당된 네트워크 주소를 포함한 기타 가입자 번호 또는 신분증, 해당 서비스에 대한 지불 수단 또는 출처(결제 카드 또는 은행 계좌 번호 포함) 등 기본적인 가입자 및 세션 정보를 공개하도록 강요할 수 있습니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.