'신당역 스토킹 살인사건' 피의자 전주환이 21일 오전 서울 중구 남대문경찰서에서 검찰로 송치되고 있다. 전주환은 특정범죄 가중처벌 등에 관한 법률상(특가법) 보복살인 혐의로 검찰에 구속 송치됐다. 류영주 기자'신당역 스토킹 살인사건'의 피의자 전주환(31)은 서울교통공사 내부 전산망에 접속해 피해자의 이전 집 주소와 근무지를 알아냈다. 이같이 파악한 개인정보는 서울 지하철 2호선 신당역 여자 화장실을 순찰하던 피해자에겐 치명적인 결과로 이어졌다.
전씨의 범행이 가능했던 배경엔 서울교통공사 회계 시스템의 허점이 있었다. 직위해제 상태였던 전주환은 회사 내부망 전사자원관리(ERP) 내 회계 시스템를 통해 피해자의 주소지 등 민감 정보를 열람했던 것으로 파악됐다.
최근 주요 스토킹 및 성범죄 사건에서 허술한 개인정보 관리가 강력 범죄의 표적이 되고 있다.
우선 전주환은 어떻게 피해자의 민감 정보에 접근할 수 있었을까.
21일 CBS노컷뉴스 취재를 종합하면 전주환은 범행 전 여러 차례 피해자의 옛 주소지를 찾았고, 지난 1월 바뀐 피해자의 근무지도 파악할 수 있었다. 회계 시스템 중 직원 개인의 원천징수를 확인하는 부분이 있는데, 전주환이 이를 통해 피해자 주소를 알아낼 수 있었다. 전씨는 2016년 공인회계사 시험에 합격했는데, 이 때문에 회계 시스템 이용에 익숙했던 것으로 보인다. 그는 1년간 진행되는 실무수습을 마치지 못해 정식 자격증을 얻지는 못했다.
전주환은 지난달 18일 검찰이 징역 9년을 구형한 직후 피해자를 살해하기로 결심했다고 조사 과정에서 밝혔다. 전씨의 계획범죄가 가능케 했던 배경엔 서울교통공사의 허술한 개인정보 관리 체계가 자리하고 있었던 것이다.
전씨는 피해자를 불법 촬영, 스토킹한 혐의 등으로 기소돼 직위해제된 상태였지만, 회사 내부망에 마음대로 드나들 수 있었다. 그는 '휴가 중인 직원'이라고 속인 뒤 6호선 구산역 역무실 등을 찾아 내부망으로 피해자의 근무 정보를 들여다볼 수 있었다.
경찰은 전씨가 지난달 18일을 포함해 이달 3일과 14일(2회) 모두 4차례 내부 전산망에 접속, 피해자의 주소를 확인했다는 사실을 파악했다고 밝혔다. 이때 전씨가 알아낸 주소는 피해자가 이사 가기 전 집의 주소였다.
전씨는 피해자를 만날 목적으로 이달 5일, 9일, 13일, 14일(2회) 총 5차례 이 옛집 주소 근처를 찾았다. 경찰은 집 주소지 근처에 찾아갔는데도 피해자를 만나지 못하자 재확인을 위해 내부 전산망에서 거듭 접속한 것으로 보고 있다. 전산망에는 피해자의 새 주소지는 등록돼 있지 않았다.
수사기관으로부터 적절한 보호를 받지 못했던 피해자가 사법부의 판단을 믿고 버틴 동안 전주환은 사내 시스템을 통해 파악한 개인정보를 토대로 피해자에게 접근하고 있었던 셈이다.
직위해제된 자가 사내 내부망에 접근하는 데 아무런 걸림돌이 없었던 것이 밝혀지면서 서울교통공사가 이번 참극의 단초를 제공했다는 비판에서 자유로울 수 없게 됐다. 더욱이 피해자의 개인정보를 관리했어야 할 서울교통공사는 사건 초기까지만 해도 전씨의 이같은 불법행위를 파악조차 하지 못했었다.
논란이 일자 서울교통공사는 뒤늦게 회계시스템을 통한 개인정보 접근을 차단했고, 직위 해제된 직원의 내부 전산망 접속을 막겠다고 밝혔다. 김상범 서울교통공사 사장은 20일 국회 여성가족위원회 전체회의에 출석해 "직위 해제된 직원에 대해 내부 전산망 접속을 차단하고, 최종심까지 기다렸다가 하게 돼 있는 징계를 1심 판결 이후면 할 수 있도록 하겠다"고 말했다.
