지난 1월 25일 글로벌 핀테크 기업 페이팔(Paypal)이 해커들의 공격을 받아 부정송금 이슈가 발생한 것으로 알려졌다.

지난 1월 21일부터 일부 페이팔 사용자들은 구글페이(Google Pay)와 관련된 부정송금 팝업 메시지를 받았다.

페이팔 게시판, 레딧, 트위터에서 구글페이 독일‧러시아 지원 페이지 등에서 피해 사례가 속출했다.

주로 독일 페이팔 이용자들이 부정송금 피해를 입었고, 부정 송금과 관련된 구입처는 미국 뉴욕의 상점으로 확인됐다.

총 피해 규모는 1만 유로(원화 약 1,320만 원)이며, 이 중 가장 큰 허위 이체 건은 1,000유로(원화 약 132만 원)으로 조사됐다.

해커들은 구글페이와 통합된 페이팔 계정에 존재하는 버그를 악용해 부정송금을 일으킨 것으로 알려졌다.

페이팔과 구글 측은 구체적으로 어떤 버그를 악용한 건지는 밝히지 않았다.

독일의 한 보안전문가는 트위터를 통해 이 문제와 유사한 보안을 2021년에 페이팔 측에 알렸음을 밝혔다.

그의 주장에 따르면 페이팔이 온라인 거래에서 가상의 카드를 활용하면서 허점이 드러났다고 볼 수 있다.

페이팔은 페이팔 계정을 구글 페이와 연동하면 고유 카드 번호, 만료일, CVC 번호 등을 완벽히 갖춘 가상의 카드를 발급해준다.

구글페이 이용자가 페이팔을 통해 결제하면 이 가상의 카드를 거쳐야 하는데 해커들이 가상 카드의 세부 정보를 알아내는 방법을 찾아내 부정거래를 일으켰을 것으로 추측했다.

보안전문가는 “해커들이 앞서 입수한 이용자 휴대전화 정보, 악성 프로그램 등을 동원해 가상 카드 정보를 탈취했을 것.”이라고 주장했다.