페이팔, 6개월간 사용자 정보 노출된 데이터 유출 공개

(bleepingcomputer.com)

1P by GN⁺ 2시간전 | ★ favorite | 댓글 1개

대출 신청 시스템 오류로 인해 고객의 민감한 개인정보가 약 6개월간 외부에 노출됨
노출된 정보에는 이름, 이메일, 전화번호, 사업장 주소, 사회보장번호, 생년월일 등이 포함
페이팔은 문제를 발견한 다음날 코드 변경을 되돌려 접근 차단하고, 일부 계정의 무단 거래에 대해 환불 조치 진행
피해 고객에게 Equifax를 통한 2년간 신용 모니터링 및 신원 복구 서비스를 무료 제공
회사는 시스템 침해는 없었으며, 약 100명의 고객 데이터만 노출되었다고 설명

데이터 유출 개요

PayPal Working Capital(대출 애플리케이션) 의 소프트웨어 오류로 인해 고객 정보가 외부에 노출됨
- 노출 기간은 2025년 7월 1일부터 12월 13일까지로 확인
- 노출된 정보에는 이름, 이메일, 전화번호, 사업장 주소, 사회보장번호, 생년월일이 포함
페이팔은 2025년 12월 12일에 문제를 발견하고, 다음날 코드 변경을 되돌려 접근을 차단함
회사는 이 오류로 인해 소수 고객의 개인정보(PII) 가 무단 접근자에게 노출되었다고 명시

대응 조치 및 고객 보호

페이팔은 무단 거래가 발생한 일부 고객에게 환불을 제공
피해 고객에게 Equifax의 3대 신용기관 모니터링 및 신원 복구 서비스를 2년간 무료 제공
- 서비스 등록 마감일은 2026년 6월 30일
모든 영향을 받은 계정의 비밀번호를 초기화하고, 다음 로그인 시 새 자격 증명 생성 요구
고객에게 신용 보고서 및 계정 활동 모니터링을 권장
페이팔은 전화, 문자, 이메일을 통한 비밀번호나 인증 코드 요청은 하지 않는다고 재차 강조

회사 입장 및 추가 설명

기사 업데이트 후, 페이팔 대변인은 시스템 자체는 침해되지 않았다고 밝힘
- 노출된 고객은 약 100명으로, 시스템 침입이 아닌 코드 오류로 인한 노출임을 강조
- “고객 정보 노출 가능성이 있을 경우, 법적으로 통지 의무가 있다”고 설명
즉, 보안 시스템은 유지되었으나 코드 결함으로 데이터가 외부에서 열람 가능했던 상황

과거 유사 사건

2022년 12월, 대규모 자격 증명 대입 공격으로 35,000개 계정이 침해된 사례 존재
2025년 1월, 뉴욕주 정부는 해당 사건과 관련해 2백만 달러의 합의금을 페이팔에 부과
- 당시 페이팔이 주 사이버보안 규정을 준수하지 않았다는 이유로 제재

커뮤니티 반응 요약

일부 사용자는 “시스템이 침해되지 않았는데 데이터가 유출된 이유”를 질문
이에 대한 설명으로, “보안 시스템은 금고처럼 안전했지만, 코드 오류로 문이 열려 있었던 상황”이라는 비유 제시
- 즉, 해킹이 아닌 개발 코드의 실수로 정보가 외부에 노출된 사례로 해석됨

▲

GN⁺ 2시간전 [-]

