페이팔, 6개월간 사용자 정보 노출된 데이터 유출 공개

• 대출 신청 시스템 오류로 인해 고객의 민감한 개인정보가 약 6개월간 외부에 노출됨
• 노출된 정보에는 이름, 이메일, 전화번호, 사업장 주소, 사회보장번호, 생년월일 등이 포함
• 페이팔은 문제를 발견한 다음날 코드 변경을 되돌려 접근 차단하고, 일부 계정의 무단 거래에 대해 환불 조치 진행
• 피해 고객에게 Equifax를 통한 2년간 신용 모니터링 및 신원 복구 서비스를 무료 제공
• 회사는 시스템 침해는 없었으며, 약 100명의 고객 데이터만 노출되었다고 설명

데이터 유출 개요

• PayPal Working Capital(대출 애플리케이션) 의 소프트웨어 오류로 인해 고객 정보가 외부에 노출됨
  • 노출 기간은 2025년 7월 1일부터 12월 13일까지로 확인
  • 노출된 정보에는 이름, 이메일, 전화번호, 사업장 주소, 사회보장번호, 생년월일이 포함
• 페이팔은 2025년 12월 12일에 문제를 발견하고, 다음날 코드 변경을 되돌려 접근을 차단함
• 회사는 이 오류로 인해 소수 고객의 개인정보(PII) 가 무단 접근자에게 노출되었다고 명시

대응 조치 및 고객 보호

• 페이팔은 무단 거래가 발생한 일부 고객에게 환불을 제공
• 피해 고객에게 Equifax의 3대 신용기관 모니터링 및 신원 복구 서비스를 2년간 무료 제공
  • 서비스 등록 마감일은 2026년 6월 30일
• 모든 영향을 받은 계정의 비밀번호를 초기화하고, 다음 로그인 시 새 자격 증명 생성 요구
• 고객에게 신용 보고서 및 계정 활동 모니터링을 권장
• 페이팔은 전화, 문자, 이메일을 통한 비밀번호나 인증 코드 요청은 하지 않는다고 재차 강조

회사 입장 및 추가 설명

• 기사 업데이트 후, 페이팔 대변인은 시스템 자체는 침해되지 않았다고 밝힘
  • 노출된 고객은 약 100명으로, 시스템 침입이 아닌 코드 오류로 인한 노출임을 강조
  • “고객 정보 노출 가능성이 있을 경우, 법적으로 통지 의무가 있다”고 설명
• 즉, 보안 시스템은 유지되었으나 코드 결함으로 데이터가 외부에서 열람 가능했던 상황

과거 유사 사건

• 2022년 12월, 대규모 자격 증명 대입 공격으로 35,000개 계정이 침해된 사례 존재
• 2025년 1월, 뉴욕주 정부는 해당 사건과 관련해 2백만 달러의 합의금을 페이팔에 부과
  • 당시 페이팔이 주 사이버보안 규정을 준수하지 않았다는 이유로 제재

커뮤니티 반응 요약

• 일부 사용자는 “시스템이 침해되지 않았는데 데이터가 유출된 이유”를 질문
• 이에 대한 설명으로, “보안 시스템은 금고처럼 안전했지만, 코드 오류로 문이 열려 있었던 상황”이라는 비유 제시
  • 즉, 해킹이 아닌 개발 코드의 실수로 정보가 외부에 노출된 사례로 해석됨