23andMe는 최근 해커들이 약 14,000개의 고객 계정에 무단으로 접근한 데이터 유출 사고를 공개했습니다. 이는 전체 고객 기반의 0.1%에 해당하는 규모입니다. 10월 초에 공개된 이dent해커들이 다른 유출 사고에서 유출된 것으로 추정되는 비밀번호를 이용해 계정에 침입하는 '크리dent스터핑(credential stuffing)'이라는 수법을 사용한 사례를 보여줍니다.
23andMe는 해커들이 사용자들의 조상 정보가 담긴 파일에 접근했다고 밝혔습니다
유출된 데이터에는 초기 14,000명 사용자의 조상 정보가 포함되었습니다. 이 계정 중 일부의 경우, 사용자의 유전자에 기반한 건강 관련 정보도 노출되었습니다. 그러나 이번 데이터 유출의 파급 효과는 직접적인 영향을 받은 고객을 넘어 더 광범위하게 미쳤습니다. 이는 23andMe의 DNA Relatives 기능 때문인데, 이 기능은 사용자가 해당 기능에 동의한 다른 사용자와 특정 정보를 공유하여 상호 연결된 프로필 네트워크를 구축할 수 있도록 합니다.
결과적으로 해커들은 한 피해자의 계정에 접근하는 것만으로도 해당 피해자와 연결된 다른 사람들의 개인 정보를 볼 수 있는 위험에 노출될 수 있었습니다. 회사 측은 최초 14,000건 외에는 정확한 수치를 공개하지 않았지만, 다른 사용자들의 조상 정보가 담긴 프로필 파일이 "상당수" 유출되었다고 인정했습니다. 특히 23andMe는 이러한 수치에 대한 추가적인 설명을 요구하는 문의에 답변하지 않아, 사용자들은 이번 유출 사태의 규모에 대해 우려를 표했습니다.
이번 데이터 유출 사건으로 23andMe는 즉각적인 조치를 취해 사용자들에게 비밀번호를 재설정하고 변경할 것을 촉구했습니다. 또한, 보안 강화에 필수적인 다단계 인증 도입을 권장했습니다. 11월 6일에는 모든 사용자에게 2단계 인증을 의무화하는 더욱 강력한 조치를 취하며 사용자 계정 보호를 한층 강화했습니다. 이후 해킹 포럼에 유출된 데이터를 분석한 결과, 사용자들의 유전적 조상 정보가 포함되어 있었던 것으로 드러났습니다.
이번 공격의 여파와 업계의 반응
일부 데이터 세트는 공개된 족보 기록에서 발견된 세부 정보와 일치하여, 유출된 정보가 수년 동안 온라인에 유포되었을 가능성을 시사했습니다. 상황은 해커가 수백만 명의 사용자 정보를 1인당 1달러에서 10달러에 판매하려 시도하면서 더욱 악화되었습니다. 이 해킹 사건은 해커들이 유명 해킹 포럼에서 아슈케나지 유대인 100만 명과 중국인 10만 명의 데이터를 판매한다고 광고하면서 처음으로 대중의 관심을 끌었습니다.
이후 동일한 해커는 추가로 400만 건의 사용자 기록을 공개했습니다. 더욱 충격적인 것은 다른 포럼에서 활동하는 또 다른 해커가 23andMe의 사용자 데이터 300테라바이트를 탈취했다고 주장하며 전체 데이터베이스를 상당한 가격에 판매하거나 일부 데이터만 판매하겠다고 제안했던 것입니다. 이러한 광범위한 데이터 유출 사태에 대응하여 23andMe는 보안 조치를 강화했습니다. 비밀번호 재설정 강제 및 다단계 인증 권장은 데이터 유출의 영향을 최소화하기 위한 초기 조치였습니다.
이후 의무적으로 시행된 2단계 인증은 사용자 보안을 강화하고 무단 접근을 방지하기 위한 것이었습니다. 23andMe 데이터 유출 사태 해당 회사 자체를 넘어 확산되었습니다. 이 사건 이후 Ancestry와 MyHeritage와 같은 다른 DNA 검사 회사들도 사용자에게 2단계 인증을 의무화하는 등 보안 조치를 강화했습니다. 이 사건은 dent 유전 정보와 개인 정보를 다루는 기업들이 직면한 어려움이 점점 커지고 있음을 보여주었으며, 악의적인 공격자로부터 사용자 정보를 보호하기 위한 강력한 사이버 보안 조치의 필요성을 강조했습니다.
