2020.09.09

"적에게 무장 경찰을 출동시킨다" '스와팅'의 의미와 사례

Josh Fruhlinger | CSO
스와팅(Swatting)이란 경찰을 속여 중무장한 경찰 병력(SWAT 팀인 경우가 많고 그래서 스와팅이라는 이름이 붙음)을 피해자의 집이나 회사로 출동시키는 일종의 괴롭힘이다.
 
ⓒ Getty Images Bank

미국 로스앤젤레스 경찰 당국(Los Angeles Police Department, LAPD)은 2020년 8월에 발생한 한 스와팅 공격에 대한 보도자료에서 “스와팅이라는 용어는 거짓 응급 전화를 걸어 대규모 경찰 대응을 촉발하는 행위를 가리킨다’고 정의했다.

LAPD는 이어 "스와팅은 위험하고 지역사회와 응급 의료 체계에 해를 끼친다"라고 덧붙였다. 스와팅을 하는 사람은 무장 경찰이 사전 경고 없이 피해자의 집에 들이닥치게 함으로써 피해자에게 죽음에 대한 공포를 불러 일으키는 데서 재미를 느낀다. 경찰은 무장한 위험 인물을 상대하고 있다고 생각하므로 돌발적인 상황에 따라 재물 손상이나 부상, 사망이 발생하기도 한다.


스와팅 수법, 신상털기와 병행

스와팅은 기본적이면서 간단한 패턴을 따른다. 공격자가 피해자 지역의 관할 경찰서에 전화를 걸어 피해자의 집에서 흉악 범죄 또는 급박한 상황이 발생하거나 곧 발생할 것 같다고 신고한다. 많은 경우, 인질극 상황이라고 주장하면서 경찰 대응팀이 무력 충돌에 대비하도록 유도한다. 인질 가운데 한 명이 이미 살해되거나 곧 살해될 것 같다는 말도 자주 한다.

스와터(Swatters)은 경찰 공격을 유도하기 위해 사용하는 수법은 다양하다. 스와팅을 하려면 일단 피해자가 어디에 사는지를 알아야 한다. 따라서 스와팅은 집 주소와 같은 개인 정보를 알아내 동의 없이 공개하는 신상털기(doxing)와 병행되는 경우가 많다. 스와터는 보통 이 신상털기 작업부터 시작하는데, 신상유포자는 누군가 바통을 이어받아 스와팅을 해주기를 바라는 마음으로 개인정보를 공개적으로 게시하거나 판매한다.

스와터는 자신의 신분도 숨겨야 한다. 신고 전화에서 더 그럴듯하게 상황을 연출하고, 기만 행위가 드러난 후 추적을 피하기 위해서다. 스와터는 일반적으로 비교적 간단히 발신 번호를 속일 수 있는 발신자 ID 스푸핑(spoofing)을 사용한다. 신상털기를 통해 피해자의 전화번호를 알아낸 경우에는 더욱 사실적으로 보이도록 피해자 스스로 전화를 건 것처럼 911 신고 대응 담당자를 속이는 경우가 많다. 

또한 스와터는 청각 장애인의 문자 메시지를 다른 사람에게 음성으로 중계하는 서비스인 전신 타자기(teletypewriter, TTY) 중계 서비스도 사용한다. TTY 서비스는 의무적으로 호출 및 호출자를 기밀로 유지해야 하므로 이 수법을 통해 익명성을 한층 더 높일 수 있다.

이와 같은 수법에는 그다지 많은 리소스나 기술이 필요없음에도 가해자가 처벌을 피하는 데 있어 상당히 효과적이다. 크렙스 온 시큐리티(Krebs on Security) 블로그 운영자이며 스와팅 미수 피해자이기도 한 브라이언 크렙스는 뉴욕타임스와의 인터뷰에서 "모든 유형의 범죄와 마찬가지로, 비용이 제로이고 견제력이 매우 낮은 경우 범죄자에게는 완벽한 기회이므로 해당 범죄에 시간과 노력을 들이게 된다"라고 말했다.


대표적인 스와팅 사례 5가지 

유명한 스와팅 사건 몇 가지를 살펴보기 전에 스와팅을 하는 사람의 유형을 이해하기 위해 이 수법의 역사를 조금 더 알아보자. 앞서 언급했듯이 스와팅에는 정교한 기술이 필요없다. 그럼에도 스와팅이 처음 인기를 끈 곳은 해커 집단, 그리고 경쟁이 치열한 비디오 게임 스트림 등 기술에 초점을 둔 온라인 공간이다. 

스트리머들은 자신의 오디오나 비디오를 게임 스트림과 함께 방송으로 내보내므로 경쟁자가 이들을 스와팅하면 공격 당사자는 물론 집에서 스트리밍을 보고 있던 다른 시청자들도 경찰이 들이닥치면서 일어나는 혼란을 고스란히 지켜볼 수 있고 이것이 스와팅 공격에 관음증적 성격을 더한다. 특히 유명 여성 스트리머들이 스와팅 공격을 받은 사례가 있다.

이들 커뮤니티에서 인기를 끈 스와팅은 범위를 더 넓혔다. 예를 들어 소셜 미디어 플랫폼에서 강제 탈퇴된 사람이 분노로 소셜 미디어의 고위 임원들에게 스와팅 공격을 가한 경우가 발생했다. 정치적인 목적으로 범행하는 스와터도 있다. 스와팅을 중범죄로 분류하는 법안을 발의한 미 의원을 대상으로 한 스와팅 공격이 발생했다. 주목할 만한 스와팅 사례는 다음과 같다.

- 매튜 웨그먼(Matthew Wegman)
전화 해킹 분야에서 '릴 해커(Li’l Hacker)'라는 별명으로 활동했지만 법에 무지했던 10대 청소년이며 스와팅의 초기 개척자로 분류된다. 2005년에 자신과의 폰 섹스를 거절한 여성의 아버지 집에 스와팅 공격을 가하면서 FBI의 수사망에 처음 올랐으나 2009년 유죄가 확정되어 교도소에 수감될 시점까지 그 외의 수많은 다른 사고에도 연루된 것으로 확인됐다.

- 리그 오브 레전드(League of Legends) 테러
캐나다의 한 10대(미성년자인 관계로 신원 공개가 되지 않음)가 2015년 23건의 스와팅 공격 혐의에 대한 유죄를 인정했다. 이 가운데 상당수가 자신의 온라인 친구 요청 수락을 거부한 여성 리그 오브 레전드 플레이어를 대상으로 한 공격이었다. 또한 이 10대는 폭탄 테러 협박으로 디즈니랜드(Disneyland)의 스페이스 마운틴 운영을 중단시키기도 했다. 스스로는 '무료함'으로 인해 범죄를 저질렀다고 말했지만 그의 어머니는 아들이 게이밍 그룹의 나이 많은 회원에게 이끌려 나쁜 길로 빠졌다고 말했다.

- 세르게이 보브넨코(Sergey Vovnenko) 대 크렙스
앞서 언급한 보안 연구원 브라이언 크렙스는 2013년 스와팅 미수 사건 피해자였다. 보브넨코가 활동했던 러시아어로 운영되는 해킹 포럼에 크렙스가 침입하자 보브넨코는 크렙스의 집 주소로 헤로인이 배달되도록 했다. 보브넨코의 계획은 배달 직후 경찰이 크렙스의 집을 급습하도록 하는 것이었다(크렙스가 낌새를 알아차리고 직접 경찰에 신고함으로써 이 계획은 수포로 돌아갔다).

- 타일러 배리스(Tyler Barriss)
온라인 게임 내의 사소한 다툼이 가장 악명높은 스와팅 사건 가운데 하나로 이어졌다. 케이시 바이너와 셰인 개스킬은 온라인 게임을 하면서 다퉜다. 바이너가 타일러 배리스에게 개스킬을 스와팅하도록 요청하자 개스킬은 '해볼 테면 해보라'면서 가짜 주소를 알려줬다. 경찰이 이 주소로 출동한 후 거주자인 앤드류 핀치는 현관문을 열고 나오다가 경찰에 의해 사살됐다. 배리스는 이런 결과는 없었지만 이전에도 여러 사람을 스와팅한 적이 있었다. 배리스와 바이너는 징역형을 받았고 개스킬은 검사와의 합의로 기소를 면했다. 핀치를 사살한 경찰관은 기소되지 않았다.

