23andMe 유전자 정보 유출 집단소송 MDL 3098 — 파산 및 합의 청구 안내

23andMe 유전자 정보 유출 집단소송 MDL 3098 — 2026년 파산 이후 청구 방법

Daylongs · 2026년 5월 26일 · 9분 소요

#MDL 3098 #23andMe 소송 #데이터 침해 #유전자 정보 유출 #개인정보 소송 #mass tort #Chapter 11 파산

유전자 정보가 팔렸다 — 23andMe 데이터 유출 사건의 전모

2023년 10월, 미국의 대표적 유전자 검사 서비스 23andMe는 충격적인 데이터 침해 사실을 공개했습니다. 약 690만 명 사용자의 유전자 정보, 조상 관련 데이터, 개인 건강 정보가 해커의 손에 들어갔습니다.

더 심각한 문제는 침해의 성격이었습니다. 해커 ‘Golem’은 단순히 데이터를 훔친 것이 아니라, 아슈케나지계 유대인 약 100만 명, 중국계 사용자 약 10만 명을 민족별로 선별하여 큐레이션한 목록을 별도로 판매했습니다. 민족 정체성과 유전 정보를 결합한 이런 표적 데이터는 차별, 협박, 보험 거부 등에 악용될 수 있습니다.

소송은 빠르게 MDL로 통합되었고(MDL 3098), 2024년 9월 3,000만 달러 합의가 발표되어 2026년 1월 30일 최종 승인을 받았습니다. 그러나 2025년 3월 23andMe가 Chapter 11 파산을 신청하면서 상황이 다시 복잡해졌습니다.

이 글은 미국 거주 한인 사용자들이 자신의 권리와 청구 방법을 이해하는 데 도움을 드리기 위해 작성되었습니다. 법률 조언이 아닙니다.

사건 연표 — 검증된 사실만

날짜	사건
2023년 10월 1일	해커 포럼에 최초 게시
2023년 10월 6일	23andMe 공식 침해 발표
2024년 MDL 3098 통합	사건번호 3:24-md-03098-EMC, Edward M. Chen 판사
2024년 9월	3,000만 달러 비환급형 합의 발표
2026년 1월 30일	합의 최종 승인
2025년 3월 26일	23andMe Chapter 11 파산 신청, 자동정지 발효
2025년 이후	합의 처리 파산 법원(미주리 동부 E.D. Mo.)으로 이관

MDL 3098 — 소송 구조

핵심 정보:

항목	내용
공식 명칭	In re: 23andMe, Inc., Customer Data Security Breach Litigation
사건번호	3:24-md-03098-EMC
담당 법원	캘리포니아 북부 연방지방법원 (N.D. Cal.)
담당 판사	Hon. Edward M. Chen
합의금	3,000만 달러 (비환급형)
최종 승인	2026년 1월 30일
현재 상태	파산 자동정지 (2025년 3월 26일~)

데이터 침해의 기술적 배경 — 크리덴셜 스터핑

23andMe는 자체 시스템이 해킹된 것이 아니라고 주장합니다. 공격 방식은 **크리덴셜 스터핑(credential stuffing)**이었습니다.

크리덴셜 스터핑이란:

해커가 다른 사이트에서 유출된 수백만 개의 사용자명·비밀번호 조합을 수집
자동화 도구로 23andMe에 대입
동일한 비밀번호를 여러 사이트에 사용하는 사용자들의 계정 무단 접근

한 계정에 접근하면, 23andMe의 ‘DNA Relatives’ 기능을 통해 연결된 다른 사용자들의 정보까지 볼 수 있었습니다. 이 때문에 실제 크리덴셜 스터핑으로 직접 침해된 계정보다 훨씬 많은 사용자 데이터가 노출되었습니다.

소송에서 핵심 쟁점:

23andMe가 크리덴셜 스터핑 공격을 예방하기 위한 적절한 보안 조치를 했는가?
다단계 인증(MFA) 의무화를 더 일찍 했어야 하는가?
‘DNA Relatives’ 기능의 설계가 집단 침해를 촉진했는가?

