Contents
see List비밀번호 재사용이 가족 데이터까지 번진 23andMe 사건
이번 쇼츠에서는 유전자 검사 서비스 23andMe에서 알려진 credential stuffing 사건을 다뤘습니다. 핵심은 회사 내부 시스템이 직접 뚫린 침해사고라기보다, 다른 서비스에서 유출된 이메일과 비밀번호 조합을 공격자가 자동으로 대입한 방식이었다는 점입니다. 사용자가 같은 비밀번호를 여러 서비스에 재사용하면, 한 곳의 유출이 전혀 다른 서비스의 계정 탈취로 이어질 수 있습니다.
23andMe의 공식 설명에 따르면 직접 접근된 계정은 약 14,000개, 전체 고객의 0.1% 미만이었습니다. 하지만 여기서 끝나지 않았습니다. 공격자는 해당 계정과 연결된 DNA Relatives 프로필 약 550만 개, Family Tree 프로필 약 140만 개의 정보까지 볼 수 있었습니다. 계정 하나가 단순한 개인 정보 창구가 아니라, 가족 관계와 유전적 연결망을 들여다보는 통로가 된 셈입니다.
이 사건이 특히 중요한 이유는 유전 정보의 성격 때문입니다. 카드번호나 비밀번호는 바꿀 수 있지만, 가족 관계와 DNA 단서는 바꿀 수 없습니다. 일반적인 개인정보 유출은 피해 범위가 본인에게 집중되는 경우가 많지만, 유전자 서비스는 친척 매칭, 가계도, 공유 프로필처럼 타인과 연결된 데이터가 함께 움직입니다. 그래서 한 명의 계정 관리 실패가 주변 사람의 프라이버시 문제로 번질 수 있습니다.
개인 사용자가 바로 할 수 있는 대응은 복잡하지 않습니다. 첫째, 유전자 검사, 이메일, 금융, 클라우드 계정처럼 민감한 정보가 쌓이는 서비스는 반드시 고유한 비밀번호를 사용해야 합니다. 둘째, 패스워드 매니저로 긴 무작위 비밀번호를 관리하는 편이 기억하기 쉬운 비밀번호를 재사용하는 것보다 안전합니다. 셋째, 가능하면 패스키나 2단계 인증을 켜두어 비밀번호가 노출되어도 바로 로그인되지 않게 해야 합니다.
기업 입장에서도 이 사건은 중요한 참고 사례입니다. 로그인 보안은 단순히 서버 취약점만 막는 문제가 아니라, 비정상 로그인 시도 탐지, 다중 인증 기본 적용, 민감 기능 접근 제한, 고객 알림 체계까지 함께 설계해야 합니다. 특히 건강, 금융, 가족, 신원 데이터처럼 바꾸기 어려운 정보를 다루는 서비스라면 보안 기본값을 더 강하게 잡아야 합니다.
23andMe는 사건 이후 고객 비밀번호 재설정과 2-step verification 적용을 요구했고, 일부 DNA Relatives 기능도 일시적으로 제한했습니다. 사용자의 입장에서는 “내 계정 하나쯤”이 아니라 “내 계정 하나가 가족과 지인 데이터까지 번질 수 있다”는 관점으로 보안을 봐야 합니다.