유전정보는 바꿀 수 없다: 23andMe 데이터 유출 사태가 남긴 보험과 리스크 관리의 교훈
미국 유전자 분석 기업 23andMe의 데이터 유출 사태가 다시 한 번 전 세계 리스크 관리 업계의 주목을 받고 있다. 최근 미국 법원은 2023년 발생한 대규모 개인정보 유출 사건과 관련해 피해자들에게 총 4,675만 달러를 지급하는 합의를 승인했다. 단순한 사이버 사고를 넘어, 유전정보라는 가장 민감한 개인정보가 유출된 사건이라는 점에서 이번 사례는 디지털 시대의 새로운 리스크 지형을 보여주는 대표적 사례로 평가된다.
23andMe는 소비자가 타액 샘플을 보내면 조상 정보와 유전적 특성, 건강 관련 정보를 분석해 제공하는 세계 최대 유전자 분석 기업 중 하나였다. 그러나 혁신 기업의 상징이던 회사는 데이터 유출과 재무 악화 끝에 2025년 파산보호를 신청했고, 결국 창업자 앤 워치츠키(Anne Wojcicki)가 다시 회사를 인수하는 극적인 과정을 겪게 되었다.
사건의 전개: 5개월간 지속된 침해
데이터 유출은 2023년 4월경 시작되어 약 5개월 동안 지속되었다. 해커들은 이른바 '크리덴셜 스터핑(Credential Stuffing)' 기법을 사용했다. 이는 다른 사이트에서 유출된 ID와 비밀번호를 재사용하는 이용자들의 계정에 자동으로 로그인하는 공격 방식이다. (Malwarebytes)
직접 침해된 계정은 약 1만4천 개 수준이었지만 문제는 여기서 끝나지 않았다. 23andMe의 'DNA Relatives' 기능은 유전적으로 연결된 사람들의 정보를 서로 연계하는 구조였다. 공격자는 이 기능을 악용해 약 550만 건의 프로필과 140만 건의 가족 계보 정보를 추가로 수집했다. 결과적으로 약 690만 명, 당시 전체 고객의 절반 가까운 이용자 정보가 노출되었다. (arXiv)
특히 일부 보도에 따르면 아슈케나지 유대인 및 중국계 이용자 정보가 별도로 거래되면서 사회적 파장이 더욱 커졌다.
4,675만 달러 합의와 보험의 역할
이번 합의에 따라 피해자들은 피해 정도에 따라 50달러에서 최대 1만 달러까지 보상을 받을 수 있다. 현재까지 25만5천 건 이상의 청구가 처리되었으며 일부 청구는 여전히 심사 중이다. 법원은 장기 소송으로 인한 비용 증가와 회수 가능성의 불확실성을 고려해 합의를 승인했다. (Reuters)
주목할 부분은 사이버 보험의 역할이다. 이미 약 1,430만 달러가 정산 관리자 Kroll에 지급되었고, 이 가운데 약 1,300만 달러를 사이버 보험사들이 부담한 것으로 알려졌다. 이는 사이버 보험이 단순한 비용 보전 수단을 넘어 기업 생존과 피해자 구제의 핵심 재원으로 기능하고 있음을 보여준다.
그러나 동시에 보험의 한계도 드러난다. 금전적 손실은 보상할 수 있어도 유전정보 자체는 한번 유출되면 영구적으로 회수할 수 없기 때문이다.
유전정보는 일반 개인정보와 다르다
신용카드는 재발급이 가능하고 비밀번호는 변경할 수 있다. 하지만 DNA는 바꿀 수 없다.
유전정보에는 질병 위험, 가족 관계, 인종적 배경 등 개인의 가장 근본적인 정보가 담겨 있다. 따라서 유전정보 유출은 단순한 개인정보 침해를 넘어 평생 지속될 수 있는 프라이버시 리스크를 의미한다. 규제기관들이 이번 사건을 일반적인 데이터 유출보다 훨씬 엄중하게 바라보는 이유다.
실제로 캘리포니아 주 정부는 2026년 회사가 유전정보 보호 의무를 위반했다며 별도의 소송을 제기했다. 주 정부는 수백만 달러 규모의 민사벌금 가능성도 제기하고 있다. (Healthcare Dive)
리스크 관리 관점의 시사점
23andMe 사건은 현대 기업이 관리해야 할 리스크가 얼마나 복합적인지를 보여준다.
첫째, 개인정보 보호는 IT 부서만의 문제가 아니라 이사회와 최고경영진의 핵심 거버넌스 이슈다.
둘째, 사이버 보험은 필수적이지만 충분조건은 아니다. 다중인증(MFA), 접근통제, 침해탐지체계 등 예방 통제가 보험보다 우선되어야 한다. 실제 조사기관들은 23andMe가 다중인증 도입과 보안 조치 측면에서 미흡했다고 지적했다.
셋째, 데이터 경제 시대에는 개인정보가 곧 기업의 핵심 자산이자 부채가 된다. 데이터가 많을수록 경쟁력은 커지지만, 사고 발생 시 잠재적 손실 역시 기하급수적으로 증가한다.
23andMe는 유전정보 산업의 개척자였다. 그러나 혁신은 신뢰 위에 세워질 때만 지속 가능하다. 디지털 시대의 기업은 더 이상 "얼마나 많은 데이터를 보유하고 있는가"보다 "얼마나 안전하게 보호하고 있는가"로 평가받고 있다.
23andMe 사태는 하나의 기업 실패 사례를 넘어, 데이터 자본주의 시대에 기업과 사회가 반드시 답해야 할 질문을 던진다.
"인간의 가장 근원적인 정보인 DNA는 과연 누구의 것인가?" 🧬
기사 원문: Insurance Journal 기사
주요 사실은 법원 문서와 관련 보도를 기반으로 정리했다. (Reuters)