Hacker News 의견들

거의 20년 전 PayPal이 이유 없이 내 돈 15달러를 가져간 적이 있었음
게임을 한 번 사고 남은 돈을 6개월간 두었다가 eBay에서 쓰려 하자 계정이 즉시 잠겼음
신분증 공증까지 요구하길래 그냥 포기했음. 그 이후로 “다시는 안 쓴다”고 다짐했고, 지금까지 한 번도 후회한 적이 없음
매년 새로운 사건들이 터지는 걸 보면 그때의 결정이 옳았다고 느껴짐
언젠가 누군가가 이 회사를 상대로 거액의 소송을 걸어 폐쇄시키길 바람
- 예전에 Reddit에서 “PayPal이 내 돈 60만 달러를 잠갔다”는 글을 본 적이 있음
  알고 보니 그게 바로 Notch가 개인 웹사이트에서 Minecraft 알파 버전을 팔던 시절 이야기였음. 당시엔 정말 사기처럼 보였음
- 기업이 방치된 돈으로 이익을 취할 수 없다고 알고 있었음
  보통 이런 돈은 주 정부의 미청구 자산 기관으로 이관되는 줄 알았음
  그렇다면 탐욕보다는 단순한 무능의 문제일 수도 있음
- 나도 동료들 선물 모금용으로 PayPal 가입을 시도했는데, 은행 인증까지 마치자마자 계정이 잠겼음
  고객센터에 전화하고 신분증 스캔까지 요구하길래 그냥 계정 삭제하고 디지털 기프트카드로 대체했음
- PayPal은 독점적 지위를 가지고 있고, 실질적인 대안이 거의 없음
한때 인터넷에서 PayPal은 가장 신뢰받는 결제 수단이었음
하지만 이제는 Stripe, Plaid, Google Pay, Apple Pay 등으로 대체 가능하고, PayPal은 느리고 지원도 엉망임
소비자 입장에서는 더 이상 쓸 이유가 없음
- 그래도 G&S(상품·서비스 결제) 기능 덕분에 사기당했을 때 환불받은 적이 있음
  F&F(친구·가족 송금)이나 Venmo, Zelle은 그런 보호가 없어서 위험함
- PayPal은 여전히 소액결제 수수료 구조가 유리함
  예를 들어 ardour.org에서는 월 수천 건의 1달러 결제가 있는데, PayPal 덕분에 거래당 23센트를 절약함
- Stripe나 Plaid는 지원 국가가 제한적임
  PayPal은 여전히 전 세계적으로 인지도가 높음
- 내 신용카드로 Best Buy에서 결제하면 항상 취소되는데, PayPal로 하면 문제없이 통과됨
  사기 탐지 알고리즘 때문인 듯함
- 예전엔 PayPal이 해외 결제를 쉽게 해주는 유일한 방법이었음
  Stripe는 한때 미국 전용이었음
기사에 따르면 PayPal은 “코드 변경으로 인한 오류를 되돌렸고, 법 집행 조사로 인해 통보가 지연된 것은 아니다”라고 했음
하지만 2개월 지연의 이유는 여전히 불분명함
최소한 데이터 유출 사실만이라도 먼저 공개할 수 있었을 것 같음
- “법 집행 조사 때문은 아니다”라는 건 의심스러울 정도로 구체적인 부인임
  단지 “조사 때문은 아니다”일 뿐, 다른 이유로 지연했을 가능성은 많음 — 예를 들어 “창피해서”
- 크리스마스 직전이라면? 그 시점에 공개했을 리 없다고 봄
“우리 시스템은 침해되지 않았다”는 표현이 참 교묘한 프레이밍임
코드 오류로 6개월간 SSN이 노출됐는데, 외부 침입이 없었다고 “침해 아님”이라 부름
Firebase, Supabase, 대출 앱 등에서도 비슷한 패턴이 반복됨
해킹이든 문이 열려 있었든, 피해자 입장에서는 똑같은 문제임
최근 PayPal 가입을 시도했지만, 엉망인 인증 절차 때문에 실패했음
이런 수준의 고객 확보 능력을 보면 보안 사고도 놀랍지 않음
- 요즘은 신규 가입이나 장기 미사용 계정 복귀가 점점 어려워지고 있음
  과도한 자동화와 침해적인 인증 절차가 문제임
  Microsoft 계정으로 아이에게 Minecraft 결제를 해주려 했는데, 로그인부터 결제까지 온갖 인증과 오류로 막혔음
  결국 보안이 사용자 경험을 지배하는 상황임
피해자에게 2년간 Equifax 신용 모니터링 서비스를 제공한다는 문구가 있었음. 참 “세련된” 조치임
- 2017년 Equifax 데이터 유출 사건을 생각하면 아이러니함
- 대부분의 기업은 “보안 사고가 나도 신용 모니터링만 제공하면 끝”이라고 생각함
  피해자는 실질적인 소송을 제기하기 어렵고, 결국 집단소송으로 변호사만 이익을 얻음
유럽에서는 WERO가 PayPal을 대체하길 바람. 이름은 좀 웃기지만
- Wero는 기존 SEPA 송금과 다를 게 없음
  PayPal은 그래도 구매자 보호 제도가 있음
- 내가 자주 이용하는 상점 중 Wero를 지원하는 곳은 아직 한 곳도 없음
“이번 사건으로 PayPal 관계자 중 누가 감옥에 가는가?”라는 질문이 나왔음
- 나도 한때 그렇게 생각했지만, 이제는 기업은 법 위의 존재라는 걸 깨달았음
  벌금을 내는 게 법을 지키는 것보다 싸고, 정치권도 기술을 따라가지 못함
  결국 소비자 보호는 뒷전임
- 그래도 단순한 버그로 인한 사고라면 감옥까지는 과하다고 봄
  누구나 실수할 수 있고, 악의가 아닌 오류라면 처벌보다는 개선이 필요함
방금 로그인해보니 “비밀번호 재설정” 요청이 뜨고, 캡차 후 페이지가 멈춰버림
결국 완전히 잠긴 계정이 되어버림. 잘한다, PayPal
누군가 내 이메일로 성인물 결제용 PayPal 계정을 만들어버려서, 성인이 된 지금도 그 이메일로 가입이 불가능함
PayPal은 이메일 인증 없이 결제를 허용했음
고객센터에 연락했지만 “방법이 없다”는 답만 들었음
그래서 Stripe나 Link, 혹은 신용카드 직접 결제만 사용함
캐나다에서는 2003년부터 e-Transfer로 수수료 없이 송금이 가능해서 PayPal이 전혀 필요하지 않음

답변달기