정용환 기자
유전자 검사 기업인 23앤미(23andMe)가 해킹 피해로 인해 사용자 데이터가 유출됐다고 보고했다. 23앤미에는 유전적으로 친척에 해당하는 인물을 찾을 수 있는 기능(DNA Relatives)이 있지만 이 기능을 통해 공유할 수 있는 일부 사용자 프로필 정보가 유출된 것으로 보인다. 23앤미는 데이터 유출된 사용자 유전 데이터가 690만 명에 달한다고 밝혔다.
유출 가능성을 처음 밝힌 건 10월 9일 20시 25분으로 당시에는 포렌식 전문가나 연방법 집행기관과 협력해 조사를 진행 중이라고 밝혀 피해 세부 사항은 알 수 없었다. 이후 10월 20일 21시 35분 진행 중인 보안 조사 일환으로 고객 프라이버시를 보호하기 위한 추가 예방 조치로 해당 기능 일부를 일시적으로 무효화했다고 발표했다.
11월 6일 7시 45분에는 계정 추가 보호를 위해 이메일 2단계 인증을 이용할 걸 모든 고객에게 의무화한다며 신규 사용자는 계정을 만들 때 자동으로 이메일 2단계 인증에 등록할 수 있으며 인증 앱을 사용하지 않는 기존 사용자도 2단계 인증에 자동 등록되며 다음 로그인을 할 때 인증 코드가 포함된 이메일을 받게 된다며 2단계 인증이 의무화된 걸 밝혔다.
12월 1일 15시 45분 법의학 전문가 도움을 받아 조사를 완료했다며 모든 기존 고객에게 비밀번호 재설정을 요구하고 모든 사용자에게 2단계 인증 사용을 의무화하는 등 사용자 데이터를 더 안전하게 보호하기 위한 조치를 취하고 있다며 데이터 보호에 투자하겠다고 발표했다.
23앤미는 해킹 피해 사실을 공식 블로그에서 보고했지만 어느 정도 사용자가 피해를 입었는지 등에 대한 자세한 내용은 밝히지 않았다. 하지만 보도에 따르면 사용자 690만 명 데이터가 유출된 것으로 밝혀졌다. 23앤미 측은 이번 해킹 피해는 동일 유전자 구성을 가진 사용자를 대조하는 기능이 유효한 550만 명 분량 사용자 데이터와 140만 명 분량 가계도 프로필에 액세스했다고 밝혔다. 해킹에 의해 도난당한 데이터에는 사용자 이름, 생일, 관계 라벨, 친척과 공유되는 DNA 비율, 조상 보고, 자가 신고된 위치 등 정보가 포함된다.
미국 증권거래위원회에 제출된 서류에 따르면 해킹 공격을 걸어온 공격자는 데이터 유출된 게정 자격증명을 악용해 무단 액세스를 하는 자격증 스태핑 공격을 사용한 것으로 보인다. 이로 인해 23앤미 사용자 0.1%에 해당하는 1만 4,000건 사용자 계정에 직접 액세스할 수 있게 됐다고 한다. 여기에서 공격자는 DNA 릴레이티브를 이용해 다른 수백만 명 유전자 프로필 정보를 입수한 것으로 보인다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