이번 사건을 계기로 개인정보보호위원회는 서울교통공사에 대한 조사를 시작했다. 개인정보위는 전 씨가 개인정보처리 시스템에 권한 없이 접근한 경우 위법성 소지가 있다고 보고 조사에 나섰다.
피해자의 개인정보가 범죄의 단초가 된 일은 이번이 처음이 아니다. 지난해 신상공개가 결정된 이석준은 흥신소를 통해 피해자의 주소 등 개인정보를 알아내 범행에 이용한 사실이 알려져 논란이 일었다.
16일 '역무원 스토킹 피살 사건'이 발생한 서울 지하철 2호선 신당역 여자화장실 입구에 마련된 추모공간을 찾은 한 시민이 피해자를 추모하고 있다. 류영주 기자범행 나흘 전 피해자를 감금하고 성폭행한 혐의로 경찰조사를 받은 이석준은 피해자가 경찰에 신변보호를 요청하자 앙심을 품고 흥신소를 통해 피해자의 거주지를 알아냈다. 이후 택배기사를 사칭, 피해자 집에 들어가 피해자의 어머니(49)를 흉기로 살해하고 남동생(13)에게 중상을 입히는 범행을 저질렀다.
재판부는 이석준에 대해 특정범죄가중처벌법상 보복살인 등 혐의뿐 아니라 흥신소 등 온갖 방법으로 피해자의 주소지를 제공받은 점에 비춰 개인정보 보호법 위반 등의 혐의도 유죄로 판단했다.
당시 개인정보를 제공한 흥신소 상선이 수원 권선구청 공무원이었던 것으로 드러나 논란이 일기도 했다. 공무원이 2만원을 받고 흥신소에 전달한 피해 여성의 정보가 또 다른 흥신소 두 곳을 거쳐 이석준에게 전달된 것이다.
해당 공무원은 구청에서 도로 점용 과태료를 부과할 때 쓰는 '차적 조회 권한'을 이용해 개인정보를 조회한 것으로 드러났다. 그는 2020년 1월부터 약 2년 동안 개인정보 1101건을 불법 조회해 흥신소 업자에게 제공한 것으로 조사됐다. 또 이석준에게 피해자 정보를 제공한 흥신소업자는 징역 1년의 실형을 받았다.
텔레그램 성착취물 제작·유포방인 '박사방' 운영자 조주빈 역시 피해자들의 개인정보를 불법적으로 취득해 이를 협박에 이용했다. 조씨는 주민센터나 구청 등에서 일하는 공익요원들을 모집한 뒤, 이들을 통해 피해자들의 개인정보를 파악했다.
특히 조주빈의 공범인 최씨는 서울의 한 주민센터에서 사회복무요원으로 주민등록등·초본 발급 업무를 맡으며 구민들의 개인정보에 접근할 수 있었다. 그는 불법으로 200여명의 개인정보를 조회하고 이를 유료로 조주빈 등 텔레그램 성착취방 참여자들에게 넘긴 것으로 조사됐다.
당시 공익요원은 개인정보 조회 권한이 없었지만, 공무원들이 바쁜 틈을 이용해 이를 불법 조회한 것이다. 공범으로 알려진 '부따' 강훈 역시 공익으로 복무하며 피해 여성과 가족의 개인 정보를 빼돌렸고 조주빈은 이렇게 얻은 개인정보를 '박사방'의 각종 불법행위에 활용했다.
개인정보 유출이 중대범죄로 이어지자 지난 7월 정부는 '공공부문 개인정보 유출 방지대책'을 발표하기도 했다. 공무원이 국민의 개인정보를 고의로 유출하거나 부정 이용하면 무관용 원칙에 따라 한 번의 위반으로도 파면·해임하는 '원스트라이크 아웃' 제도를 도입했고, 공공기관 대상 과태료·과징금도 부과하는 제도를 마련했다.
공공기관 개인정보 유출 규모는 2017년 2개 기관 3만 6천건에서 2021년 22개 기관 21만 3천건으로 대폭 증가한 상태다.