8일 법조계에 따르면 법무부는 역대 사법시험 응시자 40만3천502명, 변호사시험 응시자 8천929명, 법원은 법원행정고시 응시자 3만5천352명, 법무사시험 응시자 2만6천104명, 법원서기보시험 응시자 4만7천437명의 주민등록번호와 이름, 주소, 전화번호, 이메일 주소 등의 개인정보를 보관 중이다.
법무부와 법원은 보유한 개인정보의 목록을 개인정보보호법에 따라 홈페이지에 공개하고 있다.
문제는 이들 기관이 응시자의 주민등록번호를 포함한 개인정보를 아무런 기간 제한 없이 보관한다는 점이다. 시험의 합격 여부와도 관계가 없다.
개인정보보호법은 수집한 개인정보가 불필요하게 됐을 때에는 지체 없이 이를 파기하도록 규정했다. 또 개인정보의 무제한 보관을 막기 위해 필요성에 따라 보유기간 등을 정한 개인정보 처리방침을 세우도록 했다.
그러나 실상은 그렇지 않다. 법무부는 사법시험과 변호사시험 응시자의 개인정보를 기간 제한 없이 사실상 영구적으로 보관중이다. 법원도 법원행시와 법무사시험, 법원서기보시험 응시자의 개인정보 처리방침에 보관기간을 '반영구적'이라고 밝혔다.
개인정보보호 전문가인 한 변호사는 "수집한 정보의 필요성이 사라지면 즉시 삭제하도록 법에서 규정한 취지대로 보관기간을 정할 때는 정보의 필요성을 따져 한시적으로 정해야한다"고 지적했다.
그는 "최근 '정부청사 난입사건'처럼 해킹이나 실수에 의한 개인정보 유출 우려가 있는 게 현실"이라며 "지금이라도 법 위반 사항이 없는지 스스로 점검해야 한다"고 말했다.
특히 각 기관이 보관하는 개인정보 중에는 수집과 보관이 원칙적으로 금지된 주민등록번호까지 포함됐다. 2014년 8월 시행된 개정 개인정보보호법상 주민등록번호의 경우 관련 법령에 구체적인 근거가있어야만 수집과 보관이 가능하다.
국가공무원법 제28조와 개인정보보호법 제15조 1항 3호는 '공무원 신규채용 업무의 수행을 위해 불가피한 경우에 법령에 따라 응시자의 개인정보를 수집할 수 있다'고 규정한다. 그러나 좀 더 구체적이고 명확한 근거가 있어야 한다는 지적이 많다.
법무사시험의 경우 법무사법 제5조에 시험과 관련된 사항을 대법원 규칙으로 정하도록 했다. 그러나 이는 응시자의 주민등록번호 수집을 허용하는 근거는 아니다.
사법시험과 변호사시험은 각각 사시 시행령 제10조와 변시 시행령 제16조가 응시자의 주민등록번호를 수집할 수 있도록 규정했다. 하지만 이 경우에도 '시험관리사무의 수행을 위해 불가피한 경우'에만 수집하도록 제한한다.
해당 기관들은 뒤늦게 사태 수습에 나섰다.
법무부는 "합격자의 정보는 영구 보관하는 게 맞지만 불합격자의 정보는 기간을 정해 삭제하도록 내부 방침이 있다"며 "개인정보 처리방침에 미처 이를 반영하지 못한 실수가 있었다"고 해명했다. 그러나 개인정보는 여전히 무기한 보유하기로 했다.
법원은 곧바로 개선하겠다고 밝혔다. 대법원 관계자는 "미처 신경을 쓰지 못해 벌어진 일"이라며 "최대한 빨리 문제가 된 개인정보를 삭제하겠다"고 말했다.
또 대법원과 법무부는 "정보유출을 방지하기 위해 보관 중인 개인정보는 모두 암호화해 놓았다"고 설명했다.
한편 인사혁신처가 실시하는 각급 공무원 임용시험의 경우 공무원임용시험령과 공공기록물 관리법 시행령에 따라 응시자의 주민등록번호를 2년 동안만 한시적으로 보관한다.