Coupang disclosed on November 29, 2025 that a former employee stole customer information. When customer data is affected, the responsibility is ours. We apologize for the concern and inconvenience that this has caused. 

This was a crime committed by a former employee against Coupang and against our customers. While legal actions are outside our control, we have continuously called for this bad actor to be prosecuted to the fullest extent of the law. 

Since the incident was first disclosed, Coupang has retained world-class cybersecurity firms—including Mandiant and Palo Alto Networks—to conduct a comprehensive forensic investigation. That investigation has now concluded. We are sharing its findings publicly today, as they include important facts that only came to light as a result of the third-party investigation that Coupang commissioned. 

Key Findings of the Investigation  

The key findings of the investigation are consistent with the information we have shared previously. The one new finding related to Taiwan is detailed further below.  The key findings are as follows: 

No highly sensitive data accessed: Third-party forensics and cybersecurity experts have confirmed that the customer data accessed was limited to basic contact and order information: names, email addresses, phone numbers, delivery addresses, and limited order histories. Building lobby codes were accessed for 2,609 Korean user accounts. No financial or payment card data, no login credentials (e.g., passwords), and no government-issued IDs were accessed in any geography.  

Devices recovered; data retention limited. All of the former employee’s devices known to have been used in the attack have been recovered and subjected to full forensic analysis. Mandiant has found that the forensic evidence is consistent with the conclusion that the former employee retained data from approximately 3,000 user accounts in total and later deleted that data. 

No evidence the data was ever viewed by anyone other than the former employee. There is no evidence that any of the accessed customer data was ever seen, shared with, or transferred to any other individual. 

Zero confirmed instances of customer data being exploited. This conclusion is supported by continuous monitoring conducted by multiple cybersecurity firms, including CN Security, across the dark web, deep web, Telegram, Chinese messaging platforms, and other forums. To date, there has been no detection of misuse of customer data attributable to this incident, nor is there any evidence that any Coupang customer data related to this incident exists in those sources. 

Korean authorities have reached the same conclusion. The National Police Agency of Korea and the Korean Joint Public-Private Investigation Team (JIT) have also indicated they have found no evidence of any confirmed instances of misuse or secondary harm related to this incident to date. 

Method of access has been closed. The method by which the former employee was able to access the system was closed and remediated in November 2025 and no longer poses any risk to customer data. 

New Finding: Taiwan-Based Accounts 

When the incident was first announced, there was no evidence that user accounts in Taiwan were impacted. Nonetheless, we continued our investigation and partnered with Taiwan’s Ministry of Digital Affairs (MODA), keeping them closely informed as our investigation progressed. With MODA’s guidance and supervision, the forensics and cybersecurity experts we appointed were able to conduct a rigorous and thorough investigation. 

Mandiant has determined that the former employee’s unauthorized activity in the same incident also included access to approximately 200,000 accounts in Taiwan. Of those, Mandiant’s forensic analysis has identified that the former employee retained data from one (1) Taiwan-based account. In total, Mandiant has reported that the forensic evidence is consistent with the retention of data for approximately 3,000 user accounts in Korea and one (1) user account in Taiwan. 

As noted above, third-party forensics and cybersecurity experts, including Mandiant, have confirmed that no highly sensitive data was accessed in any geography, including Taiwan. The data accessed from Taiwanese accounts was also limited to basic contact and order information: name, email address, phone number, delivery address, and limited order histories. No financial or payment card data, login credentials (e.g., passwords), or government-issued IDs were accessed from any Taiwan-based account.  

All of the other key findings described above apply to Taiwan. 

MODA’s oversight and pragmatic approach in allowing global forensics and cybersecurity experts to conduct this investigation proved instrumental in surfacing these findings promptly and accurately. Coupang and MODA continue to work closely together as this matter progresses.  

Next Steps 

Coupang will continue to cooperate with government agencies in both Korea and Taiwan. 

While there is no evidence of any misuse of data and secondary harm related to the incident to date, we will continue to monitor the situation closely and share updates as new information becomes available. 

