# 페이팔, 6개월간 사용자 정보 노출된 데이터 유출 공개

> Clean Markdown view of GeekNews topic #26880. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=26880](https://news.hada.io/topic?id=26880)
- GeekNews Markdown: [https://news.hada.io/topic/26880.md](https://news.hada.io/topic/26880.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-02-22T07:33:03+09:00
- Updated: 2026-02-22T07:33:03+09:00
- Original source: [bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/paypal-discloses-data-breach-exposing-users-personal-information/)
- Points: 2
- Comments: 1

## Topic Body

- **대출 신청 시스템 오류**로 인해 고객의 **민감한 개인정보**가 약 6개월간 외부에 노출됨  
- 노출된 정보에는 **이름, 이메일, 전화번호, 사업장 주소, 사회보장번호, 생년월일** 등이 포함  
- 페이팔은 문제를 발견한 다음날 **코드 변경을 되돌려 접근 차단**하고, 일부 계정의 **무단 거래에 대해 환불 조치** 진행  
- 피해 고객에게 **Equifax를 통한 2년간 신용 모니터링 및 신원 복구 서비스**를 무료 제공  
- 회사는 시스템 침해는 없었으며, **약 100명의 고객 데이터만 노출**되었다고 설명  

---
### 데이터 유출 개요
- **PayPal Working Capital(대출 애플리케이션)** 의 소프트웨어 오류로 인해 고객 정보가 외부에 노출됨  
  - 노출 기간은 **2025년 7월 1일부터 12월 13일까지**로 확인  
  - 노출된 정보에는 이름, 이메일, 전화번호, 사업장 주소, 사회보장번호, 생년월일이 포함  
- 페이팔은 **2025년 12월 12일**에 문제를 발견하고, 다음날 **코드 변경을 되돌려 접근을 차단**함  
- 회사는 이 오류로 인해 **소수 고객의 개인정보(PII)** 가 무단 접근자에게 노출되었다고 명시  

### 대응 조치 및 고객 보호
- 페이팔은 **무단 거래가 발생한 일부 고객에게 환불**을 제공  
- 피해 고객에게 **Equifax의 3대 신용기관 모니터링 및 신원 복구 서비스**를 2년간 무료 제공  
  - 서비스 등록 마감일은 **2026년 6월 30일**  
- 모든 영향을 받은 계정의 **비밀번호를 초기화**하고, 다음 로그인 시 새 자격 증명 생성 요구  
- 고객에게 **신용 보고서 및 계정 활동 모니터링**을 권장  
- 페이팔은 **전화, 문자, 이메일을 통한 비밀번호나 인증 코드 요청은 하지 않는다**고 재차 강조  

### 회사 입장 및 추가 설명
- 기사 업데이트 후, 페이팔 대변인은 **시스템 자체는 침해되지 않았다**고 밝힘  
  - 노출된 고객은 **약 100명**으로, 시스템 침입이 아닌 **코드 오류로 인한 노출**임을 강조  
  - “고객 정보 노출 가능성이 있을 경우, 법적으로 통지 의무가 있다”고 설명  
- 즉, **보안 시스템은 유지되었으나 코드 결함으로 데이터가 외부에서 열람 가능**했던 상황  

### 과거 유사 사건
- **2022년 12월**, 대규모 **자격 증명 대입 공격**으로 35,000개 계정이 침해된 사례 존재  
- **2025년 1월**, 뉴욕주 정부는 해당 사건과 관련해 **2백만 달러의 합의금**을 페이팔에 부과  
  - 당시 페이팔이 **주 사이버보안 규정을 준수하지 않았다**는 이유로 제재  

### 커뮤니티 반응 요약
- 일부 사용자는 “시스템이 침해되지 않았는데 데이터가 유출된 이유”를 질문  
- 이에 대한 설명으로, “**보안 시스템은 금고처럼 안전했지만, 코드 오류로 문이 열려 있었던 상황**”이라는 비유 제시  
  - 즉, 해킹이 아닌 **개발 코드의 실수로 정보가 외부에 노출**된 사례로 해석됨

