온라인 결제 서비스를 제공하는 페이팔(PayPal)이 1월 18일 지난해 12월 받은 사이버 공격으로 사용자 3만 5,000명 개인 정보가 유출됐다고 발표했다. 페이팔은 개인 정보를 악용한 무단 거래 흔적은 찾을 수 없었다고 사용자에게 알렸다.
페이팔에선 지난해 12월 6일부터 8일까지 암호 사용으로 인해 유출된 사용자명과 암호 검증을 통해 계정에 액세스하는 크리덴셜 스터핑(Credential Stuffing) 공격이 발생했다. 페이팔 측에 따르면 해커는 12월 20일까지 3만 4,942명에 이르는 사용자명과 생년월일, 주소, 사회보장번호, 개인 납세자 번호에 액세스할 수 있다는 걸 확인했다. 페이팔은 개인 정보가 유출된 것으로 간주되는 이들 사용자에게 통지서를 보내 이 사건으로 개인 정보가 악용됐거나 계정에 불법 거래가 있다는 걸 나타내는 정보가 없으며 로그인 자격 증명이 페이팔 시스템에서 얻은 증거도 없다고 밝혔다. 또 해커에 대해 플랫폼에 대한 액세스를 제한하고 개인 정보가 유출된 계정 비밀번호를 재설정하는 조치를 취했다고 한다.
개인 정보가 유출된 사용자는 미국 소비자 신용 정보 기업인 에퀴팩스(Equifax)가 제공하는 아이디를 감시하고 고객 데이터를 보호하는 서비스를 2년간 무료로 받을 수 있다. 페이팔은 또 암호 사용으로 인한 자격 증명 공격을 방지하기 위해 영문과 숫자, 기호를 포함한 12자 이상 강력한 암호를 설정하는 동시에 계정 이중요소 인증을 활성화하라고 추천하고 있다. 관련 내용은 이곳에서 확인할 수 있다.