From the outset, we commissioned this third-party investigation because we wanted to get to the truth. At every stage, we have shared what our cybersecurity experts have found — with regulators and with the public. We recognize that this incident demands more than transparency. It demands that we learn from it, strengthen our protections, and hold ourselves to a higher standard. We are committed to both and we will continue to share what we learn, because we believe the public deserves the full truth. 

---

11월 29일 개인정보 관련 사건에 대한 업데이트 

쿠팡은 지난 2025년 11월 29일 전 직원이 고객 정보를 탈취한 사실을 공개하였습니다. 어떤 상황에서든 고객 정보가 영향을 받는 경우, 그 책임은 당사에 있습니다. 이번 일로 인해 심려와 불편함을 느끼셨을 고객 여러분께 사과의 말씀을 드립니다.  

이번 사건은 쿠팡의 전 직원이 쿠팡과 쿠팡의 고객을 상대로 저지른 범죄 행위입니다. 법적 절차 자체는 저희 권한 밖에 있으나, 쿠팡은 법이 허용하는 최대한의 범위 내에서 범죄 행위자가 처벌받을 수 있도록 지속적으로 촉구해 왔습니다.  

사건이 처음 공개된 이후, 쿠팡은 맨디언트(Mandiant)와 팔로알토 네트웍스(Palo Alto Networks)를 포함한 세계 최고 수준의 사이버보안 업체들을 선임하여 포괄적인 포렌식 조사를 진행해 왔습니다. 현재 해당 조사가 완료되어, 쿠팡은 주요 결과를 다음과 같이 공개하고자 합니다. 결과는 쿠팡이 의뢰한 제3자 조사로 인해 처음 확인된 중대한 사실들을 포함하고 있습니다. 

주요 조사 결과 

이번 조사 결과의 핵심 내용은 당사가 이전에 공개한 내용과 일치합니다. 대만과 관련하여 새로 확인한 사실은 그 아래 부연 설명드립니다. 주요 조사 결과는 다음과 같습니다. 

고도 민감 정보는 접근되지 않았습니다. 이번 사고로 접근된 고객 데이터는 기본적인 연락처 및 주문 정보에 한정되었다는 사실이 제3자 포렌식 및 사이버보안 전문가들에 의해 검증되었습니다. 접근된 정보는 이름, 이메일 주소, 전화번호, 배송지 주소, 그리고 제한된 수의 주문 목록입니다. 공동 현관 출입코드는 총 2,609개의 한국 계정을 대상으로 접근되었습니다. 금융 및 결제 데이터, 비밀번호 등 로그인 계정 정보, 정부 발급 ID는 지역과 상관없이 단 한 건도 접근 사례가 없습니다. 

모든 기기는 회수되었고, 데이터 보유도 제한되었습니다. 전 직원이 공격에 사용했던 것으로 알려진 모든 기기를 회수하여 포렌식 분석을 거쳤습니다. 맨디언트는 전 직원이 약 3천 개 계정의 데이터를 저장하고 이후에 모두 삭제하였다는 결론과 포렌식 증거가 일치한다고 판단했습니다. 

전 직원 외에 제3자에 의한 데이터 열람 혹은 공유 증거는 없습니다. 고객 데이터가 전 직원 외의 제3자에게 보여졌거나, 공유됐거나, 탈취 전송되었던 어떠한 증거도 없습니다.  

단 한 건의 고객 데이터 악용 사례도 확인되지 않았습니다. 본 사건과 관련한 고객 데이터의 악용 사례는 확인되지 않았습니다. CN Security를 포함한 다수의 사이버보안 기관이 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 및 기타 온라인 포럼을 대상으로 지속적으로 모니터링한 결과입니다. 현재까지, 악용 사례뿐 아니라, 본 사건과 관련한 쿠팡 고객 데이터가 상기 경로에 존재하거나 게시된 증거도 발견되지 않았습니다.  

