캘리포니아 법무장관, 23andMe 후속 기업을 2023년 데이터 유출 사건으로 고소

출처: BBC Technology

캘리포니아 법무장관, 2023년 데이터 유출 사건으로 23andMe 후속 기업을 고소

캘리포니아 법무장관 로브 본타는 조사 후 DNA 검사 기업 Chrome Holding을 고소하겠다고 발표했으며, 전신인 23andMe가 민감한 고객 데이터를 보호하지 못했다고 주장했다.

이러한 보호 실패는 2023년 데이터 유출을 초래했으며, 약 700만 명의 사용자에게 유전적 소인, 위험 요인, 혈통 정보 및 친생물학적 친척에 대한 세부 정보를 노출시켰다.

“우리 조사에 따르면 회사는 사용자 데이터를 보호하기 위한 기본적인 조치를 취하지 못했습니다,” 라고 본타는 말했으며, 23andMe가 “2023년 데이터 유출의 심각성에 대해 소비자에게 거짓말을 했다”고 덧붙였다.

BBC는 Chrome Holding에 의견을 요청했다. 이 회사는 지난해 23andMe가 파산을 신청한 후 브랜드명을 변경했다.

본타는 또한 위협 행위자들이 손상된 23andMe 데이터를 다크웹에서 판매했으며, 특히 아시안 아메리칸·태평양 섬 주민(AAPI) 및 유대인 사용자를 목표로 했다고 주장한다. 그는 이를 “불안하고 매우 위험한” 일이라며, 반아시아계 미국인·태평양 섬 주민 및 반유대주의 증오와 폭력이 증가하는 시기에 일어난 일이라고 지적했다.

이번 유출은 크리덴셜 스터핑 공격과 관련이 있었으며, 해커들은 이전 유출에서 노출된 비밀번호를 재사용해 유사한 자격 증명을 가진 23andMe 계정에 접근했다.

국제 규제 대응

• 영국 정보위원회(ICO)는 155,592명의 영국 거주자 개인 데이터가 접근되었다고 보고했다.
• 캐나다 개인정보 위원회와 협조한 ICO의 조사 결과, 23andMe가 로그인 시 적절한 인증 및 검증 조치를 구현하지 않아 영국 법을 위반한 것으로 밝혀졌다.
• 회사는 고객 데이터와 프라이버시 보호를 강화하기 위해 “여러 구속력 있는 약속”을 이행했다고 밝혔다.

대중의 우려

일부 사용자는 보험사가 자신의 유전 데이터를 구매해 보장 자격을 판단하는 데 사용할 수 있다는 우려를 표명했다.

23andMe 배경

• Anne Wojcicki가 공동 설립했으며(고 YouTube CEO Susan Wojcicki의 여동생이자 Google 공동 설립자 Sergey Brin의 전 아내).
• 유명 고객으로는 스눕 독, 오프라 윈프리, 에바 롱고리아 등이 있다.
• 회사 주가는 2024년 급락하기 전 300달러 이상으로 정점을 찍었다.