얼마 전까지만 해도, 실리콘밸리 스타트업에 자신의 침을 우편으로 보내는 일은 그저 신기한 체험처럼 여겨졌습니다 – 엉뚱한 선물, 가족사를 빠르게 알아보는 지름길, 유쾌하게 엿보는 유전적 미래. 수천만 명의 사람들이 23andMe, Ancestry, MyHeritage 같은 기업에 개인 맟춤 건강 정보나 조상 분석을 기대하며 자신의 DNA를 넘겼습니다.

하지만 그 밝고 흥미로운 결과 뒤에는 훨씬 더 복잡한 거래가 숨어 있습니다 – 일시적인 호기심을 평생의 취약성으로 바꾸는 거래입니다. 이 산업이 수십억 달러 규모로 성장하는 동안, 가장 민감한 개인 정보인 DNA를 보호하는 장치는 여전히 매우 취약한 상태에 머물러 있습니다.

최근 진행된 조사에서, 우리는 소비자 직접 대상(DTC) DNA 검사 기업들의 사이버 보안 관행을 면밀히 분석했습니다. 그 결과는 매우 우려스러운 수준이었습니다. Business Digtial Index(BDI)를 활용한 조사에서, 연구팀은 전체 DTC 유전자 검사 업체의 85% 이상이 기본적인 보안 기준조차 충족하지 못하고 있음을 발견했습니다. 허술한 암호화, 노후된 인프라, 불명확하거나 오해를 불러일으키는 개인정보 보호정책은 매우 흔했으며, 이는 사용자에게 ‘유전 정보는 안전하다’고 약속하는 업계 대표 기업들조차 예외가 아니었습니다.

수년간 디지털 취약점을 조사해 온 입장에서 말하자면, 이처럼 위험한 조합은 좀처럼 보기 어렵습니다 – 매우 가치 있는 데이터, 허술한 보안, 그리고 사실상 존재하지 않는 책임 구조. 하지만 DNA는 그 위험이 개인적이며, 무엇보다도 ‘영구적’이라는 점에서 차원이 다릅니다.

소비자들은 자신의 유전 정보에 대한 인사이트를 얻기 위해 이들 기업에 비용을 지불하지만, 실제로 무엇을 넘기고 있는지, 그리고 그 DNA가 어떻게 수익화되는지는 거의 이해하지 못한 채 동의하고 있습니다. 조사 결과에 따르면, 이들 업체의 약 70%는 유전 정보를 연구 파트너와 공유하고 있으며, 절반 이상은 마케팅 및 광고 서비스에 데이터를 전송하고 있습니다. 이 가운데 많은 기업들은 해당 정보를 수년간 보관하며, 삭제 요청이나 사용 통제와 관련된 명확한 절차나 권한을 사용자에게 제공하지 않는 경우가 많았습니다.

이러한 위험은 이미 현실이 되었습니다. 2018년, MyHeritage는 보안 침해로 9,200만 명의 사용자 이메일 및 암호화된 비밀번호가 유출되었고, 2023녀네는 23andMe에서 700만 명 이상의 고객 데이터가 유출되는 사고가 발생했습니다. 특히, 많은 피해자들이 “NDA Relatives”라는 기능에 자발적으로 동의(opt-in)했던 이용자들이었습니다. 이 기능을 통해 공격자들은 해당 사용자뿐 아니라, 유전적으로 연결된 가족 구성원의 정보까지 수집할 수 있었습니다.

회사의 주가는 폭락했고, CEO 앤 워치스키(Anne Wojicicki)는 사임했습니다. 올해 초, 23andMe는 결국 파산을 신청했으며, 현재는 제약 대기업 리제네론(Regeneron)에 2억 5,600만 달러에 인수될 예정입니다.

업계의 취약성을 경고해 온 이들에게는 이 붕괴가 전혀 놀라운 일이 아니었지만, 매우 불안한 사건임은 분명했습니다. 가정에서도 널리 알려진 브랜드가, 스스로 약속했던 신뢰의 무게에 짓눌려 무너진 이 사건은 본래라면 전면적인 제도 개혁을 촉발했어야 했습니다. 하지만 그런 일은 일어나지 않았습니다. 대신, 캘리포니아 법무장관은 이례적으로 경고문을 발표하며, 사용자들에게 자신의 유전 데이터를 완전히 삭제하는 것을 고려하라고 조언했습니다.

이번 리제네론의 인수는 소비자들에게 새로운 리스크와 불확실성을 추가하고 있습니다. 리제네론 측은 23andMe의 기존 개인정보 보호 정책을 준수하고 데이터 보호법을 따르겠다고 약속했지만, 이처럼 민감한 유전 정보가 대규모로 이전되는 상황 – 특히 보안 사고 이후에는 새로운 취약점이 생길 수밖에 없습니다. 인수합병 과정에서는 시스템과 인력이 통합되며 보안의 공백이 발생할 가능성이 높고, 소비자의 DNA 정보가 적절한 동의 없이 노출되거나, 오용되거나, 판매되는 일을 막기 위해 철저한 감독이 필수입니다.

그러나 이 모든 조치들은 말처럼 쉽지 않을 수 있습니다.

2018년, 제임스 W. 헤이즐(James W. Hazel)과 크리스토퍼 슬로보긴(Christopher Slobogin)이 55개 소비자 대상 유전자 검사 회사를 분석한 결과, 단 44%만이 사용자가 자신의 유전 정보를 삭제할 수 있는지 여부를 명확히 언급했으며, 실제로 완전한 삭제를 허용한 곳은 단 5개 업체(9%)에 불과했습니다. 일부 기업은 데이터가 이미 제3자와 공유되었거나, 연구를 위해 비식별 처리되었기 때문에 삭제가 불가능하다고 명시적으로 밝히기도 했습니다.

문제는 데이터 삭제뿐 아니라, ‘데이터 공유 방식’으로까지 확대됩니다. 많은 유전자 검사 회사들은 제약회사나 연구기관과의 파트너십을 맺고 있으며, 이러한 협력은 종종 ‘과학 발전을 위한 기여’로 포장됩니다. 그러나 이타적 연구 참여와 상업적 수익화 사이의 경계는 매우 모호합니다. 2022년, 미국 소비자 단체 Consumer Reports는 23andMe, AncestryDNA, CircleDNA, GenoPalate, MyHeritage 등 5대 유전자 검사 회사를 조사한 보고서에서 이들 기업이 겉으로는 강력한 DNA 프라이버시 보호를 홍보하고 있지만, 유전 정보 외 데이터(non-genetic data)에 대한 처리 방식은 상당한 프라이버시 리스크를 내포하고 있다고 지적했습니다. 보고서에 따르면, 이들 기업이 수집하는 데이터 중 상당수는 핵심 서비스 제공에 반드시 필요한 정보가 아니며, 연구 참여에 ‘동의’할 경우, 소비자가 인식하는 것보다 훨씬 광범위한 데이터 활용 권한이 부여될 수 있다는 것입니다.

이러한 위험은 개인 차원에만 그치지 않고, 사회 전체로 확산되는 파급력을 가집니다. DNA 데이터는 신용카드 번호처럼 취소하고 재발급할 수 있는 정보가 아닙니다. 그것은 우리의 정체성과 유전적 연결 관계를 영구적으로 드러내는 청사진이며, 잘못된 손에 들어갈 경우 차별, 협박, 국가 감시에까지 악용될 수 있습니다. 이미 일부 수사기관들은 범죄 수사를 위해 유전 족보 데이터베이스(genealogical databases)를 활용하기 시작했습니다. (골든 스테이트 킬러 사건을 기억하시나요?) 물론 이러한 방식이 범죄 해결에 효과적일 수는 있지만, 동의, 시민의 자유, 디지털 수사 범위 등과 관련해 심각한 윤리적 문제를 제기합니다.

하지만 현실은, 규제 환경이 이러한 기술 발전을 따라가지 못하고 있다는 점입니다. 미국에는 민간 부문에서 유전 정보를 수집, 저장, 공유하는 것을 포괄적으로 규율하는 연방법이 존재하지 않습니다. 2008년에 제정된 유전 정보 차별 금지법(GINA)은 건강보험이나 고용 결정에 유전 정보를 사용하는 것을 금지하고 있지만, 데이터 프라이버시 문제에는 전혀 다루지 않고 있습니다. 국제적인 기준 또한 국가마다 차이가 크며, 일부 국가는 소비자 보호 중심의 강력한 정책을 채택한 반면, 그렇지 않은 국가들도 많습니다.

결국 소비자들은 이러한 구조 속에 무방비 상태로 노출되어 있으며, 대부분 이 사실조차 인식하지 못하고 있습니다. 2020년, 아비아드 E. 라즈(Aviad E. Raz) 박사와 연구진이 실시한 조사에 따르면, 23andMe 사용자 중 40% 이상이 해당 기업의 비즈니스 모델에 유전자 데이터 공유가 포함되어 있다는 사실을 모르고 있었습니다. 이러한 상황은 더 명확한 정보 전달과, 상업적 건강 연구에 있어서 더욱 공정한 참여 방식이 절실히 필요함을 보여줍니다.

이 모든 상황에서 느껴지는 씁쓸한 아이러니는, 우리의 조상을 밝혀주고, 개인 맞춤형 건강 정보를 제공하겠다던 기술이 결국에는 영구적인 취약성을 만들어냈다는 사실입니다 – 그리고 이는 사이버보안 전문가조차 쉽게 해결할 수 없는 수준의 위험성입니다.

은행 정보, 자녀의 학교 기록, 의료기록과 같은 정보에 대해 우리는 이렇게 무책임한 접근을 절대 용납하지 않을 것입니다. 그런데 왜 우리의 DNA에 대해서는 예외로 여기는 걸까요? 사이버보안 연구자로서 저는 이 데이터가 얼마나 취약한지 잘 알고 있고, 한 사람으로서 저는 이 정보가 얼마나 대체 불가능한지도 알고 있습니다.

정책 입안자들은 신속히 행동에 나서야 합니다. 유전자 데이터 보호를 위한 명확하고 실행 가능한 기준을 마련해야 합니다. 여기에는 암호화 의무화, 보안 사고 보고, 데이터 삭제 권한 보장, 제3자 공유 제한 조치가 포함되어야 합니다. 소비자는 투명성과 실질적인 동의권을 통해 권한을 가져야 하며, 업계는 유전자 데이터가 단순한 상업적 상품이 아님을 인식해야 합니다. 그것은 정체성이고, 가족이고, 미래입니다.

이 산업이 우리의 DNA를 마땅히 존중하고 신중하게 다루기 전까지, 신뢰와 프라이버시는 결코 회복되지 않을 것입니다.

저자 소개

아라스 나자로바스(Aras Nazarovas)는 사이버보안 전문 온라인 매체인 Cybernews의 정보 보안 연구원입니다. 그는 사이버보안 및 위협 분석 분야를 전문으로 하며, 온라인 서비스, 악성 캠페인, 하드웨어 보안 문제를 조사하고, 가장 흔하게 발생하는 사이버 위협에 대한 데이터를 수집·분석하고 있습니다. 아라스는 Cybernews 연구팀과 함께 NASA, Google Play, App Store, PayPal 등 다양한 조직과 플랫폼에 영향을 미치는 온라인 프라이버시 및 보안 문제를 밝혀낸 바 있습니다. Cybernews 연구팀은 연간 7,000건 이상의 조사 활동을 수행하고, 600건 이상의 보안 연구 보고서를 발간하며, 소비자와 기업이 데이터 보안 리스크를 이해하고 대응할 수 있도록 지원하고 있습니다.