유출된 데이터의 종류와 피해 위험

유출된 정보 유형:

정보 유형	피해 위험
유전자 조상 정보	민족 차별, 표적 사기
건강 소인 데이터	보험 거부, 고용 차별
친족 관계 데이터	미공개 친족 관계 노출
이름, 이메일, 출생연도	피싱, 아이덴티티 도용
위치 정보	스토킹, 물리적 위험

특히 한국계 미국인에게 관련될 수 있는 위험:

23andMe 서비스는 한국계 디아스포라 사이에서 친족 추적과 입양 관련 뿌리 찾기 목적으로 많이 사용됩니다
유전 질환 소인 정보 유출은 생명보험 및 건강보험 분야에서 차별로 이어질 수 있습니다
현재 GINA(Genetic Information Nondiscrimination Act)는 건강보험·고용에서 유전 정보 차별을 금지하지만, 생명보험·장애보험·장기요양보험은 적용 대상 외입니다

파산 자동정지 — 11 U.S.C. § 362 이해

23andMe는 2025년 3월 26일 Chapter 11 파산을 신청했습니다. 이 순간부터 **자동정지(automatic stay)**가 발동되었습니다.

자동정지의 법적 효과 (11 U.S.C. § 362):

23andMe를 상대로 한 모든 민사 소송 즉시 중단
새로운 소송 제기 불가
기존 합의금 직접 수령 절차 중단

피해자가 해야 할 일:

파산 법원(미주리 동부 연방지방법원)에 채권자 채권 신고(proof of claim) 제출
파산 절차에서 채권자로 인정받아야 합의금 수령 가능
채권 신고 기한(bar date) 엄수 — 기한 놓치면 보상에서 제외될 수 있음

파산 절차에서 데이터 침해 피해자가 어떤 우선순위를 부여받는지는 파산 계획(reorganization plan)에 따라 달라집니다. 이는 법원이 결정합니다.

청구 자격 — 내가 피해자인지 확인하는 방법

기본 청구 자격:

2023년 10월 침해 시점 이전에 23andMe 계정이 있었다
계정 정보 또는 ‘DNA Relatives’를 통해 정보가 노출되었다

더 강력한 청구를 위한 요소:

아슈케나지계 유대인 또는 중국계 사용자 (선별 큐레이션 피해자)
침해 이후 신원 도용, 피싱 시도, 차별적 대우 등 실질적 피해 경험
건강 소인 데이터 또는 민감 유전 정보가 포함된 사용자

확인 방법:

23andMe 계정에 로그인해 보안 알림 확인
23andMe의 침해 통지 이메일 보관
23andmedatasettlement.com (공식 합의 웹사이트) 확인

합의금 3,000만 달러 — 개인 수령액은 얼마인가

합의 총액은 3,000만 달러(비환급형)입니다. 약 640만 명의 미국 내 피해자가 청구한다고 가정하면 1인당 금액은 제한적입니다. 실제 분배는 피해 유형, 손해 심각도, 청구인 수에 따라 달라집니다.

주의: 개인별 수령액을 미리 예측하는 것은 적절하지 않습니다. 파산 절차의 영향으로 실제 분배 금액과 시기가 변경될 수 있습니다. 공식 합의 관리자(settlement administrator) 또는 변호사를 통해 최신 정보를 확인하세요.

민족별 표적 유출과 추가 소송

2024년 1월, 유출된 데이터 중 특히 아슈케나지계 유대인과 중국계 사용자를 선별한 큐레이션 목록이 판매된 것에 대한 별도 집단소송이 제기되었습니다. 이 소송은 단순한 데이터 유출을 넘어 민족·인종을 기준으로 한 표적 침해의 특수성을 다룹니다.

한국계 또는 아시아계 미국인 사용자 중 중국계로 분류될 수 있는 사람은 이 별도 소송의 추가 청구 여부를 변호사와 확인하세요.

개인정보 삭제 요청 — 지금 할 수 있는 일

소송과 별개로, 23andMe 사용자는 자신의 유전자 데이터 삭제를 요청할 수 있습니다.

데이터 삭제 방법:

23andMe 계정 로그인
설정(Settings) → 23andMe 데이터 → 개인 유전자 데이터 요청 삭제
삭제 확인 이메일 수신 후 보관

파산 절차에서 데이터 매각이 논의될 경우, 삭제 요청을 이미 한 경우에는 다른 회사로의 데이터 이전에서 더 강한 보호를 주장할 수 있습니다.

지금 해야 할 행동

피해 여부 확인: 23andMe 계정 보안 알림 및 침해 통지 이메일 확인
문서 보관: 침해 통지 이메일, 계정 활동 기록, 피싱 시도 등 모든 관련 기록 보관
데이터 삭제 요청: 23andMe 설정에서 유전자 데이터 삭제 요청 (선택적)
합의 웹사이트 확인: 23andmedatasettlement.com에서 청구 절차 최신 상황 확인
변호사 상담: 파산 채권 신고 기한 확인 및 청구 자격 검토
신용 모니터링: 신원 도용 예방을 위한 신용 모니터링 서비스 등록

관련 소송 및 데이터 보안 정보

이 글은 정보 제공 목적으로 작성된 것이며 법률 조언이 아닙니다. 개별 사안은 반드시 자격 있는 변호사와 상담하세요. 정보는 2026년 5월 기준이며, 파산 절차 및 합의 분배 진행에 따라 상황이 변할 수 있습니다.

