<p>A data breach at the National Center for the Rights of the Child exposed sensitive personal records of adoptees, drawing criticism from overseas adoptee groups and raising questions about the agency’s credibility.</p>
<p>The breach occurred between April 30 and May 2 and came to light when prospective adoptive parents using the center’s online tracking system observed that other people’s adoption records were visible. Affected individuals were notified by email on May 3.</p>
<p>Overseas adoptees say the incident reflects broader concerns about the agency’s handling of personal data and adherence to international standards for data protection.</p>
<p>A breach notice accessed by a Korean adoptee in the United States indicated exposure of a wide range of identity-linked data, including name, date of birth, photograph, adoption records, passport information, place of birth, and details about the adoptive family. The notice suggested that dozens of individuals may have been affected.</p>
<p>Advocates emphasize that for adoptees, access to such records is tied to tracing origins and identity, making privacy a matter of dignity and control over personal history. Some, including an advocate pursuing Korean citizenship, highlighted elevated stakes given ongoing identity restoration efforts.</p>
<p>The incident follows prior criticisms of the agency for data security and mishandling of sensitive information, including missing children and adoption records. While the agency has expanded online systems to improve user experience, concerns persist about safeguards for sensitive data.</p>
<p>The agency operates an adoption information disclosure system storing birth and adoption records, enabling access for adoptees, birth parents, and adoptive parents. A new online tracking system launched on April 30 allowed prospective adoptive parents to monitor application status but allowed viewing of others’ information after login.</p>
<p>Experts and advocacy groups urge full transparency and accountability, with calls for alignment with international data protection standards and consideration of data rights as fundamental. They stress the need for robust safeguards to prevent repeated data breaches and to protect the privacy and dignity of international adoptees.</p>
<br><hr><br>한 기관의 개인정보 유출로 인해 입양인들의 민감한 개인 기록이 노출되었다는 최근 데이터 침해 사태가 해외 입양인 단체들의 비판을 불러일으키고 있으며, 해당 기관의 신뢰성에 의문을 제기하고 있다.
NCRC가 4월 30일부터 5월 2일 사이에 발생했다고 밝힌 이 침해 사례는 신규 온라인 추적 시스템에서 입양 여부를 확인하던 잠재 입양부모가 다른 사람의 입양 기록이 보이는 것을 발견함으로써 드러났으며, 센터는 5월 3일 영향을 받은 개인들에게 이메일로 통보했다.
해외 입양인들은 이 사건이 기관이 개인정보 보호 및 입양 기록 관리에서 국제 기준에 미치지 못하는 더 넓은 패턴의 일부라고 지적한다.
미국에 거주하는 한국인 입양인이며 미국 한국인의 권리단체(USKRG)의 IT 및 사이버 보안 이사인 데이비드 캐슬런은 5월 5일에 접속한 개별 침해 통지에서 이름, 생년월일, 사진, 입양 기록, 여권 정보, 출생지 및 양친의 정보 등 다양한 신원 연계 데이터가 노출되었다고 밝혔다.
캐슬런은 “가장 우려되는 점은 신원 데이터와 입양 관련 기록의 결합”이라며 “통지 번호가 43번으로 표시된 점은 최소 수십 명이 영향을 받았을 가능성을 시사한다”고 말했다. 또한 직접적인 이차 피해는 아직 경험하지 못했다고 밝혔으나 침해 이후 낯선 번호의 전화가 증가했다고 덧붙였다.
입양인들에게 이러한 기록에의 접근은 단순한 데이터 유출을 넘어 출생과 정체성을 추적하는 길고 감정적으로 복잡한 과정의 일부다.
캐슬런은 “나와 많은 입양인들에게 프라이버시는 단지 보안이 아니라 우리 이야기에 대한 존엄성과 통제권과도 관련이 있다”고 말했다. 또한 현재 한국 시민권 회복을 추진 중인 상황에서 이 과정 역시 안전하게 유지될지 의문이라고 지적했다.
또한 이 문제는 데이터 보안과 개인정보 취급에 관한 비판이 전례 없이 반복되고 있음을 시사한다. 2024년에도 미공개 신상 정보 및 입양 기록 처리와 관련해 비난을 받았다.
센터는 사용자 경험을 개선하기 위한 온라인 시스템 확장을 추진해 왔지만, 민감한 데이터를 보호하기 위한 충분한 보안 대책이 마련되어 있는지에 대해 여전히 우려가 남아 있다.
센터는 입양정보 공개 시스템을 운영해 입양인의 출생 배경과 입양 과정에 관한 기록을 저장하고, 입양인, 출생 부모, 입양 부모가 관련 정보를 열람할 수 있도록 하고 있다. 4월 30일에는 서류 제출 시점부터 신청 상태를 모니터링하는 신규 온라인 추적 시스템을 출시했으나, 시스템 로그인 후 타인의 정보가 보이는 것을 발견했다.
덴마크 한국인 권리그룹의 변호사이자 대변인인 안야 콜트는 침해에 대응해 NCRC가 전면적 정보 공개와 책임 있는 자세를 보일 것을 촉구했다. 성명에서 콜트는 반복되는 데이터 유출에 깊은 우려를 표명하며, 기관이 데이터 보호에 관한 국제 기준에 훨씬 못 미친다고 말했다.
“덴마크와EU에서 데이터 보호는 기본적 권리로 간주되며, 반복적 위반은 중대한 제재와 광범위한 규제 감독, 즉각적 시정 조치를 촉발한다”고 그녀는 밝혔다.
그녀는 국제 입양인들이 가장 높은 수준의 존중과 보안, 전문성으로 개인 데이터를 다룰 권리가 있다고 강조했다.
“NCRC는 신뢰에 대해 여러 차례 말해 왔지만, 오히려 이 기록들에 의존하는 삶과 정체성에 의존하는 이들에게 불신을 키워 왔다”면서 “NCRC가 책임을 지고 데이터 보호 관행을 법 및 국제 기준에 맞게 정비하기를 기대한다”고 덧붙였다.
<br><br>
Label:
Domestic