‘신당역 스토킹 살인사건’으로 서울교통공사(공사)의 개인정보 관리가 수면 위에 올랐다. 직위해제자가 다른 직원의 개인정보에 접근할 수 있게 하는 등 허술한 관리가 문제가 됐지만, 공사가 받을 처벌은 과태료에 그칠 전망이다. 법조계에서는 개인정보 유출이 2차 피해로 이어지지 않도록 개인정보보호법을 강화해야 한다는 목소리가 나온다.

 

 
공사는 개인정보보호법 위반 여부를 조사받고 있다. 개인정보보호위원회는 공사에 대한 조사에 나섰다고 21일 밝혔다. 개인정보위는 ‘신당역 스토킹 살인사건’ 피의자 전주환(31)이 직위 해제된 상태에서 개인정보처리 시스템에 권한 없이 접근한 것이 위법 소지가 있다고 보고 있다. 조사 기간은 최대 6개월이다. 개인정보위는 개인정보처리자(개인정보처리의 책임자)에 해당하는 공사가 개인정보 유출이 안 되도록 안전성 확보에 필요한 조치를 했는지(개인정보법 제29조) 등 위법성 여부를 살핀다.

 
공사가 개인정보법 29조를 위반한 것이 확인된다고 하더라도 형사처벌 없는 과태료에 그칠 가능성이 높다. 개인정보법 75조와 시행령에 따르면 안전성 확보에 필요한 조치를 하지 않은 자는 1회 위반 기준 600만원, 반복 위반 시 최대 3000만원의 과태료가 부과된다. 과실 여부에 따라 과태료는 차등 부과되고 감경 및 가중될 수 있다.

앞서 신변보호를 받던 여성의 주소를 불법으로 알아내 여성의 모친을 살해한 ‘이석준 살인 사건’에서 책임이 있는 수원시가 개인정보위로부터 지난 6월 360만원의 과태료를 부과받았다. 수원시 공무원이 흥신소 업자에게 유출한 개인정보가 사건의 빌미가 됐다. 이석준은 흥신소에서 얻은 개인정보로 피해자의 가족을 찾아내 살해했다. 당시 개인정보위는 수원시가 감독 의무(개인정보법 제28조), 안전조치 의무(개인정보법 제29조)를 위반했다고 봤다.


개인정보위는 전주환이 정당한 권한을 가지고 제대로 시스템에 접근한 것인지, 시스템상 개인정보가 제대로 관리됐는지 등 사실관계를 확인할 예정이다. 개인정보위 관계자는 “개인정보법 29조뿐만 아니라 다른 위법 사항이 있는지도 살펴볼 것”이라며 “피해자의 옛날 주소지, 근무지, 근무 일정 등 유출된 정보가 개인정보법에서 규정하는 ‘개인정보’인지도 따져봐야 한다”고 말했다.

 
경찰에 따르면 직위 해제됐던 전씨는 회사 내부망에 접속할 수 있는 권한이 남아있어 피해자의 근무지, 근무일정을 파악했다. 이뿐만 아니라 전씨는 내부망의 전사자원관리(ERP) 내 회계 시스템을 통해 피해자의 원천징수 관련 정보를 조회해 피해자의 과거 주소를 알아낸 것으로 추정된다. 이 과정에서 직위해제자의 시스템 접속 권한을 끊지 않은 공사의 대응이 논란이 됐다. 공사는 사건이 발생하고 나서야 직위 해제된 직원의 내부망 접속을 차단하겠다고 밝혔다.  

 

 
개인정보 유출이 강력범죄로 이어지는 사건이 잇따르면서 개인정보법도 강화돼야 한다는 주장이 나온다. 사내 내부망에 있는 개인정보를 범죄에 활용한 전주환도 개인정보법 위반 소지가 있지만, 이에 대한 처벌은 쉽지 않다. 전씨가 개인정보처리자가 아닌 일반 직원이라 처벌 대상에서 벗어났기 때문이다.

개인정보법 전문가인 김보라미 변호사(법률사무소 디케)는 “개인정보법은 개인정보처리자가 개인정보를 목적 외의 용도로 사용했을 때 처벌할 수는 있지만, 개인정보처리자가 아닌 경우 처벌하기는 현행법상 어렵다”며 “범죄 목적으로 개인정보처리자가 아닌 일반인이 개인정보를 본래 목적 외 이용을 하는 일이 일어나면 형사처벌 할 수 있도록 법이 개정돼야 한다”고 말했다.