23andMe 데이터 유출은 어떻게 발생했나요?

2023년 10월 6일 23andMe가 공식 발표한 데이터 침해 사건입니다. 해커는 '크리덴셜 스터핑(credential stuffing)' 공격을 사용했습니다. 다른 사이트에서 유출된 사용자명·비밀번호 조합을 23andMe에 대입해 계정에 무단 접근했습니다. 초기 포럼 게시는 2023년 10월 1일이었습니다.

얼마나 많은 사람이 피해를 입었나요?

약 690만 명의 사용자 정보가 유출되었습니다. 합의 서류에 따르면 약 640만 명이 미국 내 자연인입니다. 특히 해커 'Golem'이 아슈케나지계 유대인 사용자 약 100만 명과 중국계 사용자 약 10만 명의 정보를 선별 큐레이션하여 별도 판매했습니다.

MDL 3098은 무엇인가요?

MDL 3098은 'In re: 23andMe, Inc., Customer Data Security Breach Litigation'으로, 사건번호 3:24-md-03098-EMC입니다. 캘리포니아 북부 연방지방법원에서 Edward M. Chen 판사가 담당합니다.

합의금은 얼마인가요?

2024년 9월 3,000만 달러 비환급형(non-reversionary) 합의 기금이 발표되었으며, 2026년 1월 30일 최종 승인을 받았습니다. 그러나 23andMe의 Chapter 11 파산 신청(2025년 3월 26일)으로 MDL이 자동정지(automatic stay)되었고, 합의 처리는 파산 법원(미주리 동부 연방지방법원)을 통해 진행됩니다.

파산 자동정지(automatic stay)란 무엇인가요?

11 U.S.C. § 362에 따른 자동정지는 채무자(23andMe)가 파산을 신청하면 자동으로 모든 민사 소송, 강제집행, 추심 활동이 중단되는 것입니다. MDL 3098은 2025년 3월 26일부터 자동정지 상태에 있습니다. 합의금을 받으려면 파산 절차에서 채권자로 등록해야 합니다.

유전자 정보 유출이 왜 특히 심각한가요?

유전자 정보는 비밀번호처럼 변경할 수 없습니다. 유전 질환 소인, 민족적 배경, 친족 관계 등의 정보가 영구적으로 노출됩니다. 특히 특정 민족 집단을 표적으로 큐레이션된 이번 유출은 차별, 보험 거부, 고용 차별 등의 위험을 내포합니다.

아슈케나지계 유대인이나 중국계 이외의 사용자도 피해를 입었나요?

네. 총 690만 명 중 6.4M은 일반 프로필 정보가 유출되었습니다. 'DNA Relatives' 기능을 통해 연결된 다른 사용자들의 정보도 침해되었습니다. 특정 민족 큐레이션 피해자 외에도 개인 건강 데이터, 이름, 이메일, 위치 정보 등이 유출된 사용자 모두 청구 자격이 있을 수 있습니다.

소멸시효 걱정이 되는데 파산 자동정지가 소멸시효를 멈추나요?

자동정지는 소송 제기를 차단하지만, 주(state) 소멸시효를 자동으로 유예하지는 않습니다. 합의 최종 승인(2026년 1월 30일)과 파산 절차의 교차로 상황이 복잡합니다. 즉시 변호사와 상담해 개인 상황에 맞는 기한을 확인하세요.

23andMe 합의 웹사이트에서 등록할 수 있나요?

23andmedatasettlement.com이 공식 합의 웹사이트였습니다. 파산 진행으로 절차가 변경될 수 있으므로, 현재 상태를 공식 채널 또는 변호사를 통해 확인하세요.

한국계 미국인도 청구할 수 있나요?

네. 23andMe 계정을 가진 미국 내 사용자라면 시민권·영주권 여부와 관계없이 청구 자격이 있을 수 있습니다. 이민 신분은 관련이 없습니다.

23andMe의 유전자 데이터는 파산 후 어떻게 되나요?

파산 절차에서 23andMe의 유전자 데이터베이스는 자산으로 분류될 수 있습니다. 데이터 매각에 대한 우려가 있으며, 사용자들은 23andMe 계정에서 데이터 삭제를 요청할 권리가 있습니다. 파산 법원은 데이터 매각 시 개인정보 보호 관련 조건을 부과할 것으로 예상됩니다.