캘리포니아, 2023년 데이터 유출로 700만 명이 피해를 입은 23andMe를 고소.
출처: Engadget
bluestork/Shutterstock
소송 개요
캘리포니아 주 검찰총장 Rob Bonta는 이전에 23andMe로 알려졌던 Chrome Holding Co.를 상대로 소송을 제기했습니다. 이 소송은 회사가 고객을 오도하고 “건강, 유전적 소인, 위험 요인, 친족 관계, 혈통 및 민족성에 관한 민감한 개인 정보와 유전 데이터를” 보호하지 못했다고 주장합니다.
이번 침해 사건은 미국 전역의 700만 명의 사용자를 영향을 미쳤으며, 그 중 855,541 명이 캘리포니아 주민입니다.
2023년 침해 사건 상세 내용
2023년에 23andMe는 공격자가 **자격 증명 채우기(credential stuffing)**를 통해 사용자 계정에 접근했음을 공개했습니다. 이는 MyHeritage(23andMe와 파트너십을 맺고 있던 계보 사이트)와 같은 이전 데이터 침해에서 탈취된 자격 증명을 이용한 것이었습니다. MyHeritage 침해 사실을 알고 있었음에도 불구하고, 23andMe는 사용자가 해당 자격 증명을 재사용하는 것을 방지하지 않았으며, 오히려 사용자가 MyHeritage 계정을 만들도록 권장했다고 전해집니다.
공격자는 약 14,000 개의 계정을 자격 증명 채우기로 장악한 뒤, 웹사이트의 DNA Relatives 기능에 존재하던 취약점을 이용해 훨씬 더 많은 고객의 데이터를 탈취했습니다. Bonta에 따르면, 회사의 보안이 너무 허술해 침입 사실이 5개월 동안 감지되지 않았으며, 도난당한 데이터가 다크 웹에 판매되면서 몸값 요구가 동반된 뒤서야 조사가 시작되었습니다.
Bonta는 또한 23andMe가 고객에게 침해 사실을 알릴 때 사건의 심각성을 축소했다고 주장합니다. DNA Relatives 기능을 “사실상 공개된 것”이라고 묘사하면서 동시에 공격자와 비밀리에 협상하고 있었다고 합니다. 판매된 데이터에는 아시아계 미국인·태평양 섬 주민(AAPI) 및 유대인 사용자의 정보가 포함돼 있었으며, 이는 반 AAPI 및 반유대주의 혐오가 급증하고 있는 시점에 강조되었습니다.
“다크 웹에서 이 데이터가 판매된 시기는 반아시아계 미국인·태평양 섬 주민 및 반유대주의 혐오와 폭력이 고조되는 시기와 맞물렸으며, 해당 정보가 매우 개인적이고 식별 가능한 성격을 가지고 있음을 명확히 드러냈습니다.”라고 Bonta는 적었습니다. “이는 충격적이며 매우 위험합니다.”
법적·재정적 파장
- 파산: 23andMe는 2025년 3월에 파산을 신청했습니다.
- 집단소송: 회사는 고객 보호 실패를 이유로 제기된 집단소송에도 직면해 있습니다.
- 합의: 파산을 관할하는 판사는 올해 초 5천만 달러 규모의 합의를 승인했습니다.
출처: