미국 유전자 검사 업체 23앤미(23andMe)가 2023년 발생한 대규모 데이터 유출 사태와 관련해 캘리포니아주 법무장관 로브 본타(Rob Bonta)로부터 소송을 당했다. 이번 유출로 미국 내 약 690만 명의 고객이 유전 정보와 각종 개인정보 노출 피해를 본 것으로 추산된다.
2026년 5월 28일 로이터 보도에 따르면, 샌프란시스코 고등법원에 제출된 소장에서 캘리포니아주는 23앤미가 시스템 침해에 대한 수차례의 경고를 무시했고, 데이터 유출의 심각성을 축소해 설명했다고 주장했다. 유출된 정보에는 고객의 건강 관련 정보, 유전적 소인, 생물학적 친족, 조상(ancestry), 인종·민족(ethnicity) 정보가 포함된 것으로 전해졌다. 미국 일반 독자에게는 유전적 소인이란 특정 질병에 걸릴 가능성과 관련된 유전적 특성을 뜻하며, 조상·민족 정보는 개인의 가족 계통과 출신 배경을 파악하는 데 활용되는 민감한 개인정보다.
이번 침해는 2023년 4월 시작돼 약 5개월 동안 이어졌으며, 본타 장관은 캘리포니아 주민 약 85만6,000명이 영향을 받았다고 밝혔다. 본타 장관은 기자들과의 전화회의에서
“이번 데이터 유출과 회사의 대응은 전적으로 용납할 수 없는 수준이었다”
고 말했다.
23앤미와 변호인단은 보도 시점까지 즉각적인 입장을 내놓지 않았다. 이번 소송은 법적으로는 Chrome Holding Co를 상대로 제기됐는데, 이는 23앤미의 법인명이다. 캘리포니아주는 이 회사가 캘리포니아 유전정보프라이버시법과 주 소비자보호법을 위반했다며, 벌금이 수백만 달러에 이를 수 있는 민사 제재를 요구하고 있다.
이번 소송은 23앤미가 미주리주 세인트루이스에서 파산 신청을 한 지 14개월 만에 제기됐다. 본타 장관은 “어떠한 판결금도 회수하려면 파산 절차를 거쳐야 한다”고 인정했다. 그는 또 연방 파산 담당 판사가 데이터 유출과 관련한 대부분의 미국 고객 청구를 해결하기 위한 3,000만~5,000만 달러 규모의 기금에 최종 승인을 내린 뒤 4개월 후 캘리포니아가 소송을 제기했다고 설명했다.
해당 합의에는 해커가 중국계와 아슈케나지 유대계 혈통을 가진 고객을 표적으로 삼은 것으로 보인 사실과, 이들의 정보가 다크웹에서 판매용으로 제시됐다는 점을 고객에게 알리지 않았다는 의혹도 함께 정리됐다. 다크웹은 일반 검색엔진으로 접속되지 않는 암호화된 인터넷 공간으로, 불법 거래와 익명성이 높은 활동이 이뤄지는 곳으로 알려져 있다.
캘리포니아주 팔로알토에 본사를 둔 23앤미는 2006년 설립됐고 2021년 상장했다. 그러나 회사는 데이터 유출과 관련 소송, 경쟁 심화, 유전자 검사 제품 수요 감소 등을 이유로 2025년 3월 챕터 11 보호를 신청했다. 챕터 11은 미국 기업이 파산 보호 아래 영업을 지속하면서 채무를 조정하는 절차를 의미한다.
또한 지난해 7월에는 23앤미 공동창업자 앤 워치츠키(Anne Wojcicki)가 통제하는 비영리단체 TTAM Research Institute가 23앤미 자산을 3억5백만 달러에 인수했다. 본타 장관은 개인정보보호 문제를 들어 이 거래에 반대하며, 캘리포니아 법은 소비자에게 자신의 “가장 민감한 개인정보” 이전에 동의할 권리를 부여한다고 주장했다. 그는 이 문제에 대한 법적 다툼이 여전히 진행 중이라고 밝혔다.
향후 쟁점은 23앤미의 재무적 부담이 어느 정도까지 확대될지, 그리고 파산 절차와 개인정보 침해 책임이 어떤 방식으로 정리될지에 달려 있다. 대규모 유전자 정보 유출 사건은 향후 바이오테크와 개인 유전자 검사 산업 전반에서 보안 투자 확대, 개인정보 관리 강화, 소비자 신뢰 회복 비용 증가로 이어질 가능성이 크다. 특히 건강·유전 데이터를 다루는 기업은 규제 리스크가 실적과 기업가치에 직접적인 영향을 미칠 수 있어, 향후 유사 업종에도 경고 신호로 작용할 전망이다.