- 로스앤젤레스 BLM(Black Lives Matter)
2020년 8월, 신원이 알려지지 않은 911 신고자가 로스앤젤레스 BLM 운동의 리더인 멜리나 압둘라의 집에서 인질을 잡고 있다고 주장했다. 현장이 인스타그램에 라이브로 스트리밍되는 사이 경찰이 압둘라의 집을 포위했고 대치는 충돌 없이 마무리됐다. 신고자는 BLM에 대한 '불만 메시지를 전달하기 위해' 이 같은 행동을 저질렀다고 말했다.


스와팅 관련 통계

스와팅이 얼마나 보편적인지는 사실 알기 어렵다. 약 10년 전부터 경찰이 인지하고 있는 범죄임에도 불구하고 FBI의 범죄 통계 데이터베이스에서 아직 구체적인 범주로 분류되지 않기 때문이다.

전 FBI 특수 요원으로 많은 스와팅 사건을 수사했으며 이후 텍사스 주 알링턴 경찰 부서장이 된 케빈 콜바이는 NBC 뉴스와의 인터뷰에서 "스와팅의 대부분은 '오인 경찰 신고(false police report)'라고 부르며 '테러리스트 위협'으로 분류하기도 한다. 많은 스와팅 데이터가 그룹화되지 않고 있고 따라서 관심을 끌지 못하는 상황이다"라고 설명했다.

또한 콜바이는 이코노미스트와의 인터뷰에서 스와팅 사건의 수가 2011년 약 400건에서 2019년 1,000건 이상으로 늘어나는 등 증가 추세라고 말했다. 


스와팅을 방지, 대처하는 방법

긴급한 도움 요청에 대응하기 위한 중무장한 경찰 기동대가 존재하는 한 스와팅은 예방하기가 어려운 수법이다. 그러나 여러 각도에서 스와팅 문제를 해결하고자 한 시도는 있었다.

스와팅 공격을 줄이는 한 가지 방법은 잠재적 피해자에게 스와팅 수법을 알리고 모범적인 온라인 신원 관리법을 설명하는 것이다. 기본적으로 신상털기를 차단하기 위한 방법과 동일한 부분이 있다. 신상털기가 불가능한 사람은 스와팅도 당하지 않는다. 누구나 최소한 집 주소나 전화번호가 간단한 구글 검색만으로 발견되도록 해서는 안 된다. 

보안업체 클라우드플레어(Cloudflare)는 게임 커뮤니티에서 아직 스와팅이 빈번한 만큼 특히 온라인 게이머(나이가 어리고 개인정보보호에 다소 둔감한 경우가 많음)는 게임 내 채팅이나 게임 포럼에서 잠재적 신원 정보를 노출하면 안 된다고 강조했다. 그 이상의 보호를 원할 경우, 게이머는 VPN을 통해 인터넷에 연결해 자신의 IP 주소를 숨길 수 있다. 신상유포자는 피해자의 위치를 찾는 데 IP 주소를 사용할 수 있기 때문이다.

미국 경찰 쪽에서도 911 신고 접수 요원들의 대응 능력을 향상시키기 위해 스와팅에 대한 교육을 실시했다. 미국 비상전화번호 협회에서 발행한 가이드에도 스와팅에 대한 내용이 나오지만 "초기에 이런 전화를 실제 사고 전화와 구분하는 것을 불가능하다. 콜센터는 기존 표준 절차에 따라 정상 통화로 처리해야 한다"라고 강조했다. 이 가이드는 "신고 대응 담당자가 최대한 오래 호출자와의 전화를 유지해야 한다"면서, "구체적인 질문을 하고 대답을 이전에 제공된 정보와 비교하면 (구분에) 도움이 될 수 있다"라고 설명했다.

스와팅에 대한 예방적 대응을 위해 더 적극적인 조치를 취한 경찰서도 있다. 미국 시애틀 시의 경우, 스와팅 공격 대상이 될 것으로 걱정되는 사람은 직접 등록할 수 있다. 이렇게 해도 경찰 특공대가 등록된 주소지로 출동하는 것을 막을 수는 없지만 출동한 경찰관이 장난 신고일 가능성을 인지하고 대처할 수 있다. editor@itworld.co.kr 


2020.09.09

"적에게 무장 경찰을 출동시킨다" '스와팅'의 의미와 사례

Josh Fruhlinger | CSO
스와팅(Swatting)이란 경찰을 속여 중무장한 경찰 병력(SWAT 팀인 경우가 많고 그래서 스와팅이라는 이름이 붙음)을 피해자의 집이나 회사로 출동시키는 일종의 괴롭힘이다.
 
