직위해제되고도 회사 시스템 맘대로 드나든 전주환... 공사 "까맣게 몰랐다"

전주환, ERP 허점 알아내 피해자 주소 파악
접근 권한·자격 허술한 탓 손쉽게 정보 빼내
교통공사, 범행 닷새 후에야 "시스템에 빈틈"

서울 지하철 2호선 '신당역 스토킹 살인' 사건 피의자 전주환이 15일 오후 서울 광진구의 한 병원에서 치료를 마치고 호송되고 있다. 뉴스1

‘신당역 스토킹 살인’ 사건 피의자 전주환(31)은 범행 전 여러 차례 피해자의 옛 주소지를 찾았다. 그는 어떻게 민감한 개인정보에 접근할 수 있었던 걸까. 답은 그가 다니던 서울교통공사 ‘전사자원관리(ERP)’ 시스템에 있었다. 1년 전 성범죄로 직위해제된 전주환이 전산시스템을 제집처럼 드나들며 정보를 빼가는 데도 교통공사는 범행 후에도 이런 사실을 까맣게 몰랐다. 공사의 허술한 시스템 운영 및 사후 관리가 스토킹 참극에 한몫한 셈이다.

20일 경찰에 따르면, 전주환은 이달 4, 5일에 각각 한 번, 14일 범행 당일 2번 등 총 4차례에 걸쳐 피해자 A(28)씨의 과거 거주지를 찾아갔다. 피해자가 이사를 가지 않았다면 범행이 훨씬 앞당겨졌을 수도 있었다.

ERP는 회사 업무 프로세스를 통합 관리하는 전산 체계다. 기업에서도 흔히 사용해 공사 직원이라면 누구나 시스템 접속이 가능하다. 전주환은 ERP 시스템의 회계 프로그램 허점을 파고들었다. 특정 직원을 검색하면 해당 직원과 관련된 회계업무 흔적을 열람할 수 있다는 사실을 알아낸 것이다. 공사 관계자 “출장비, 급여 등을 직원에게 지급하면 원천징수 대상이 돼 세무서에 내역을 제출해야 하는데, 주소정보 기재가 필수”라며 “(전주환이) 피해자 주소가 담긴 세금 처리 흔적을 입수한 것으로 파악하고 있다”고 말했다.

문제는 이런 과정에서 ‘특별한’ 접근 권한이 필요하지 않다는 점이다. 전주환처럼 ‘우회로’만 알면 어렵지 않게 다른 직원 정보를 획득할 수 있었다. 공사는 회계전문 지식이 있는 전주환이 원천징수 프로세스를 꿰뚫고 검색을 시도했을 것으로 추정한다. 그는 2016년 공인회계사 시험에 합격했지만 실무 수습 과정을 밟지 않아 자격을 얻지 못했다. 심지어 전주환이 지난해 10월 직위해제됐는데도, 공사 측은 시스템 접근을 막을 아무런 조치도 취하지 않았다.

단, ERP 시스템은 직장 내 컴퓨터로만 접속해야 한다. 이달 3일 전주환이 지하철 6호선 구산역을 찾아 역무원 컴퓨터를 사용한 것은 이 때문으로 보인다.

공사 측이 시스템 특정 업무에 접근할 수 있는 자격을 엄격히 제한하지 않은 것도 실책으로 지적된다. 회계 업무 종사자만 정보 열람이 가능했다면, 설령 전주환이 우회로를 알아내도 접근은 불가할 수밖에 없다. 한 현직 공인회계사는 “통상 일반 기업은 ERP 시스템에서 회계ㆍ인사 정보 접근 권한을 관계 직무자에게만 부여한다”면서 “공사 관리가 허술했던 것 같다”고 말했다.

사후 관리 역시 부실투성이였다. 수차례 동료 직원의 민감정보에 접근한 전주환의 행태를 공사는 범행 후에도 파악하지 못했다. 공사는 사건 발생 닷새가 지난 19일 저녁에서야 시스템의 빈틈을 눈치챘다. 그전까지만 해도 “내부망을 통해 다른 역 근무자의 주소지를 확인할 수 있는 방법은 없다”고 단언했다가 뒤늦게 과실을 인정한 것이다.

공사 관계자는 “허점 인지 후 시스템을 즉각 보완해 현재는 일반 직원은 ERP 시스템에서 검색하더라도 회계처리 기록 등은 표시되지 않는다”고 설명했다.

나광현 기자 name@hankookilbo.com

김재현 기자 k-jeahyun@hankookilbo.com