PayPal “1,580만 건” 유출의 충격: X에서 경고 확산, 소비자 단체도 주의 환기 - PayPal 비밀번호를 지금 당장 변경해야 할까

독일의 뉴스 사이트 RUHR24는 PayPal 계정의 "약 1,580만 건"에 해당하는 이메일 주소와 비밀번호 세트가 판매되고 있다는 경고를 보도했습니다. 판매자는 "Chucky_BF"라는 이름을 사용하는 해커입니다. 데이터는 "5월 6일" 작성된 1.1GB 텍스트로 알려져 있으며, 진위 여부는 확인되지 않았지만, 사용자들은 즉시 비밀번호를 변경하고 의심스러운 활동을 감시해야 한다고 합니다. 기사는 소비자 단체의 기본 대책도 함께 소개하고 있습니다.ruhr24.de

무슨 일이 일어났는가——숫자와 주장

여러 보안 관련 매체는 해킹 포럼에서 "1,580만 건의 PayPal 로그인(이메일+평문 비밀번호+관련 URL)"이 "750달러"에 팔리고 있다고 전했습니다. 정보는 Hackread와 Bitdefender의 보고서에서 확인되었으며, 출처는 PayPal의 직접적인 침해가 아니라 "정보 탈취형 멀웨어의 로그 모음"일 가능성이 높다는 의견이 우세합니다.hackread.comBitdefender

한편, PayPal은 "새로운 침해는 없다"고 부인했습니다. 보도의 일부는 "과거의 사건(2022년 사건)과 관련된 것"이라는 기업 측의 설명을 소개하고 있습니다. 진위 여부는 확정되지 않았더라도, 재사용 비밀번호가 광범위하게 악용될 위험은 현실적입니다.Tom's GuideTechRadar사이버뉴스

SNS의 반응——경고, 의심, 그리고 실질적인 조언

X(구 Twitter)에서는 사이버 인텔리전스 계정인 Hackmanac이 "Chucky_BF에 의한 1,580만 세트의 평문 자격 증명 판매 주장"을 가장 먼저 경고했습니다. 사용자는 비밀번호 변경 및 2FA를 권장하는 게시물이 확산되었습니다. 위협 정보 애그리게이터인 ThreatMon도 "1.1GB의 덤프로 알려진 공지"를 공유하며 주의를 촉구하고 있습니다.X (formerly Twitter)

연구자 및 미디어 사이에서는 "가격이 너무 저렴하다 = 품질이 낮다", "오래된/재사용 데이터의 모음이 아닐까?"라는 의심도 확산되었습니다. 독일의 테크 매체는 "소스는 PayPal 본체가 아닐 것"이라는 논조를 소개합니다. 일반 사용자에게는 "당황하지 말고, 그러나 선제적인 방어"를 촉구하는 현실적인 목소리가 많습니다.heise online

또한 소비자 센터 계정이나 사이트에서는 타이밍을 노린 "PayPal 사칭 피싱" 증가에 주의를 촉구하고 있습니다. "제목: 계정 제한" 등의 가짜 알림으로 가짜 로그인으로 유도하는 수법이 보고되었으며, 공식 앱/사이트에서 직접 설정을 여는 행동 양식이 권장되었습니다.Verbraucherzentrale.de

"750달러"라는 가격이 말하는 것

거대한 데이터치고는 파격적——이는 종종 "신규·고품질의 침해 데이터가 아니라, 피싱이나 멀웨어로 따로따로 도난당한 '로그'의 모음"을 시사합니다. 인포스틸러는 브라우저 저장 비밀번호나 쿠키, 자동 완성 정보를 모조리 가져가기 때문에 평문 비밀번호가 포함될 "수도 있습니다". 결과적으로 "오래된/재사용"의 혼재나 중복이 많고, 구매자 측은 "양으로 밀어붙이는" 크레덴셜 스터핑에 사용합니다. 보도도 대체로 이 시나리오에 언급하고 있습니다.Tom's GuideTechRadar

위험의 실상——크레덴셜 스터핑

공격자는 구매한 자격 증명 리스트를 봇으로 확장하여, EC, 구독, 이메일, 가상 화폐 거래소 등으로 로그인 시도를 반복합니다. 비밀번호 재사용률이 높을수록 성공 확률은 급상승하며, 이중 인증이 설정되지 않은 계정은 탈취나 부정 송금의 대상이 됩니다. RUHR24의 기사도 이러한 수법에 대한 주의를 촉구하고 있습니다.ruhr24.de

지금 당장 할 수 있는 실천 대책(검증 링크 포함)

1. PayPal 비밀번호의 즉시 변경: 길고 고유하며 추측하기 어려운 것으로. 과거의 재사용을 끊어야 합니다.Verbraucherzentrale.de

2. 이중 인증(2FA/MFA) 활성화: SMS보다 앱/물리 키를 권장합니다.Verbraucherzentrale.de

3. 의심스러운 로그인 및 결제 확인: 기록과 알림 설정을 재검토합니다.Verbraucherzentrale.de

4. "외부 링크로 설정 변경하지 않기": 이메일이나 SMS의 URL이 아닌, 공식 앱/북마크에서.Verbraucherzentrale.de

5. 유출 확인 도구로 자기 점검:
   ・Have I Been Pwned(HIBP)에서 이메일 주소 조회.Have I Been Pwned
   ・experte.de의 일본어 해설 포함 체크.Experte
   ・본 대학의 Leak Checker(결과는 이메일로 통지).리크 체커
   ※"이번의 'PayPal 의혹 데이터'에 개별 대응하는 공식 조회 창구"는 현재 공개되지 않았습니다. 체크 결과가 "안전"이라도, 재사용이 있다면반드시 변경해야 합니다.

6. 다른 서비스도 총정리: 비밀번호 관리자로 재사용을 일소하고, 가능하다면패스키로의 이동.

7. "계정 동결을 가장한" 새로운 피싱에 주의: 최근에도 PayPal 명의의 가짜 경고가 관측되고 있습니다.Verbraucherzentrale.de

시계열로 정리(일본 시간/Asia/Tokyo)

• 2025년 8월 18일경: 보안 각지 및 연구자가 "1,580만 건의 판매 공지"를 잇달아 보도/공유.hackread.comBitdefenderX (formerly Twitter)

• 동시기: PayPal은 "신규 침해는 없다"고 코멘트했다고 보도됨.Tom's GuideTechRadar사이버뉴스

• 8월 21~24일: 일반 미디어 및 지역지가 주의 환기를 확산. RUHR24가 업데이트 기사를 게재.ruhr24.de

편집 후기——"진위 불명"이라도 대비는 정답

설령 데이터가 오래된 모음이라도,"비밀번호의 재사용"이라는 한 점이 공격의 돌파구가 되는 현실은 변하지 않습니다. 뉴스가 퍼지는 타이밍에 피싱도 증가합니다.최소의 비용으로 최대의 안심을 얻기 위해, 지금 실천할 수 있는 것은 "① 모든 계정의 강력한 '고유' 비밀번호화", "② 2FA의 철저", "③ 의심스러운 링크를 클릭하지