ⓒ Getty Images Bank

미국 로스앤젤레스 경찰 당국(Los Angeles Police Department, LAPD)은 2020년 8월에 발생한 한 스와팅 공격에 대한 보도자료에서 “스와팅이라는 용어는 거짓 응급 전화를 걸어 대규모 경찰 대응을 촉발하는 행위를 가리킨다’고 정의했다.

LAPD는 이어 "스와팅은 위험하고 지역사회와 응급 의료 체계에 해를 끼친다"라고 덧붙였다. 스와팅을 하는 사람은 무장 경찰이 사전 경고 없이 피해자의 집에 들이닥치게 함으로써 피해자에게 죽음에 대한 공포를 불러 일으키는 데서 재미를 느낀다. 경찰은 무장한 위험 인물을 상대하고 있다고 생각하므로 돌발적인 상황에 따라 재물 손상이나 부상, 사망이 발생하기도 한다.


스와팅 수법, 신상털기와 병행

스와팅은 기본적이면서 간단한 패턴을 따른다. 공격자가 피해자 지역의 관할 경찰서에 전화를 걸어 피해자의 집에서 흉악 범죄 또는 급박한 상황이 발생하거나 곧 발생할 것 같다고 신고한다. 많은 경우, 인질극 상황이라고 주장하면서 경찰 대응팀이 무력 충돌에 대비하도록 유도한다. 인질 가운데 한 명이 이미 살해되거나 곧 살해될 것 같다는 말도 자주 한다.

스와터(Swatters)은 경찰 공격을 유도하기 위해 사용하는 수법은 다양하다. 스와팅을 하려면 일단 피해자가 어디에 사는지를 알아야 한다. 따라서 스와팅은 집 주소와 같은 개인 정보를 알아내 동의 없이 공개하는 신상털기(doxing)와 병행되는 경우가 많다. 스와터는 보통 이 신상털기 작업부터 시작하는데, 신상유포자는 누군가 바통을 이어받아 스와팅을 해주기를 바라는 마음으로 개인정보를 공개적으로 게시하거나 판매한다.

스와터는 자신의 신분도 숨겨야 한다. 신고 전화에서 더 그럴듯하게 상황을 연출하고, 기만 행위가 드러난 후 추적을 피하기 위해서다. 스와터는 일반적으로 비교적 간단히 발신 번호를 속일 수 있는 발신자 ID 스푸핑(spoofing)을 사용한다. 신상털기를 통해 피해자의 전화번호를 알아낸 경우에는 더욱 사실적으로 보이도록 피해자 스스로 전화를 건 것처럼 911 신고 대응 담당자를 속이는 경우가 많다. 

또한 스와터는 청각 장애인의 문자 메시지를 다른 사람에게 음성으로 중계하는 서비스인 전신 타자기(teletypewriter, TTY) 중계 서비스도 사용한다. TTY 서비스는 의무적으로 호출 및 호출자를 기밀로 유지해야 하므로 이 수법을 통해 익명성을 한층 더 높일 수 있다.

이와 같은 수법에는 그다지 많은 리소스나 기술이 필요없음에도 가해자가 처벌을 피하는 데 있어 상당히 효과적이다. 크렙스 온 시큐리티(Krebs on Security) 블로그 운영자이며 스와팅 미수 피해자이기도 한 브라이언 크렙스는 뉴욕타임스와의 인터뷰에서 "모든 유형의 범죄와 마찬가지로, 비용이 제로이고 견제력이 매우 낮은 경우 범죄자에게는 완벽한 기회이므로 해당 범죄에 시간과 노력을 들이게 된다"라고 말했다.


