"입양한 딸의 개인정보가 입양기관을 통해 유출됐습니다"
[전홍기혜 기자(onscar@pressian.com)]
2022년 12월, 한국계 미국인인 박준호 씨는 카오미 리 PBS 기자가 운영하는 팟캐스트 '어댑티드(Adapted)'를 들으면서 체육관에서 운동을 하고 있었다. 이 팟캐스트는 홀트아동복지회를 통해 미국으로 입양된 카오미 씨가 입양인들을 인터뷰한 내용을 방송한다. 2021년 홀트아동복지회를 통해 딸을 입양한 준호 씨는 방송을 듣다 문득 인터넷에 딸과 관련된 정보가 있을지 궁금해졌다. 그러나 입양과 관련된 개인정보는 매우 민감한 것이기 때문에 검색을 해도 당연히 아무 것도 나오지 않을 것이라고 생각했다.
그러나 준호 씨는 전혀 예상 밖의 결과를 직면했다. 딸의 이름을 덕덕고닷컴(DuckDuckgo.com, 미국의 검색 사이트 중 하나)에서 검색했더니 첫 페이지에 홀트아동복지회 웹사이트 링크가 떴다. 그 링크를 클릭하자 홀트가 준호 씨 부부에게 공유했던 딸의 정보가 담긴 기밀 문서가 담긴 페이지로 연결이 됐다.
그는 로그인하지 않은 사용자로 해당 링크(홀트 사이트)에 접속했고, URL의 숫자 부분을 변경하면 다른 문서에도 접근할 수 있을 것 같아 확인한 결과 이름, 생년월일, 출생지, 건강 요약 정보, 가족력 등이 담긴 다른 입양아동들의 파일도 접근이 가능하다는 것을 알게 됐다. 이는 곧 준호 씨의 딸만이 아니라 다른 입양아동들의 입양 관련 정보가 담긴 문서들도 인터넷을 통해 불특정 다수에게 노출돼 있다고 해석이 가능한 정황이었다.
"홀트코리아 직원이 포함된 것으로 보이는 사진들, 또 딸과 다른 입양아동들의 이름, 성별, 주민등록번호 등이 포함된 문서도 보았습니다. 저는 즉시 홀트인터내셔널과 홀트코리아에 한국어와 영어로 이메일을 보냈습니다. 며칠 후 그들은 이 파일들에 대한 접근을 차단했습니다. 이것이 저와 홀트인터내셔널, 홀트코리아의 일부 직원들과 수많은 연락이 오가는 시작이었습니다."
준호씨는 홀트 측에 이런 일이 발생한 경위에 대한 정보를 요청했다. 그러자 홀트 측은 이 문제를 조사 중이며 외부 데이터 포렌식 회사를 통해 자세한 경위를 살펴보겠다고 했다. 그리고 준호 씨는 올해 2월 홀트 코리아로부터 정보 유출 사실을 알리고 이에 대해 사과하는 이메일을 받았다.
그는 홀트가 이런 고지를 유출 피해를 입은 모든 사람에게 보낸 것으로 생각했다. 그러나 준호 씨는 동일한 방식으로 입양 정보가 유출된 것을 알게 된 홀트를 통해 아이를 입양한 다른 부부 2쌍은 이메일을 받지 못했다는 것을 알게 됐다.
그 이후 준호 씨는 홀트인터내셔널 측과 여러 차례 연락을 주고 받았지만, 정작 홀트는 데이터 포렌식 조사에 대해서는 관련 정보를 제공하지 않았다. 준호 씨는 지난 3월 한국을 방문해 홀트아동복지회 관계자들과 만났지만, 이 회동에서도 데이터 포렌식 조사와 관련해선 어떤 이야기도 듣지 못했다고 밝혔다. 이후 그는 카오미 씨를 통해 <프레시안>에 관련 내용을 제보했다. 준호 씨는 기자와 이메일을 통해 인터뷰를 진행하던 중인 지난 10월 3일 홀트인터내셔널로부터 외부 포렌식 진행 결과를 통보하는 메일을 받게 됐다.
홀트 "유출된 입양아동의 주민등록번호는 입양완료 후 말소"
다음은 홀트가 밝힌 조사 결과다.
"계약을 맺은 외부 업체에서 조사를 완료하고 사이트에 어떤 정보가 있는지 확인했다. 해당 사이트에서 엑세스할 수 있는 정보에는 입양 가족을 해칠 수 있는 항목은 포함되지 않았다. 이름, 주소, 금융 정보, 전화번호, 이메일 주소, 신분증 번호(사회보장번호/운전면허증/세금 ID 등)는 없었다.
접근이 가능했을 수 있는 아동 정보에는 아동의 성장 정보, 한국 주민등록번호가 포함됐을 수 있다. 성장 정보는 특정 기간에 국한된 것이다. 입양절차가 완료되면 아동의 이전 주민등록번호는 무효가 되며 국가시스템에서 말소된다."
