전화통화 네트워크 포렌식 분석을 위한 시각화 도구 LogAnalysis

초록

본 논문은 범죄 조직의 전화통화 로그를 시각적으로 탐색하고, 사회망 분석(SNA) 지표와 시간적 변화를 결합하여 핵심 인물·집단·연결 구조를 빠르게 파악할 수 있는 도구 LogAnalysis를 소개한다. 실제 수사 사례를 통해 도구의 실효성을 검증한다.

상세 분석

LogAnalysis는 범죄 수사에서 필수적인 전화통화 로그의 방대한 데이터를 그래프 형태로 변환하고, 인터랙티브한 시각화와 SNA 기반 통계 지표를 결합한 통합 플랫폼이다. 먼저 로그 파일을 GraphML 형식으로 변환해 JUNG·Prefuse 라이브러리를 활용, 힘‑기반(force‑directed) 및 방사형(radial) 레이아웃을 제공한다. 이를 통해 노드(전화번호)와 엣지(통화 기록)의 밀집도, 중심성, 매개중심성 등 핵심 메트릭을 실시간으로 계산하고, 색상·크기·위치로 시각화한다. 특히 시간 슬라이더와 윈도우 선택 기능을 도입해 특정 기간의 통화 패턴을 추출, 사건 전후의 네트워크 변화를 정량·정성적으로 분석한다.

관련 연구와 비교했을 때, LogAnalysis는 단순 질의‑응답 기반 도구(COPLINK, TRIST)와 달리 전체 네트워크를 한눈에 보여주는 ‘전체 시각화 + 상세 탐색’ 모델을 채택한다. 또한 GeoTime과 달리 지리적 좌표는 제공하지 않지만, 시간적 연속성을 강조한 인터페이스가 강점이다. 구현은 Java 기반이며, 오픈소스 Prefuse와 JUNG을 재활용해 개발 비용을 절감하고 확장성을 확보했다.

실제 수사 사례에서는 (1) 조직 내 핵심 연결자(브리지 노드) 식별, (2) 서브그룹(클러스터) 간의 교차 통화 패턴 파악, (3) 특정 사건 발생 전후의 통화 급증 구간 탐지 등 다양한 분석 목표를 달성했다. 특히, 시간 창을 좁혀 분석함으로써 은밀히 진행된 작전이나 급변하는 조직 구조를 포착할 수 있었다.

하지만 몇 가지 한계도 존재한다. 첫째, 데이터 전처리 단계에서 로그 포맷이 일관되지 않을 경우 변환 오류가 발생할 수 있다. 둘째, 대규모(수백만 노드) 네트워크에 대한 실시간 렌더링 성능이 제한적이며, GPU 가속이나 레이아웃 최적화가 필요하다. 셋째, 지리적 정보가 결합되지 않아 위치 기반 수사와의 연계가 어려운 점도 보완 과제로 남는다. 향후 연구에서는 하이브리드 시각화(공간·시간·네트워크)와 빅데이터 처리 프레임워크를 통합해 확장성을 높이는 방향이 제시된다.