대표적인 스와팅 사례 5가지 

유명한 스와팅 사건 몇 가지를 살펴보기 전에 스와팅을 하는 사람의 유형을 이해하기 위해 이 수법의 역사를 조금 더 알아보자. 앞서 언급했듯이 스와팅에는 정교한 기술이 필요없다. 그럼에도 스와팅이 처음 인기를 끈 곳은 해커 집단, 그리고 경쟁이 치열한 비디오 게임 스트림 등 기술에 초점을 둔 온라인 공간이다. 

스트리머들은 자신의 오디오나 비디오를 게임 스트림과 함께 방송으로 내보내므로 경쟁자가 이들을 스와팅하면 공격 당사자는 물론 집에서 스트리밍을 보고 있던 다른 시청자들도 경찰이 들이닥치면서 일어나는 혼란을 고스란히 지켜볼 수 있고 이것이 스와팅 공격에 관음증적 성격을 더한다. 특히 유명 여성 스트리머들이 스와팅 공격을 받은 사례가 있다.

이들 커뮤니티에서 인기를 끈 스와팅은 범위를 더 넓혔다. 예를 들어 소셜 미디어 플랫폼에서 강제 탈퇴된 사람이 분노로 소셜 미디어의 고위 임원들에게 스와팅 공격을 가한 경우가 발생했다. 정치적인 목적으로 범행하는 스와터도 있다. 스와팅을 중범죄로 분류하는 법안을 발의한 미 의원을 대상으로 한 스와팅 공격이 발생했다. 주목할 만한 스와팅 사례는 다음과 같다.

- 매튜 웨그먼(Matthew Wegman)
전화 해킹 분야에서 '릴 해커(Li’l Hacker)'라는 별명으로 활동했지만 법에 무지했던 10대 청소년이며 스와팅의 초기 개척자로 분류된다. 2005년에 자신과의 폰 섹스를 거절한 여성의 아버지 집에 스와팅 공격을 가하면서 FBI의 수사망에 처음 올랐으나 2009년 유죄가 확정되어 교도소에 수감될 시점까지 그 외의 수많은 다른 사고에도 연루된 것으로 확인됐다.

- 리그 오브 레전드(League of Legends) 테러
캐나다의 한 10대(미성년자인 관계로 신원 공개가 되지 않음)가 2015년 23건의 스와팅 공격 혐의에 대한 유죄를 인정했다. 이 가운데 상당수가 자신의 온라인 친구 요청 수락을 거부한 여성 리그 오브 레전드 플레이어를 대상으로 한 공격이었다. 또한 이 10대는 폭탄 테러 협박으로 디즈니랜드(Disneyland)의 스페이스 마운틴 운영을 중단시키기도 했다. 스스로는 '무료함'으로 인해 범죄를 저질렀다고 말했지만 그의 어머니는 아들이 게이밍 그룹의 나이 많은 회원에게 이끌려 나쁜 길로 빠졌다고 말했다.

- 세르게이 보브넨코(Sergey Vovnenko) 대 크렙스
앞서 언급한 보안 연구원 브라이언 크렙스는 2013년 스와팅 미수 사건 피해자였다. 보브넨코가 활동했던 러시아어로 운영되는 해킹 포럼에 크렙스가 침입하자 보브넨코는 크렙스의 집 주소로 헤로인이 배달되도록 했다. 보브넨코의 계획은 배달 직후 경찰이 크렙스의 집을 급습하도록 하는 것이었다(크렙스가 낌새를 알아차리고 직접 경찰에 신고함으로써 이 계획은 수포로 돌아갔다).

- 타일러 배리스(Tyler Barriss)
온라인 게임 내의 사소한 다툼이 가장 악명높은 스와팅 사건 가운데 하나로 이어졌다. 케이시 바이너와 셰인 개스킬은 온라인 게임을 하면서 다퉜다. 바이너가 타일러 배리스에게 개스킬을 스와팅하도록 요청하자 개스킬은 '해볼 테면 해보라'면서 가짜 주소를 알려줬다. 경찰이 이 주소로 출동한 후 거주자인 앤드류 핀치는 현관문을 열고 나오다가 경찰에 의해 사살됐다. 배리스는 이런 결과는 없었지만 이전에도 여러 사람을 스와팅한 적이 있었다. 배리스와 바이너는 징역형을 받았고 개스킬은 검사와의 합의로 기소를 면했다. 핀치를 사살한 경찰관은 기소되지 않았다.