즉, 입양 부모에게 영향을 미칠 만한 개인정보는 유출시키지 않았으며, 입양 아동의 개인 정보(이름, 생년월일, 출생지, 주민등록번호, 건강상태 등)는 유출시켰지만 건강 정보는 해당 시기가 지났기 때문에, 주민등록번호는 입양 절차 완료 후 말소됐기 때문에 각각 문제가 되지 않는다는 입장이다.
또 홀트는 "인트라넷 사이트는 폐쇄됐으며 모든 파일은 제거됐다"며 "추가적으로 검색 엔진 제공업체에 연락해 남아 있을 수 있는 데이터를 제거했고, 향후 웹크롤러 활동에서 특정 URL을 제외하는 단계까지 구현했다. 보안과 관련해 매년 평가를 실시할 예정"이라고 추가적인 유출 가능성을 차단했다고 밝혔다.
흘트의 개인정보법 위반 논란의 소지 있어
홀트의 이런 해명에도 불구하고 이름, 생년월일, 주민등록번호 등은 모두 개인정보로 이를 유출시킬 경우 개인정보처리자로서 개인정보법을 위반했다고 볼 수 있다고 서울대 법학전문대학원 소라미 교수는 지적했다.
홀트가 유출을 인정한 입양 아동의 이름, 생년월일, 출생지, 건강 요약 정보, 가족력, 주민등록번호 등은 모두 개인정보보호법에서 규정하고 있는 개인정보에 해당한다. 이름, 생년월일, 출생지는 개인정보, 건강 정보와 가족력은 개인정보보호법 제23조의 민감정보, 주민등록번호는 동법 제 24조의 고유식별정보에 해당한다.
개인정보보호법 제3조 제4항과 6항에 따르면, 개인정보처리자는 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. 그러나 단순한 검색만으로도 입양아동 등의 개인정보가 노출된 것은 이런 의무를 다했다고 보기 어렵다. 개인정보처리자는 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 필요한 조치를 하여야할 의무가 있고, 이를 위반할 경우 개인정보법 제 75조 제2항 제 5호에 따라 3천만원 이하의 과태료 처분을 받을 수 있다.
홀트는 준호 씨에게 지난 2월 딸의 개인정보 유출 사실을 알리고, 지난 10월 3일 어떤 조치를 취했는지 알려왔지만 충분한 조치를 취한 것인지에 대해서도 의문을 제기할 수 있다. 개인정보법 제34조에 따르면, 개인정보처리자는 정보주체에게 유출된 항목, 시점, 경위 등을 알려야 하며, 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 취해야 한다. 홀트가 직접적으로 문제를 제기한 준호 씨를 제외한 다른 입양부모들에겐 별도의 고지를 하지 않았다면 관련 조항에 대한 위반일 수 있다. 또 개인정보법 시행령 제39조에 따르면, 유출 사실을 안 시점에서 '72시간' 이내에 정보 주체에게 알려야 한다.
준호 씨가 원하는 것은 홀트 측이 개인정보 유출에 대해 책임을 인정하고 재발 방지를 위한 적절한 조치를 취하는 것이다. 매우 민감한 개인정보를 다루는 입양기관에서 이처럼 허술하게 정보를 관리하는 것은 입양아동과 입양부모, 친생부모 모두에게 피해를 초래할 수 있다. 직접적인 피해를 초래하지 않았을 지라도 입양이라는 결코 쉽지 않은 결정을 내린 입양 당사자들의 마음에 큰 상처를 주는 일이다.
<프레시안>은 홀트아동복지회 측의 입장을 듣기 위해 전화와 이메일을 통해 문의를 했지만 답변을 받지 못했다.
[전홍기혜 기자(onscar@pressian.com)]
Copyright © 프레시안. 무단전재 및 재배포 금지.
- [만평] 잠 못드는 밤
- '이태원' 외국인 희생자 유족들 "한국정부, 무자비하고 잔인"
- 이스라엘군, 지상전 돌입 수순?…가자 북부 탱크·보병 기습
- 헌재 "노란봉투법·방송3법 직회부 적법"…野 "사필귀정"
- '새벽 배송' 기사 사망에 끝까지 사과 않는 쿠팡 CLS 대표
- '정치판 세상'에 물들지 못해 다시 시작된 생활고
- 헌재, '동성애 처벌'하는 군형법 조항에 합헌결정
- '상저하고' 어디 갔나…기업 체감경기 8개월來 최악
- 이태원참사, "유가족께 사과"는 하지만, 추모제엔 참석 안 한다?
- 野 "선관위 해킹툴, 위험한 상황" vs 與 "해킹은 북한이 한 것"