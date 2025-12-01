Coupang, Korea’s largest e-commerce platform, disclosed a major data leak last week affecting 33.7 million customer accounts. The scale surpasses the breach at SK Telecom, which affected 23.24 million people and resulted in the largest fine ever imposed for violations of personal information protection. It is comparable to the 2011 hacking incident that exposed data from 35 million Cyworld and Nate users.The leaked information includes customer names, email addresses, delivery addresses and phone numbers. Coupang says payment information, credit card numbers and login credentials were not compromised, and that customers need not take separate action. Still, the scale of the breach has left users uneasy. The company had reported only 4,500 affected accounts nine days earlier, a figure that turned out to be 7,500 times smaller than the actual number. Customers are advised to avoid phone calls or messages impersonating Coupang.Unlike past data leaks at telecom companies, which were typically caused by hacking, this case may involve a former employee from China. Investigators suspect he extracted customer data over five months without the company noticing. If true, the incident exposes serious flaws in Coupang’s internal controls and access management. Since 2020, the company has suffered four data breaches and been fined a total of 1.5 billion won ($1.02 million). Each time, it pledged to prevent recurrence, yet the assurances proved empty. The company must explain why similar failures continue and present convincing remedies.Coupang obtained the ISMS-P certification — the country’s only government-run information security and personal data protection framework — in both 2021 and 2024. Yet, breaches continued. Since the Personal Information Protection Commission was elevated to the Cabinet level in 2020, 34 data leaks have occurred at 27 ISMS-P certified companies. These numbers have fueled criticism that a national certification is meaningless if it cannot prevent major breaches. The government must reconsider whether the ISMS-P system should be strengthened or replaced.Coupang employs around 100,000 people in Korea, placing it just behind the four major conglomerates. Despite contributing significantly to job creation, it has faced repeated controversy, including labor disputes involving delivery workers, conditions at logistics centers and allegations of external pressure related to unpaid severance at Coupang Fulfillment Services. The latest leak adds yet another mark on the company’s reputation, raising fresh questions about oversight at one of Korea’s largest platform firms.국내 이커머스(전자상거래) 1위 업체인 쿠팡에서 대규모 고객 정보 유출 사고가 터졌다. 쿠팡은 지난달 29일 고객 계정 3370만 개의 개인정보가 외부로 유출됐다고 발표했다. 개인정보 보호 위반으로 역대 최대 과징금(1348억원) 처분을 받았던 SK텔레콤 사고(2324만 명)보다 규모가 크다. 2011년 해킹으로 약 3500만 명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 비슷한 규모다.이번에 유출된 쿠팡 고객 정보는 고객 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등이다. 결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았기 때문에 고객이 별도 조치를 할 필요는 없다는 게 쿠팡 설명이지만, 워낙 초대형 정보유출 사고인 만큼 고객은 불안할 수밖에 없다. 9일 전엔 개인정보 유출 계정이 4500개라고 발표했지만 실제로는 7500배나 많았다. 일단은 고객 스스로 쿠팡을 사칭하는 전화·문자 메시지에 현혹되지 않도록 조심해야 한다.과거 이동통신사 등의 개인정보 유출 사고는 대부분 해킹이 원인이었지만 이번엔 퇴사한 중국 국적 직원의 소행일 가능성이 거론된다. 내부 직원이 5개월간 고객 정보를 무더기로 빼갔는데도 회사가 몰랐다면 조직 내부의 고객 정보 관리와 접근 권한 관리에 심각한 문제가 있었음을 보여준다. 2020년부터 2023년까지 쿠팡은 세 차례의 정보유출 사고를 냈고, 모두 16억원의 과징금을 맞았다. 사고가 날 때마다 재발 방지를 약속했지만 구두선(口頭禪)에 그쳤다. 왜 비슷한 사고가 반복되는지 쿠팡은 통렬하게 반성하고 납득할 만한 개선책을 내놓아야 한다.과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 쿠팡이 2021년과 2024년 두 차례 취득했는데도 정보유출 사고가 계속됐다. 개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생했다. 이럴 거면 국가 인증제가 무슨 소용이냐는 불만이 나올 수밖에 없다. 개인정보 유출을 예방하겠다고 도입한 ISMS-P 인증 제도를 보완하거나 아예 새로운 제도가 필요한 건 아닌지 정부가 면밀하게 다시 검토할 때가 됐다.쿠팡의 국내 고용자는 10만 명에 달한다. 삼성·현대차·LG·SK 4대 그룹에 이어 5위 수준이다. 일자리를 많이 만들지만 택배 기사·물류센터 노동 문제와 쿠팡풀필먼트서비스(CFS) 퇴직금 미지급 사건과 관련한 수사 외압 의혹 등으로 이런저런 구설에도 자주 올랐다. 부실한 고객정보 관리 탓에 거대 플랫폼 기업 이미지에 생채기가 하나 더 늘게 됐다