Last year, a former employee, who was a Chinese national in Korea, improperly accessed data from over 33 million customer accounts and retained data from approximately 3,000 accounts. To do so, the former employee wrote a software program that made approximately 140 million automated queries, and there is no evidence the data was viewed by anyone else. 

• ~140m Automated Data Queries  
• ~33m Accessed User Data – includes 2,609 Building Lobby Access Codes
• ~3,000  Retained User Data 
• 0  Instances of User Data Exploited

We have shared the following facts and forensic analysis with Korean regulators over the past two months, which we believe our Korean customers deserve to know as well:

1. All of the former employee’s devices used in the attack have been recovered and all forensic evidence is consistent with his statement that he retained data from approximately 3,000 user accounts, and later deleted all of it. Since December 23, 2025, Korean regulators (i.e., JIT and PIPC) have been in possession of all devices recovered from the former employee’s attack. All forensic evidence is consistent with the former employee’s sworn confession that he retained and later deleted user data from approximately 3,000 accounts. JIT and PIPC also have forensic analysis confirming that the recovered devices do not contain any personal information from Korean users. 
2. The former employee did not access highly sensitive customer information, such as financial/payment data, usernames and passwords, and government-issued IDs. The former employee accessed customer records that included names, emails addresses, phone numbers, delivery addresses, and limited order histories and limited building lobby codes. There was no access to sensitive customer information such as financial/payment data, usernames and passwords, or government-issued IDs. This was confirmed in the security logs of Akamai, the cloud platform provider, and those logs were shared with the JIT and PIPC on December 8, 2025. 
3. The former employee accessed 2,609 accounts that had building lobby access codes, according to Akamai security logs and analysis of user data. Coupang shared the results of that analysis with PIPC and JIT on December 23, 2025. The February 10, 2026 JIT report states that the former employee made 50,000 queries against building lobby access codes but omits the analysis confirming that those queries accessed 2,609 accounts with building lobby access codes. 
4. There is no evidence of any secondary harm arising from the Coupang data incident according to the latest analysis from independent security company CNS. Coupang receives weekly updates from multiple independent internet security companies who continuously monitor dark web, deep web, Telegram, and Chinese messaging platforms. From the time of the data breach to the present, these monitoring activities have identified no dark web activity or secondary harm to any Korean user related to the Coupang data incident. Coupang has provided updates to the Korean Government throughout its investigation and will continue to monitor and share updates. 

In addition, on December 5, 2025, the Korean National Police Agency’s National Investigation Headquarters reported that “no suspected cases of secondary harm involving the exploitation of the types of information leaked from Coupang—such as delivery address information and order information—have been identified,” based on their nationwide daily monitoring and detailed analysis of approximately 22,000 reports of SMS phishing, voice phishing, and other cyber frauds and a full check of roughly 116,000 violent crime cases including home invasions burglary, stalking, and related offenses. 

On December 15, 2025, two days before the National Assembly hearing on Coupang, the police reported “at this stage it is difficult to conclude whether secondary harm has occurred or not.” In the nearly two months since that statement, the police have also not provided any confirmed cases of secondary harm. 

Coupang remains committed to protecting customer data and being transparent with our customers.

We will continue to cooperate fully with the government’s investigation, take all necessary steps to prevent further harm, and strengthen our safeguards to prevent recurrence. 

We look forward to the time when all the facts come to light, because the Korean people deserve to know the full truth.

===========

Korean translation of the above statement

민관합동조사단의 2025년 11월 데이터 사건 조사 발표에 대한 입장

지난해 중국 국적의 전(前) 직원이 3,300만 개 이상의 고객 계정이 포함된 데이터에 부적절하게 접근해 약 3,000개 계정의 정보를 저장했습니다. 국내에서 거주하던 해당 직원은 스스로 작성한 소프트웨어 프로그램으로 약 1억 4천만 회의 자동조회를 수행했습니다. 해당 데이터가 추가로 제3자에 의해 열람되거나 활용된 정황은 없습니다.

• 약 1억 4천만 회 데이터 자동화 조회
• 약 3,300만 명의 사용자 데이터 접근 – 그 중 2,609건에서 공용현관 출입 코드 포함
• 약 3,000건의 사용자 데이터 저장
• 0 건의 데이터 부정 사용 사례  

쿠팡은 조사가 진행된 지난 두 달간, 다음과 같은 사실 관계와 포렌식 분석 결과를 규제 당국과 공유해 왔습니다. 이는 대한민국 고객 여러분께서도 아셔야 할 내용이라고 생각합니다.

