DNA 검사 및 혈통 서비스 제공업체 23andMe는 최근 해킹 사고로 인해 10월에 발생한 데이터 유출로 인해 약 700만 명의 고객이 프로필 데이터가 유출된 것으로 확인됐다. 이 사실은 지난주 금요일 미국 증권거래위원회(SEC)에 수정 신고서를 제출하면서 유출 규모와 노출된 민감한 정보를 공개한 데 따른 것이다.

23andMe 대변인에 따르면, 유출된 데이터의 대부분은 사용자가 친척 관계에 있는 타인의 유전적 프로필을 탐색할 수 있는 DNA 친척 기능을 악용하여 얻은 것이라고 한다. 해커가 전체 사용자 중 극히 일부(0.1%)에 해당하는 약 14,000개의 계정에 무단으로 액세스하는 것으로 유출이 시작되었다. 유출된 데이터에는 표시 이름, 혈통 보고서, 특히 민감한 건강 관련 정보가 포함되어 있었다.

위협 행위자가 타사 웹사이트에서 훔친 자격 증명을 사용하여 23andMe 고객 계정에 로그인하면서 침해가 확대되었다. 공격자들은 이렇게 유출된 계정을 활용하여 DNA 친척 기능을 선택한 사용자들이 공유한 정보를 체계적으로 스크랩했고, 그 결과 약 550만 명의 사용자 유전자 프로필이 노출되었다. 또한, 140만 명의 사용자가 DNA 친척 데이터의 하위 집합인 가계도 프로필도 노출되었다.

특히, 유출된 각 계정은 수백 명 또는 수천 명의 추가 사용자의 데이터에 액세스할 수 있는 권한을 제공했다. 이 회사는 무단 액세스가 크리덴셜 스터핑 공격의 결과라고 강조하면서 자체 시스템에서 침해가 발생했다는 증거는 없다고 강조했다.

10월 1일, '골렘'이라는 가명으로 활동하는 한 사용자가 해커 포럼에서 100만 명 이상의 유대인 사용자 데이터와 30만 명의 중국인 사용자 데이터를 유출했다고 주장하며 정보를 유출한 것으로 알려졌다. 이후 10월 17일에는 영국과 독일 고객의 프로필 데이터 410만 건이 추가로 노출되었다고 주장했다. 골렘은 총 700만 명 이상의 사용자 데이터에 액세스했다고 주장했다.

유출된 정보에는 당뇨병이나 파킨슨병과 같은 질환에 걸리기 쉬운 성향과 같은 민감한 건강 데이터가 포함되어 있다. 또한 낭포성 섬유증 등과 같은 질병에 대한 사용자의 유전자 보유 여부도 유출된 것으로 보고되었다.

23andMe는 정보 유출에 대응하여 DNA 친척 도구의 일부 기능을 일시적으로 비활성화하고 공개 액세스에서 유출된 모든 정보를 제거하기 위해 노력하는 등 즉각적인 조치를 취했다. 또한 법에 따라 영향을 받은 고객에게 통지하는 절차를 진행 중이다. 또한 10월 9일에 모든 사용자에게 비밀번호 재설정을 요청했으며, 11월 6일에는 고객 계정에 대해 이메일 2단계 인증을 의무화했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★