페이팔, 소셜시큐리티번호 포함 고객 정보 6개월간 유출...약 100명 피해

페이팔 기업대출 앱 코드 오류로 2025년 7월부터 12월까지 개인정보 무단 노출

[한국정보기술신문] 글로벌 핀테크 기업 페이팔(PayPal)이 자사 기업대출 서비스 앱의 소프트웨어 오류로 인해 고객의 민감한 개인정보가 약 6개월간 외부에 노출됐다고 공식 발표했다. 유출된 정보에는 소셜시큐리티번호(SSN)를 비롯한 고위험 개인식별정보(PII)가 포함돼 있어 피해 고객들의 신원 도용 및 금융 사기 피해 우려가 높아지고 있다.

사건 경위

페이팔은 2025년 12월 12일, 자사의 중소기업 대상 단기 금융 서비스인 '페이팔 워킹 캐피탈(PayPal Working Capital, PPWC)' 대출 앱에서 코드 변경으로 인한 취약점이 발견됐다고 밝혔다. 이 결함은 2025년 7월 1일부터 시작돼 발견 직후인 12월 13일까지 약 6개월간 지속됐다. 페이팔 측은 취약점 발견 하루 만에 해당 코드 변경을 롤백하고 무단 접근을 차단했다고 설명했다.

유출된 정보의 범위는 매우 광범위하다. 피해 고객의 성명, 이메일 주소, 전화번호, 사업장 주소, 소셜시큐리티번호(SSN), 생년월일 등이 포함됐다. 특히 SSN과 생년월일의 조합은 신원 도용, 합성 신원 사기, 소셜 엔지니어링 공격 등에 악용될 수 있어 보안 전문가들은 높은 위험도를 경고하고 있다.

페이팔은 2026년 2월 10일 피해 고객들에게 공식 서면 통보를 발송했으며, 피해 고객 수는 약 100명 수준으로 확인됐다. 페이팔 대변인은 "이번 사안에서 페이팔의 핵심 시스템 자체가 해킹된 것은 아니다"라며 "개인정보 노출 가능성이 있는 약 100명의 고객에게 이 사실을 알리기 위해 연락했다"고 말했다.

이미 발생한 피해와 대응 조치

사건 규모가 100명 수준으로 제한적임에도 불구하고 일부 피해 고객의 계정에서는 실제 무단 거래가 발생한 것으로 확인됐다. 페이팔은 피해를 입은 해당 고객들에게 환불 조치를 완료했으며, 피해 계정 전체에 대한 강제 비밀번호 재설정을 실시했다.

보안 전문가들은 피해 규모의 작음과 무관하게 노출된 데이터의 민감성이 장기적인 위협이 될 수 있다고 지적한다. AttackIQ의 적대적 연구팀 관리자 앤드류 코스티스는 공격자가 네트워크 내에 오래 머물수록 자격증명 노출 가능성이 높아진다며, 소수의 피해자라 하더라도 데이터 민감도에 따라 신원 도용 및 소셜 엔지니어링 위협은 충분히 심각할 수 있다고 경고했다.

후속 보호 조치 및 주의 당부

페이팔은 피해 고객들에게 구제책으로 에퀴팩스(Equifax)를 통한 2년간 무료 3개 신용평가기관 신용 모니터링 및 신원 복원 서비스를 제공한다. 이 서비스는 2026년 6월 30일까지 등록해야 혜택을 받을 수 있다.

페이팔은 피싱 공격에 대한 주의도 당부했다. 회사 측은 전화, 문자, 이메일을 통해 계정 비밀번호, 일회용 인증코드 등을 요청하는 일이 절대 없다고 강조하면서, 고객들이 의심스러운 요청에 응하지 말 것을 권고했다.

반복되는 보안 사고

이번 사건은 페이팔의 첫 번째 보안 사고가 아니다. 2022년 12월에는 크리덴셜 스터핑 공격으로 약 35,000개의 계정이 침해됐으며, 이로 인해 뉴욕주는 2025년 1월 페이팔과 200만 달러 합의에 도달했다. 글로벌 핀테크 업계 전반에서 보안 사고가 이어지는 가운데, 이번 사례는 핵심 시스템이 아닌 보조 애플리케이션의 코드 오류나 설정 오류도 심각한 정보 유출로 이어질 수 있음을 다시 한번 보여주고 있다.

페이팔 측은 보안 강화 조치를 마쳤다고 밝혔으나, 일각에서는 코드 변경 이후 6개월이 지나서야 문제가 발견된 점에 대한 내부 모니터링 체계의 미비를 지적하는 목소리도 나오고 있다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org