1. 해당 전 직원이 공격에 사용한 기기는 모두 회수되었으며, 확보된 포렌식 증거 전체는 약 3,000개 계정의 데이터만을 저장한 뒤 이를 모두 삭제했다는 그의 선서 자백 진술과 일치합니다. 2025년 12월 23일 이후, 민관합동조사단과 개인정보보호위원회 등 규제 당국은 해당 전 직원의 공격과 관련해 회수된 모든 기기를 보유하고 있습니다. 모든 포렌식 증거는 약 3,000개 계정의 사용자 데이터를 저장한 후 이를 삭제했다는 전 직원의 선서 자백 진술과 일관되게 부합합니다. 또한 민관합동조사단과 개인정보보호위원회는 회수된 기기 내에 한국 이용자의 개인정보가 저장되어 있지 않음을 확인하는 포렌식 분석 결과도 보유하고 있습니다.

2. 전 직원은 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보 (Highly Sensitive Customer Information) 에 접근하지 않았습니다. 해당 전 직원이 접근한 고객 정보는  고객의 이름, 이메일 주소, 전화번호, 배송지 주소, 제한적인 주문 내역 및 제한적인 수의 공용현관 출입 코드가 포함되어 있었습니다. 그러나, 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 민감 고객 정보에는 접근하지 않았습니다. 이러한 사실은 클라우드 플랫폼 제공 업체인 아카마이 (Akamai)의 보안 로그를 통해 검증되었으며, 해당 로그는 2025년 12월 8일 민관합동조사단과 개인정보보호위원회에 전달되었습니다.
   
3. 전 직원이 접근한 계정 정보 중 공용현관 출입 코드가 포함된 사례는 2,609 건이고, 이는 아카마이 (Akamai) 보안 로그와 사용자 데이터 분석을 통해 확인되었습니다. 쿠팡은 해당 분석 결과를 2025년 12월 23일 개인정보보호위원회와 민관합동조사단에 공유했습니다. 그러나 2월 10일 자 민관합동조사단 보고서는 해당 전 직원이 공용현관 출입 코드에 대해 5만 건의 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 단 2,609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락하고 있습니다. 

4. 쿠팡 개인정보 사고로 인한 2차 피해의 어떤 증거도 확인되지 않았습니다. 이것은 독립 보안 전문 기업 CNS의 최신 분석에 따른 것입니다. 뿐만 아니라, 다수의 독립 인터넷 보안 전문 업체가 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등을 지속적으로 모니터링하여 그 결과를 주간 단위로 쿠팡에 전달하고 있습니다. 데이터 유출 발생 시점부터 현재까지, 이들 모니터링 결과에서 2차 피해와 연관된 다크웹 활동은 단 한 건도 확인되지 않았습니다. 쿠팡은 조사 과정 전반에 걸쳐 대한민국 정부에 관련 분석 결과를 제공해 왔고 앞으로도 지속적으로 모니터링하며 업데이트를 제공할 예정입니다

또한, 2025년 12월 5일, 대한민국 경찰청 수사본부는 모니터링 결과를 토대로, “배송지 정보, 주문 정보 등 쿠팡에서 유출된 정보 유형이 악용된 2차 피해 관련 의심 사례는 확인되지 않았다”로 발표했습니다. 경찰청이 SMS 피싱, 보이스피싱 및 기타 사이버 사기 신고 약 2만 2천 건에 대한 정밀 분석, 주거 침입, 강도, 스토킹 등 관련 범죄를 포함한 약 11만 6천 건의 강력 범죄 전수 점검을 실시한 결과, 배송지 정보와 주문정보 등 쿠팡에서 유출된 정보 유형이 악용된 것으로 의심되는 2차 피해 사례는 없다고 확인하여 밝힌 것입니다. 

하지만, 이후 쿠팡 관련 국회 청문회를 앞둔 2025년 12월 15일, 경찰은 “현 단계에서는 2차 피해 발생 여부를 단정하기 어렵다”라고 발표했습니다. 해당 발언 이후 약 두 달이 지난 현재까지도, 경찰이 확인하여 발표한 2차 피해 사례는 없습니다. 

쿠팡은 고객 데이터 보호와 투명한 정보 공개에 대한 약속을 변함없이 지켜나가고 있습니다. 

앞으로도 정부의 조사에 전면 협조하고, 추가 피해를 막기 위한 필요한 모든 조치를 취하며, 재발 방지를 위한 보호 체계도 지속적으로 강화해 나갈 것입니다. 

쿠팡은 모든 사실이 명확히 밝혀지기를 고대합니다. 대한한국 국민은 진실을 알 권리가 있습니다. 

다시 한번, 이번 일로 우려를 끼쳐드린 점에 대해 깊은 유감의 뜻을 전하며, 영향을 받으신 모든 분들께 사과드립니다.