요즘 흥신소 여기서 신상 캔다...살인사건 부른 '은밀한 뒷문'

신변보호를 받던 여성의 가족을 살해한 혐의를 받는 이석준이 지난달 17일 오전 서울송파경찰서에서 검찰로 송치되고 있다. 뉴스1.

지난해 12월 송파구에서 발생한 ‘송파구 잠실동 빌라 살인사건(이하 이석준 사건)’ 피해 여성의 거주지를 일선 구청 공무원이 유출한 것으로 드러나면서 정부와 지자체의 허술한 개인정보 관리 문제가 도마 위에 올랐다.

11일 경기도 수원시 관계자는 중앙일보와의 통화에서 “현재 기초자치단체가 사용하는 정부 등 상위 기관의 개인정보 시스템은 총 16개”라며 “이 중 12개는 업무 외 이용 등 이상 조짐이 있으면 ‘조회 사유’를 적도록 시스템이 구현돼 있지만, 나머지 4개는 그렇지 않다”고 말했다.

지자체가 개인정보를 당사자 모르게 열람할 수 있는 시스템을 사용하면서도 무단 유출을 관리·감독할 수 있는 권한엔 ‘사각지대’가 있다는 의미다. 지자체는 개인정보를 열람할 수 있는 ‘처리자’에 해당하지만, 사전 보고·사후 결재와 같은 안전조치 권한·책임이 없는 것으로 나타났다.

이석준 살인사건 피해자의 개인정보 전달과정. 그래픽=박경민 기자 minn@joongang.co.kr

이런 문제는 이석준 사건의 개인정부 유출 경위와 관련한 검찰의 수사 결과가 전날 발표되면서 드러났다. 서울동부지방검찰청 사이버범죄형사부(이성범 부장검사)에 따르면 수원시 권선구청 건설과 소속 공무원 A씨(40)는 2020년 1월부터 약 2년에 걸쳐 개인정보 1101건을 불법 조회해 흥신소 업자에게 넘겼다. 이중엔 이석준에게 살해된 여성의 개인정보도 포함돼 있었다.

당시 A씨는 2만 원에 흥신소 업자에게 피해자의 주소를 넘겼고, 이후 약 1시간 만에 흥신소 두 곳을 더 거쳐 50만 원을 낸 이석준에게 개인정보가 넘어갔다. A씨는 2년간 개인정보를 넘긴 대가로 매달 200만~300만 원, 총 3954만 원을 흥신소 업자로부터 받았다. 이후 이석준은 이 정보를 활용해 송파구 잠실동 빌라를 찾아갔고, 흉기로 전 여자친구의 어머니를 살해하고 동생에겐 중상을 입혔다.

지난해 7월 2일 서울시 종로구 내장동에 위치한 서울경찰청. 뉴스1.

수원시에 따르면 A씨가 정보 유출에 이용한 수단은 도로점용 과태료 부과 등에 사용되는 국토교통부의 ‘차적 정보 관리시스템’이었다. 조회 사유를 명시하지 않아도 되는 4개 개인정보 시스템 중 하나다. 수원시 관계자는 “기초 지자체는 조회 권한만 부여하기 때문에 누가 시스템에 접속해 어떤 정보를 확인했는지 알기 어렵다”며 “지난해 12월 국토부에 해당 직원의 접속 기록을 달라고 했지만 ‘어렵다’는 답변을 받았다”고 말했다.

반면 경찰 등 수사기관의 경우 단순 조회에도 엄격한 기준을 적용하고 있어 “일선 지자체를 사각지대로 방치했다”는 지적이 나온다. 경찰 관계자는 “차적 조회를 비롯한 개인정보를 확인하려면 형사사법정보시스템(KICS)에 접속해야 한다”며 “개인이 부여받은 ID로 조회할 수 있지만, 조회 시 사유 등을 작성해 상부에 보고한 뒤 결재를 받아 열람해야 한다. 개별적으로 확인할 수는 없게 돼 있다”고 말했다.

텔레그램에서 미성년자를 포함한 최소 74명의 여성들을 대상으로 성 착취물을 제작ㆍ유포한 혐의를 받는 '박사방' 운영자 조주빈(25)이 지난 2020년 3월25일 오전 서울 종로구 종로경찰서에서 서울중앙지방검찰청으로 송치되고있다. 강정현 기자.

공공기관에서 개인정보를 유출돼 사회적 문제가 된 건 이번이 처음이 아니다. 2020년 ‘n번방 성착취물 제작 및 유포사건’ 당시 수원 영통구청에서 근무하던 강모씨는 자신이 스토킹하던 여성과 그 가족의 개인정보를 조회해 ‘박사방’ 운영자 조주빈에게 넘겼다. 서울 송파구의 한 주민센터에서 근무하던 사회복무요원 최모씨 역시 17명의 개인정보를 조주빈에게 넘겼고 성 착취 수단으로 이용됐다.

현행법엔 이 같은 행위에 대한 사후 처벌 조항이 있다. 개인정보보호법 제71조에 따르면 정보 주체의 동의를 받거나 법률에 특별한 규정이 있는 등 경우에 해당하지 않는 데도 개인정보를 제3자에게 제공하면 5년 이하의 징역 또는 5000만 원 이하의 벌금에 처해진다. n번방 사건 후엔 사회복무요원이 복무 중 취득한 정보를 무단으로 유출·이용한 경우에도 똑같이 처벌하도록 병역법을 개정했다.

개인정보보호위원회가 운영하는 '개인정보보호 포털'의 본인확인내역 통합조회 서비스 화면. [개인정보보호포털 캡처]

특히 2020년에는 개인정보 처리·보호에 관한 업무를 독립적으로 처리하기 위해 개인정보보호위원회(이하 개인정보위)가 출범했지만, 현장에서의 일탈 행위를 미연에 방지하는 데는 한계가 있다는 지적이 나왔다. 개인정보위의 경우 개인정보 포털을 운영하면서 민간 통신사·신용평가기관의 개인정보 조회내용을 공개하고 있으나 공공기관 직원이 개인정보를 열람할 경우 내용은 제공되지 않았다.

이에 대해 개인정보보호위원회 관계자는 “개인의 동의를 얻고 정보를 받는 민간기업과 달리, 공공기관은 법률에 따라 (개인정보를) 수집하기 때문”이라고 답했다. 이 관계자는 “노인 기초연금을 지급할 경우 매달 수십만, 수 백만명 어르신의 개인 정보를 처리하는데 이때마다 정보 주체에게 고지한다는 건 지나치게 의무를 확대하는 것”이라며 “정보 처리자인 각 구청, 공공기관이 보다 명확하게 안정성 확보와 교육에 힘쓰는 것이 맞다”고 말했다.

지자체에선 “유사 사건의 재발 방지를 위해 중앙부처 시스템의 이용도 지자체가 관리·감독하도록 해달라”는 주장도 나온다. 수원시는 “보건복지부가 운영하는 개인정보시스템인 ‘행복e음’의 경우 모니터링 기능을 갖춰 평시 업무 외 정보를 조회하면 소명을 해야 한다”며 “그러나 (이석준 사건의 단초가 된) 국토부 시스템은 이 같은 기능이 없었다. 중앙정부의 시스템에 대해서도 지자체가 관리·감독 권한을 가질 수 있도록 건의할 예정”이라고 말했다.