## Comments



### Comment 51562

- Author: neo
- Created: 2026-02-22T07:33:03+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47087719) 
- 거의 20년 전 **PayPal**이 이유 없이 내 돈 15달러를 가져간 적이 있었음  
  게임을 한 번 사고 남은 돈을 6개월간 두었다가 eBay에서 쓰려 하자 계정이 즉시 잠겼음  
  신분증 공증까지 요구하길래 그냥 포기했음. 그 이후로 “다시는 안 쓴다”고 다짐했고, 지금까지 한 번도 후회한 적이 없음  
  매년 새로운 사건들이 터지는 걸 보면 그때의 결정이 옳았다고 느껴짐  
  언젠가 누군가가 이 회사를 상대로 거액의 소송을 걸어 **폐쇄**시키길 바람
  - 예전에 Reddit에서 “PayPal이 내 돈 60만 달러를 잠갔다”는 글을 본 적이 있음  
    알고 보니 그게 바로 **Notch**가 개인 웹사이트에서 Minecraft 알파 버전을 팔던 시절 이야기였음. 당시엔 정말 사기처럼 보였음
  - 기업이 방치된 돈으로 **이익을 취할 수 없다고** 알고 있었음  
    보통 이런 돈은 주 정부의 미청구 자산 기관으로 이관되는 줄 알았음  
    그렇다면 탐욕보다는 단순한 **무능**의 문제일 수도 있음
  - 나도 동료들 선물 모금용으로 PayPal 가입을 시도했는데, 은행 인증까지 마치자마자 계정이 잠겼음  
    고객센터에 전화하고 신분증 스캔까지 요구하길래 그냥 계정 삭제하고 **디지털 기프트카드**로 대체했음
  - PayPal은 **독점적 지위**를 가지고 있고, 실질적인 대안이 거의 없음
- 한때 인터넷에서 PayPal은 가장 **신뢰받는 결제 수단**이었음  
  하지만 이제는 Stripe, Plaid, Google Pay, Apple Pay 등으로 대체 가능하고, PayPal은 느리고 지원도 엉망임  
  소비자 입장에서는 더 이상 쓸 이유가 없음
  - 그래도 **G&S(상품·서비스 결제)** 기능 덕분에 사기당했을 때 환불받은 적이 있음  
    F&F(친구·가족 송금)이나 Venmo, Zelle은 그런 보호가 없어서 위험함
  - PayPal은 여전히 **소액결제 수수료 구조**가 유리함  
    예를 들어 ardour.org에서는 월 수천 건의 1달러 결제가 있는데, PayPal 덕분에 거래당 23센트를 절약함
  - Stripe나 Plaid는 지원 국가가 제한적임  
    PayPal은 여전히 **전 세계적으로 인지도**가 높음
  - 내 신용카드로 Best Buy에서 결제하면 항상 취소되는데, PayPal로 하면 문제없이 통과됨  
    **사기 탐지 알고리즘** 때문인 듯함
  - 예전엔 PayPal이 해외 결제를 쉽게 해주는 유일한 방법이었음  
    Stripe는 한때 미국 전용이었음
- 기사에 따르면 PayPal은 “코드 변경으로 인한 오류를 되돌렸고, 법 집행 조사로 인해 통보가 지연된 것은 아니다”라고 했음  
  하지만 **2개월 지연**의 이유는 여전히 불분명함  
  최소한 데이터 유출 사실만이라도 먼저 공개할 수 있었을 것 같음
  - “법 집행 조사 때문은 아니다”라는 건 **의심스러울 정도로 구체적인 부인**임  
    단지 “조사 때문은 아니다”일 뿐, 다른 이유로 지연했을 가능성은 많음 — 예를 들어 “창피해서”
  - 크리스마스 직전이라면? 그 시점에 공개했을 리 없다고 봄
- “우리 시스템은 침해되지 않았다”는 표현이 참 **교묘한 프레이밍**임  
  코드 오류로 6개월간 SSN이 노출됐는데, 외부 침입이 없었다고 “침해 아님”이라 부름  
  Firebase, Supabase, 대출 앱 등에서도 비슷한 패턴이 반복됨  
  해킹이든 **문이 열려 있었든**, 피해자 입장에서는 똑같은 문제임
- 최근 PayPal 가입을 시도했지만, 엉망인 **인증 절차** 때문에 실패했음  
  이런 수준의 고객 확보 능력을 보면 보안 사고도 놀랍지 않음
  - 요즘은 신규 가입이나 장기 미사용 계정 복귀가 점점 어려워지고 있음  
    과도한 자동화와 **침해적인 인증 절차**가 문제임  
    Microsoft 계정으로 아이에게 Minecraft 결제를 해주려 했는데, 로그인부터 결제까지 온갖 인증과 오류로 막혔음  
    결국 **보안이 사용자 경험을 지배하는** 상황임
- 피해자에게 2년간 **Equifax 신용 모니터링 서비스**를 제공한다는 문구가 있었음. 참 “세련된” 조치임
  - [2017년 Equifax 데이터 유출 사건](https://en.wikipedia.org/wiki/2017_Equifax_data_breach)을 생각하면 아이러니함
  - 대부분의 기업은 “보안 사고가 나도 신용 모니터링만 제공하면 끝”이라고 생각함  
    피해자는 실질적인 소송을 제기하기 어렵고, 결국 **집단소송**으로 변호사만 이익을 얻음
- 유럽에서는 **WERO**가 PayPal을 대체하길 바람. 이름은 좀 웃기지만
  - Wero는 기존 **SEPA 송금**과 다를 게 없음  
    PayPal은 그래도 **구매자 보호 제도**가 있음
  - 내가 자주 이용하는 상점 중 Wero를 지원하는 곳은 아직 한 곳도 없음
- “이번 사건으로 PayPal 관계자 중 누가 감옥에 가는가?”라는 질문이 나왔음
  - 나도 한때 그렇게 생각했지만, 이제는 **기업은 법 위의 존재**라는 걸 깨달았음  
    벌금을 내는 게 법을 지키는 것보다 싸고, 정치권도 기술을 따라가지 못함  
    결국 **소비자 보호는 뒷전**임
  - 그래도 단순한 **버그**로 인한 사고라면 감옥까지는 과하다고 봄  
    누구나 실수할 수 있고, 악의가 아닌 오류라면 처벌보다는 개선이 필요함
- 방금 로그인해보니 “비밀번호 재설정” 요청이 뜨고, 캡차 후 페이지가 멈춰버림  
  결국 완전히 **잠긴 계정**이 되어버림. 잘한다, PayPal
- 누군가 내 이메일로 **성인물 결제용 PayPal 계정**을 만들어버려서, 성인이 된 지금도 그 이메일로 가입이 불가능함  
  PayPal은 이메일 인증 없이 결제를 허용했음  
  고객센터에 연락했지만 “방법이 없다”는 답만 들었음  
  그래서 Stripe나 Link, 혹은 **신용카드 직접 결제**만 사용함  
  캐나다에서는 2003년부터 **e-Transfer**로 수수료 없이 송금이 가능해서 PayPal이 전혀 필요하지 않음