![PayPal, 고객 데이터 노출로 인한 사이버 보안 위반으로 $2M 벌금 부과](https://ko.wizcase.com/wp-content/uploads/2025/01/Screenshot-2025-01-24-at-14.02.55.webp)
Image by Marques Thomas, from Unsplash
PayPal, 고객 데이터 노출로 인한 사이버 보안 위반으로 $2M 벌금 부과
페이팔이 고객들의 사회보장번호가 노출된 사이버 보안 결함으로 인해 2022년 말에 뉴욕 금융서비스부(DFS)로부터 200만 달러의 벌금을 부과받았다는 사실이 로이터에 의해 처음 보도되었습니다.
시간이 촉박하다면? 여기 빠른 사실들이 있습니다!
- 사이버 범죄자들이 “자격증명 스태핑”을 이용해 PayPal의 민감한 고객 데이터에 접근하는 것을 악용했습니다.
- PayPal은 이번 침해 사고 동안 다중 인증과 CAPTCHA를 적용하지 못했습니다.
- 회사는 이제 미국 계정에 대한 다중 인증과 비밀번호 재설정을 의무화했습니다.
이번 위반은 약 7주 동안 지속되었으며, 이름, 생년월일, 사회보장번호 등의 민감한 정보가 사이버 범죄자들에게 취약해졌습니다. DFS는 목요일에 발표했습니다.
뉴욕의 금융 서비스 감독관인 에이드리안 해리스는 페이팔이 중요한 사이버 보안 업무를 감독할 수 있는 자격을 가진 인력이 부족하고, 위험을 완화하는데 필요한 적절한 교육을 제공하지 못했다고 밝혔습니다. 이러한 부족함으로 인해 공격자들이 시스템을 더욱 쉽게 악용할 수 있었다고 로이터가 보도했습니다.
이 문제는 2022년 12월 6일에 보안 분석가가 “PP EXPLOIT TO GET SSN”이라고 표시된 취약점을 언급하는 온라인 메시지를 발견했을 때 알려졌습니다. 다음날 페이팔의 사이버보안 팀은 그들의 플랫폼에서 무단 접근 시도가 급증한 것을 감지했다고 로이터가 전했습니다.
조사 결과, 공격자들이 수만 명의 고객이 소유한 연방 세금 양식을 보기 위해 “credential stuffing” 기법을 사용하고 있음이 밝혀졌다고 로이터가 전했습니다.
이런 해킹 사건은 PayPal이 이런 양식에 대한 접근을 확대하기 위해 데이터 흐름 설정을 변경한 후에 발생했습니다. 이로 인해 민감한 정보가 무심코 노출되었습니다. 헤리스는 또한 로이터에 따르면 PayPal이 기본적인 보안 조치인 다중 인증 및 CAPTCHA를 도입하는 데 실패함으로써 무단 접근을 방지하지 못했다고 비판했습니다.
보도에 따르면, 페이팔은 이번 조사를 인정하고 사용자 정보를 보호하기 위한 그들의 노력을 재확인했습니다. 페이팔은 “소비자들의 개인정보를 보호하고 안전한 플랫폼을 유지하는 것이 최우선 과제”라고 밝혔습니다.
이번 해킹 사건 이후, 페이팔은 미국 고객 계정에 대해 다단계 인증을 도입하고, 해당 사용자들에게 비밀번호를 재설정하도록 요구하였으며, 보안을 강화하기 위해 CAPTCHA를 추가하였다고 로이터가 보도하였습니다.
이 200만 달러의 벌금은 뉴욕의 사이버보안 규제 위반에 연결되어 있습니다. 이 규제는 2017년에 금융 서비스의 보호를 강화하기 위해 설립되었으며, 이는 로이터 통신에서 보도했습니다.
댓글 달기
취소