Coupang maintains irresponsible stance as fallout widens (KOR)
Published: 05 Dec. 2025, 10:36
![Coupang CEO Park Dae-jun (left) listens with a tense expression as lawmakers question him about the company’s massive data leak during a full session of the National Assembly’s Science, ICT and Broadcasting Committee on Feb. 2. Second from right is Coupang CISO Brett Matthes. [LIM HYUN-DONG]](https://koreajoongangdaily.joins.com/data/photo/2025/12/05/54c29590-928f-4874-aa4a-cf3157fea677.jpg)
Coupang CEO Park Dae-jun (left) listens with a tense expression as lawmakers question him about the company’s massive data leak during a full session of the National Assembly’s Science, ICT and Broadcasting Committee on Feb. 2. Second from right is Coupang CISO Brett Matthes. [LIM HYUN-DONG]
The fallout from the Coupang data breach, which exposed the personal information of 33.7 million users, continues to deepen. Not only were names, addresses and phone numbers compromised, but also apartment entrance passwords and information on customers who left the platform years ago. Reports have surfaced of abnormal login attempts, overseas payment alerts and even unauthorized high-value charges on credit cards registered to Coupang accounts. As customers leave the platform, small merchants dependent on Coupang are suffering steep declines in sales.
Despite the scale of what amounts to a national-level security incident, Coupang’s response has appeared tepid and at times dismissive. The company removed its apology from the homepage after only two days and has used the term “exposure” instead of “leak,” prompting criticism that it is minimizing responsibility. Coupang CEO Park Dae-jun told lawmakers on Dec. 3 that the company would consider compensation, but his remarks remained abstract and did not include concrete plans for relief.
The crisis has exposed structural weaknesses behind Coupang’s rapid rise to the top of Korea’s e-commerce market. Security oversight and internal controls lagged far behind its expansion. It is troubling that the company failed for five months to detect that a former employee had accessed and leaked customer data, and yet more alarming that the individual logged into the system using a signature key not even held by the corporate representative.
Coupang’s inadequate internal controls and cavalier posture are linked to regulatory conditions that helped cement its dominance. Restrictions on large retailers intended to protect small businesses unintentionally strengthened Coupang’s market position. JP Morgan even concluded in a report that customer attrition would be limited because Korea lacks major competitors and consumers are relatively less sensitive about data privacy. Such assessments reflect a market environment in which customer concerns can be dismissed too easily.
The company’s dual structure, with its operating base in Korea but parent company, Coupang Inc., incorporated in the United States, has also contributed to the problem. More than 90 percent of its revenue comes from Korea, yet founder Bom Kim stepped down from all board roles in the Korean entity once the Serious Accidents Punishment Act took effect, shielding himself from potential legal liability. Had a breach of this magnitude occurred in the United States, the company could face astronomical damages, while Korea’s penalties remain comparatively modest. Coupang has benefited from regulatory blind spots, while consumers shoulder the consequences.
![Coupang founder and CEO Bom Kim [COUPANG]](https://koreajoongangdaily.joins.com/data/photo/2025/12/05/8366b14e-dfa8-4414-acfc-328bdbd8ecd6.jpg)
Coupang founder and CEO Bom Kim [COUPANG]
The government should use this moment to strengthen accountability for data breaches and tighten oversight of major e-commerce platforms. Most of all, Coupang must abandon its dismissive posture and demonstrate responsibility through meaningful compensation, credible prevention measures and a sincere apology from corporate leadership.
곳곳서 피해 속출하는데 무책임한 자세 일관하는 쿠팡
범죄 우려, 고객 이탈로 소상공인 매출 감소
돈은 한국에서 벌지만 사회적 책임은 소홀
3370만 명의 개인정보가 유출된 쿠팡 사태의 충격파가 이어지고 있다. 이름과 주소, 전화번호는 물론 아파트 공동 현관 비밀번호까지 유출된 상황이 드러나면서 불안이 확산되고 있다. 온라인에서 비정상 로그인 시도와 해외 결제 승인 알림이 이어졌다는 제보도 잇따른다. 보이스피싱과 스미싱 우려 속에서 쿠팡에 등록된 신용카드에서 고액의 무단 결제가 이뤄졌다는 제보까지 등장했다. 고객의 이탈이 이어지며 쿠팡에 의존하는 소상공인은 매출 급감이라는 후폭풍에 시달리고 있다.
국가 재난에 가까운 보안 사고가 벌어졌는데도 쿠팡의 대응은 미온적이다 못해 무책임에 가깝다. 홈페이지 메인 화면에 올렸던 사과문을 이틀 만에 내리는가 하면, 개인정보 ‘유출’을 ‘노출’로 표기하는 등 책임을 축소하려는 데만 급급한 모습이다. 박대준 쿠팡 대표가 지난 3일 국회에 출석해 피해 보상을 검토하겠다고 밝혔지만, 원론적 언급에 그쳤을 뿐 피해 구제를 위한 구체적인 실행 계획은 보이지 않는다.
이번 사고는 국내 전자상거래 1위 업체로 성장한 쿠팡의 민낯을 드러냈다. 외형적인 성장에만 몰두한 나머지 보안 관리와 내부 통제에는 구멍이 숭숭 뚫려 있었다. 퇴직한 직원이 고객 정보를 유출한 사실을 5개월간 몰랐다는 점도 문제지만, 법인 대표도 보유하지 않은 서명키를 이용해 퇴직자가 시스템에 접속해 정보를 빼냈다는 점은 충격적이다.
쿠팡의 부실한 내부 관리와 무책임하고 오만한 태도는 독점적 시장 구조를 낳은 유통 산업 규제와도 무관치 않다. 골목상권 보호를 위한 대형마트 영업 규제가 쿠팡의 시장 지배력을 강화하는 결과를 낳았다. 미국 투자은행 JP모건이 “한국 시장에 경쟁업체가 없고 한국 소비자의 데이터 민감도가 낮아 쿠팡의 고객 이탈은 제한적일 것”이라고 할 정도니 고객이 우스울 수밖에 없다.
한국과 미국에 양다리를 걸친 기형적인 지배 구조도 문제를 키웠다. 쿠팡 매출의 90% 이상은 한국에서 나오지만 본사(쿠팡Inc)는 미국에 있다. 김범석 쿠팡Inc 의장은 중대재해처벌법이 시행되자 한국법인 이사회 의장과 등기이사직에서 물러나며 법적 책임에서 벗어났다. 만약 미국에서 이 정도의 개인정보 유출 사고가 발생했다면 천문학적인 수준의 배상 책임이 뒤따르겠지만 한국의 제재 수위는 상대적으로 가볍다. 쿠팡이 법과 규제의 사각지대에서 절묘하게 줄타기하는 동안 소비자의 피해만 커지고 있다. 이번 사태를 계기로 정부는 개인정보 유출에 대한 강력한 책임을 묻고, 전자상거래 플랫폼에 대한 관리감독을 강화해야 한다. 무엇보다 쿠팡 스스로 안하무인의 태도를 버리고 피해 보상과 재발 방지, 기업주의 진정성 있는 사과 등 책임 있는 모습을 보여야 한다.
This article was originally written in Korean and translated by a bilingual reporter with the help of generative AI tools. It was then edited by a native English-speaking editor. All AI-assisted translations are reviewed and refined by our newsroom.
with the Korea JoongAng Daily
To write comments, please log in to one of the accounts.
Standards Board Policy (0/250자)