대한민국 당국도 동일한 결론을 도출했습니다. 대한민국의 경찰청, 민관합동조사단 역시 현재까지 이번 사건과 관련한 고객 데이터 악용 또는 2차 피해 사례가 확인된 바 없다는 입장을 밝혔습니다.  

접근 경로도 차단되었습니다. 전 직원이 시스템에 접근하는데 이용한 경로는 2025년 11월 중 이미 차단 및 보완 조치가 완료되었으며, 현재 이를 통한 고객 데이터의 리스크는 해소되었습니다 . 

신규 확인 사항: 대만 소재 계정  

최초 본 사고를 발표하던 당시에는 대만 소재 계정이 영향을 받았다는 증거가 확인되지 않았습니다. 하지만, 당사는 대만 디지털부(Ministry of Digital Affairs)와 협력하여 지속적인 조사를 진행해 왔고, 진척 상황에 대해 긴밀하게 상호 공유해 왔습니다. 대만 디지털부의 지도와 감독하에, 당사가 선임한 포렌식 및 사이버보안 전문가들은 엄정하고 철저한 조사를 수행할 수 있었습니다.  

맨디언트는 동일한 사건에서 전 직원이 무단 접근한 계정 중 약 20만 개가 대만 소재 계정인 것으로 확인했습니다. 맨디언트의 포렌식 분석에 의하면, 전 직원은 이 중 단 1개 계정의 데이터만 저장한 것으로 밝혀졌습니다. 맨디언트에 따르면, 저장된 계정 총 수는 대만 1건과 한국의 그 외의 사례를 합산하여 전체 약 3,000 건입니다. 

상술한 바와 같이 맨디언트 등 제3자 포렌식 및 사이버보안 전문가들은 고도 민감 정보가 대만을 포함하여 그 어느 지역에서도 유출된 바 없다고 확인했습니다. 대만 소재 계정에서 접근된 데이터 역시 기본적인 연락처 및 주문 정보에 한정됩니다. 이 정보는 이름, 이메일 주소, 전화번호, 배송지 주소, 그리고 제한된 수의 주문 목록입니다. 그 어떠한 대만 계정에서도 금융 및 결제 데이터, 비밀번호 등 로그인 계정 정보, 정부 발급 ID 등의 정보는 접근되지 않았습니다.  

그 외의 상기 모든 주요 조사 결과는 대만에도 동일하게 적용됩니다. 

대만 디지털부의 협조와 실용적 대응 덕분에 글로벌 포렌식 및 사이버보안 전문가들이 본 조사를 수행하고 관련 사실을 신속, 정확하게 규명할 수 있었습니다. 쿠팡과 디지털부는 본 사안과 관련하여 앞으로도 지금과 같이 계속해서 긴밀하게 협력해 나가겠습니다. 

향후 조치 

쿠팡은 앞으로도 대한민국 및 대만의 정부 기관과 지속적으로 협력해 나가겠습니다.  

현재까지 사고로 인한 데이터 악용 혹은 2차 피해가 확인된 사례는 없으나, 당사는 앞으로도 상황을 면밀하게 모니터링하여 새로운 정보가 확인되는 대로 즉시 공유드리겠습니다. 

쿠팡은 사건 초기부터 명확한 진실 규명을 위해 제3자 기관에 의뢰해 조사를 진행해 왔습니다. 또, 조사가 진행되는 모든 단계에서 사이버보안 전문가들이 확인한 내용을 관련 규제 당국과 대중에게 공유해 왔습니다.  

쿠팡은 엄정한 진실 규명과 투명한 조사 결과 공유가 책임의 전부라고 생각하지 않습니다. 쿠팡은 이번 일을 계기로 더욱 배우고, 보호 체계를 한층 강화하며, 더 엄격한 내부 기준을 수립하고 철저히 준수해 나가겠습니다. 

투명한 진실 규명. 쇄신을 위한 각고의 노력. 

쿠팡은 이 두 가지를 모두 약속드립니다. 또, 새로운 사실이 확인되는 대로 공유드리겠습니다.  

쿠팡의 고객 및 대중 모두는 진실을 알 권리가 있습니다.