쿠팡이 약 3천300만 명의 고객 정보가 유출된 대규모 개인정보 침해 사고를 미국 금융당국에 처음으로 공식 보고했다.
미국 증권거래위원회(SEC)에 따르면, 쿠팡 지주사인 쿠팡 Inc.는 15일(현지시간) SEC에 8-K 보고서를 제출해 이번 개인정보 유출 사실을 공시했다. 쿠팡 Inc.는 델라웨어주에 설립된 법인으로, 미국에 상장된 한국 쿠팡의 모회사이다.
보고서에서 쿠팡은 지난 11월 18일 고객 계정에 대한 무단 접근이 발생한 사이버 보안 사고를 인지했다고 밝혔다. 사고를 확인한 즉시 대응 절차를 가동해 침입자의 접근을 차단하고, 한국의 관계 당국과 수사기관에 신고했으며, 정보가 노출됐을 가능성이 있는 고객들에게도 통지했다고 설명했다.
쿠팡은 조사 결과 전직 직원 1명이 최대 3천300만 명의 고객 계정과 관련된 이름, 전화번호, 배송 주소, 이메일 주소와 일부 계정의 주문 이력에 접근했을 가능성이 있는 것으로 파악됐다고 밝혔다.
보고서는 “현재까지 해당 전직 직원이 취득한 정보를 외부에 공개한 정황은 확인되지 않았다”며 “은행 계좌 정보, 결제 카드 정보, 로그인 자격증명은 유출되거나 침해되지 않았다”고 밝혔다. 쿠팡은 외부 포렌식 전문기관을 투입해 조사를 계속하고 있다고 덧붙였다.
또한 “한국 규제 당국이 조사를 진행 중이며 쿠팡은 이에 전면 협조하고 있다”며 “규제 당국이 과징금 등 재정적 제재를 부과할 가능성은 있으나, 현재로서는 그 규모나 범위를 합리적으로 추정할 수 없다”고 밝혔다.
쿠팡은 이번 사고로 회사 운영이 ‘중대하게 중단되지는 않았다’고 설명하면서도, 향후 경영진의 경영 역량 분산, 매출 감소 가능성, 복구 비용 증가, 규제 제재 및 소송 비용 등으로 인해 재무적 손실이 발생할 수 있다고 경고했다.
미 SEC 규정에 따르면 미국 증시에 상장된 기업은 중대한 사건이 ‘중요(material)’하다고 판단될 경우, 4영업일 이내에 이를 공시해야 한다. 다만 쿠팡의 이번 보고서는 해당 사건을 중요 사건으로 판단한 시점은 명시하지 않고, 단지 사건을 ‘인지한 시점’만을 기재했다.
SEC가 쿠팡에 대해 제재에 나설지는 불확실하다. 최근 미국 금융당국의 상장사 제재 활동은 크게 줄어든 상태다. 뉴욕대가 2010년부터 집계한 데이터에 따르면, 2025 회계연도(2024년 10월~2025년 9월) SEC의 집행 건수는 전년 대비 30% 감소해 정권 교체가 있었던 해 가운데 가장 큰 감소폭을 기록했다. 전체 제재의 93%는 트럼프 행정부가 새 SEC 위원장을 임명하기 이전에 시작된 것으로 나타났다.
연구 공동저자인 스티븐 최 뉴욕대 로스쿨 교수는 “올해의 특징은 단순한 감소가 아니라, 집행이 언제 이뤄졌는가”라며 “대부분의 집행 조치는 행정부 교체 이전에 이뤄졌고, 새 행정부 출범 이후에는 매우 적었다”고 말했다.
이번 SEC 공시는 쿠팡이 국회 청문회를 앞둔 시점에 나왔다. 쿠팡 창업자이자 쿠팡 Inc. 의결권의 약 74%를 보유한 김범석 의장은 해외 경영 일정으로 국회 출석이 어렵다는 입장을 제출했으며, 대신 최근 선임된 해럴드 로저스 CEO가 국회에 출석할 예정이다.
[Exclusive] Coupang discloses 33m-user data breach to US regulators
First disclosure to US authorities comes as e-commerce giant faces National Assembly hearing in Seoul
Coupang has formally disclosed its massive data breach affecting some 33 million customers to US regulators, filing an 8-K report with the Securities and Exchange Commission.
According to the SEC, Coupang Inc., a Delaware-incorporated company that sits atop the Korean e-commerce giant’s ownership structure, filed the report on Monday (US time). The filing said Coupang became aware of a cybersecurity incident involving unauthorized access to customer accounts on Nov. 18.
The report explained that upon discovering the incident, Coupang activated its incident-response procedures, blocked the threat actor’s unauthorized access, reported the incident to relevant Korean regulatory and law enforcement authorities and notified customers whose data may have been accessed.
It added that Coupang has determined, based on investigative findings, that a former employee may have obtained names, phone numbers, delivery addresses and email addresses associated with up to 33 million customer accounts, as well as certain order histories for a subset of affected accounts.
“To Coupang’s knowledge, the former employee has not publicly disclosed the obtained data. No Coupang customers’ banking information, payment card information or login credentials were obtained or otherwise compromised in the incident. Coupang is continuing its investigation and has engaged external forensic experts to assist with the investigation,” the filing said.
“Korean regulators have initiated investigations, with which Coupang is fully cooperating. While one or more Korean regulators may impose financial penalties, at this time we cannot reasonably estimate any amount of losses or range of losses that may result from such penalties.”
The filing noted that although Coupang’s operations have not been “materially disrupted,” the company remains exposed to various risks stemming from the incident, including diversion of management attention and potentially material financial losses resulting from lost revenue and higher expenses related to remediation, regulatory penalties and litigation.
Under SEC regulations, companies listed on US stock exchanges are required to file a report within four business days of determining that a significant event is material. Coupang’s filing, however, does not state whether it made such a materiality determination, instead noting only when it became “aware” of the incident.
Whether the SEC will take enforcement action against Coupang remains unclear, as enforcement activity against public companies has declined sharply this fiscal year, coinciding with the start of the second Trump administration. The SEC’s fiscal year runs from Oct. 1 to Sept. 30.
According to a database compiled by New York University that has tracked SEC enforcement cases since 2010, the number of SEC actions fell 30 percent in fiscal 2025 from the previous year — the steepest decline recorded in any transition year. Researchers said 93 percent of all SEC actions against publicly listed firms were initiated before the Trump administration appointed a new chair.
“What’s striking this year is not the overall decline, but when the actions occurred,” said study co-author Stephen Choi, a professor at New York University School of Law and co-director of the Pollack Center. “Nearly all of this enforcement activity took place before the SEC administration change, with very few actions under the new administration.”
Coupang’s SEC disclosure comes ahead of a parliamentary hearing scheduled for Wednesday. Founder Bom Kim, who controls about 74 percent of the voting rights of Coupang Inc., has notified lawmakers that he will not attend due to overseas business obligations. Instead, newly appointed CEO Harold Rogers is set to appear before the National Assembly.
Most Commented