- 로스앤젤레스 BLM(Black Lives Matter)
2020년 8월, 신원이 알려지지 않은 911 신고자가 로스앤젤레스 BLM 운동의 리더인 멜리나 압둘라의 집에서 인질을 잡고 있다고 주장했다. 현장이 인스타그램에 라이브로 스트리밍되는 사이 경찰이 압둘라의 집을 포위했고 대치는 충돌 없이 마무리됐다. 신고자는 BLM에 대한 '불만 메시지를 전달하기 위해' 이 같은 행동을 저질렀다고 말했다.


스와팅 관련 통계

스와팅이 얼마나 보편적인지는 사실 알기 어렵다. 약 10년 전부터 경찰이 인지하고 있는 범죄임에도 불구하고 FBI의 범죄 통계 데이터베이스에서 아직 구체적인 범주로 분류되지 않기 때문이다.

전 FBI 특수 요원으로 많은 스와팅 사건을 수사했으며 이후 텍사스 주 알링턴 경찰 부서장이 된 케빈 콜바이는 NBC 뉴스와의 인터뷰에서 "스와팅의 대부분은 '오인 경찰 신고(false police report)'라고 부르며 '테러리스트 위협'으로 분류하기도 한다. 많은 스와팅 데이터가 그룹화되지 않고 있고 따라서 관심을 끌지 못하는 상황이다"라고 설명했다.

또한 콜바이는 이코노미스트와의 인터뷰에서 스와팅 사건의 수가 2011년 약 400건에서 2019년 1,000건 이상으로 늘어나는 등 증가 추세라고 말했다. 


스와팅을 방지, 대처하는 방법

긴급한 도움 요청에 대응하기 위한 중무장한 경찰 기동대가 존재하는 한 스와팅은 예방하기가 어려운 수법이다. 그러나 여러 각도에서 스와팅 문제를 해결하고자 한 시도는 있었다.

스와팅 공격을 줄이는 한 가지 방법은 잠재적 피해자에게 스와팅 수법을 알리고 모범적인 온라인 신원 관리법을 설명하는 것이다. 기본적으로 신상털기를 차단하기 위한 방법과 동일한 부분이 있다. 신상털기가 불가능한 사람은 스와팅도 당하지 않는다. 누구나 최소한 집 주소나 전화번호가 간단한 구글 검색만으로 발견되도록 해서는 안 된다. 

보안업체 클라우드플레어(Cloudflare)는 게임 커뮤니티에서 아직 스와팅이 빈번한 만큼 특히 온라인 게이머(나이가 어리고 개인정보보호에 다소 둔감한 경우가 많음)는 게임 내 채팅이나 게임 포럼에서 잠재적 신원 정보를 노출하면 안 된다고 강조했다. 그 이상의 보호를 원할 경우, 게이머는 VPN을 통해 인터넷에 연결해 자신의 IP 주소를 숨길 수 있다. 신상유포자는 피해자의 위치를 찾는 데 IP 주소를 사용할 수 있기 때문이다.

미국 경찰 쪽에서도 911 신고 접수 요원들의 대응 능력을 향상시키기 위해 스와팅에 대한 교육을 실시했다. 미국 비상전화번호 협회에서 발행한 가이드에도 스와팅에 대한 내용이 나오지만 "초기에 이런 전화를 실제 사고 전화와 구분하는 것을 불가능하다. 콜센터는 기존 표준 절차에 따라 정상 통화로 처리해야 한다"라고 강조했다. 이 가이드는 "신고 대응 담당자가 최대한 오래 호출자와의 전화를 유지해야 한다"면서, "구체적인 질문을 하고 대답을 이전에 제공된 정보와 비교하면 (구분에) 도움이 될 수 있다"라고 설명했다.

스와팅에 대한 예방적 대응을 위해 더 적극적인 조치를 취한 경찰서도 있다. 미국 시애틀 시의 경우, 스와팅 공격 대상이 될 것으로 걱정되는 사람은 직접 등록할 수 있다. 이렇게 해도 경찰 특공대가 등록된 주소지로 출동하는 것을 막을 수는 없지만 출동한 경찰관이 장난 신고일 가능성을 인지하고 대처할 수 있다. editor@itworld.co.kr 


X