바이오스타트업 해킹사고, 23andMe의 교훈과 앞으로의 우리들의 액션

 

안녕하세요 한주현입니다.

 

오늘은 "바이오스타트업 해킹사고, 23andMe의 교훈과 앞으로의 우리들의 액션"

- 소잃고 외양간 고치지 말자. 오늘 당장 할 수 있는 네 가지 보안 액션

에 대해서 포스팅 해보겠습니다.

2023년 10월, 유전체 분석 기업 23andMe의 유전정보가 해킹당했습니다.
가족관계, 조상 정보, 질병 위험도와 같은 민감 데이터가 다크웹에 공개되었습니다.
피해자는 약 700만 명.
이 사건은 고도의 해킹이 아닌 MFA(다중 인증) 미적용과 이를 탐지하지 못함에서 시작하였습니다.
이후 기업 주가는 최고점 대비 2% 수준까지 하락하였고, 이는 단순한 주가 조정이 아닌 시장의 신뢰 붕괴를 상징하는 사건이 되었습니다.

국내에서도 최근 SKT, YES24, SGI서울보증 등 굵직한 기업들의 연쇄적인 보안사고가 이어졌습니다.
공통점은 하나입니다.
> “우리는 뚫릴 수 있다” 는 전제를 조직이 제대로 받아들이지 않았다는 점. 

보안은 기능이 아니라, 신뢰를 지키는 태도입니다.
- 보안 정책이 IT팀 만의 문제가 되면, 조직 전체가 위험해집니다.
- 데이터가 곧 서비스의 본질인 시대에서, 보안은 기획 초기부터 함께 가야 할 전략적 요소입니다.


지금 당장 실행할 수 있는 보안 액션
1. 모든 계정에 2FA (Two Factor Authentication, 2단계 인증) 활성화하기
→ Google Authenticator, Microsoft Authenticator 등을 사용하여 계정의 2FA 등록.

2. 패스워드 관리자 도입하기
→ 1Password, Bitwarden 등으로 강화된 비밀번호 관리와 편의성을 확보하기.

3. 중요 서비스에는 하드웨어 보안키(Yubikey) 사용하기
→ 물리적인 키를 사용하면 고도화된 해킹 공격에 대해 방어할 수 있음.

4. 조직 차원의 MFA 강제 적용 및 보안 정책 수립
→ “선택 옵션”이 아니라 기본값(default)이 되도록, 회사 리더십 차원의 강제적 적용이 필요함.


저는 쓰리빌리언에서 Bioinformatics Engineer로써,
내부 보안 전략 수립과 인프라 보호를 수행하는 팀을 이끌며 동료들과 함께 일하고 있습니다.

보안에 대한 인식은 행동으로 이어질 때 만 의미가 있습니다.
지금 당장 위의 네 가지 보안 액션 중 하나라도 오늘 바로 실천해보시기를 추천드립니다.

----
바이오 스타트업에서 그리 길지 않았지만, 초기 멤버로써 상장까지 함께한 진지한 시간을 통해 얻은 인사이트를 나눠봅니다. 비슷한 고민을 하고 있는 분들께, 이 글이 작은 참고가 되기를 바라겠습니다.