쿠팡의 모회사인 쿠팡Inc 김범석 의장이 26일(현지시간) 지난해 말 발생한 대규모 개인정보 유출 사태에 대해 육성으로 첫 공개 사과했다.

김 의장은 지난해 실적 발표를 위해 이날 개최한 '콘퍼런스 콜'에서 "이번 일로 심려와 불편을 끼쳐드린 점에 대해 다시 한번 사과(apologize)의 말씀을 드린다"고 말했다.

김 의장은 이어 "쿠팡이 일궈온 모든 것은 오직 단 하나의 목표, '고객들에게 와우(Wow·놀라운)한 경험을 선사하는 것'을 동력으로 삼아왔다"며 "고객은 쿠팡이 존재하는 유일한 이유"라고 강조했다.

김 의장은 또 "저희는 고객의 신뢰를 얻기 위해 매일 같이 최선을 다하고 있다"며 "쿠팡에 있어 고객의 기대에 부응하지 못하는 것보다 더 엄중한 일은 없다"고 밝혔다.

그러면서 "저희가 더 잘해야 한다는 점을 잘 알고 있으며, 반드시 그렇게 하겠다"고 덧붙였다.

쿠팡Inc는 지난해 말 발생한 개인정보유출 사고로 12월에 부정적 영향을 받았으나 올해 들어 회복세를 보이고 있다고 27일 밝혔다.

쿠팡은 지난해 49조원대의 매출과 3천억원대의 당기순이익을 거뒀다. 작년 매출과 순이익은 역대 최대 규모다.

미국 뉴욕증시 상장사인 쿠팡Inc가 이날 미국 증권거래위원회(SEC)에 제출한 실적 보고서에 따르면 지난해 매출은 약 49조1천197억원(345억3천400만 달러)으로 전년(302억6천800만 달러)보다 14% 늘었다. 이는 지난해 4분기 원·달러 평균 분기 환율을 기준으로 환산한 것이다.

연 매출은 50조원을 넘지는 못했으나 역대 최대다.

영업이익은 약 6천790억원(4억7천300만 달러)로 전년보다 8% 늘어 2022년 이후 3년 연속 6천억원대를 기록했다. 연간 영업이익률은 전년보다 낮아져 1.38% 수준이다. 당기순이익은 3천30억원(2억1400만달러)으로 전년 940억원(6천600만달러)의 세 배가 넘는다.

다만, 분기별 실적을 기준으로는 성장세가 둔화했다.

지난해 4분기 매출은 약 12조8천103억원(88억3천500만 달러)로 전년 동기 대비 11% 늘었으나, 직전 분기(92억6천700만 달러)와 비교하면 5% 감소했다. 4분기 영업이익은 약 115억원(800만 달러)로 전년 동기(3억1천200만 달러) 대비 97% 급감했다. 당기순손익 역시 377억원(2천600만 달러)의 손실을 기록하며 적자로 돌아섰다. 이는 연말에 발생한 개인정보 유출 사고가 영향을 미친 것으로 보인다.

쿠팡 측은 이 사고가 지난해 12월부터 매출 성장률과 활성 고객 수, 와우 멤버십, 수익성 전반에 부정적인 영향을 미친 것으로 분석했다. 실제로 4분기 활성 고객 수는 2천460만 명으로 직전 분기 대비 10만명 감소한 것으로 나타났다.

사업 부문별로는 로켓배송을 포함한 쿠팡의 핵심 쇼핑 서비스인 프로덕트 커머스 매출이 연간 11% 성장했다.

또 대만 사업과 쿠팡이츠 등 성장 사업(Developing Offerings) 매출이 전년 대비 38% 증가하며 외형적인 성장을 견인했다.

다만 성장 사업의 연간 조정 에비타(EBITDA) 손실은 9억9천500만 달러로 전년보다 58% 늘어 공격적인 투자를 지속하는 것으로 보인다.

쿠팡Inc는 지난해 590만주(1억6200만 달러 규모)의 클래스A 보통주를 자사주로 매입했다고 밝혔다.

쿠팡Inc는 이날 공시한 지난해 4분기 실적에서 개인정보유출 사고 발생 사실을 언급하면서 "이번 데이터 사고(data incident)는 2025년 4분기 매출 성장률과 활성 고객 수, 와우(WOW) 멤버십, 그리고 12월부터의 수익성에 부정적인 영향을 미친 것으로 추정된다"면서도 "다만 최근 실적에 따르면 성장률에 대한 영향은 이후 안정화됐으며, 2026년 1분기부터는 회복되기 시작한 것으로 나타났다"고 설명했다.

개인정보 유출과 관련해서는 "쿠팡은 2025년 4분기 중 전 직원이 3천300만개 이상의 사용자 계정 데이터를 불법적으로 조회하고, 약 3천개 계정의 데이터를 보관한 데이터 사고를 인지했다"며 "맨디언트와 팔로알토네트웍스 등 외부 사이버보안 전문업체들이 포렌식 조사를 실시한 결과 유출된 고객 정보는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 이력 등 기본적인 연락처 및 주문 정보로 확인됐다. 한국 사용자 계정 2천609건에 대해서는 건물 로비 출입 코드가 조회됐다"고 전했다.

그러면서 금융정보나 결제 카드 정보, 로그인 자격증명 및 비밀번호, 정부 발급 신분증 정보 등 민감정보는 접근되지 않은 것으로 조사됐고 2차 피해 발생 사례도 확인되지 않았다는 기존의 주장을 유지했다.

한편 경찰은 쿠팡이 16만5천여건 계정이 추가로 유출된 사실을 확인했다고 밝혔다.

유출 정보는 고객이 입력한 주소록 정보인 이름, 전화번호, 주소이며 개인정보보호위원회의 권고에 따라 유출 사실을 해당 고객들에게 통지했다.

쿠팡은 다만 결제 및 로그인 정보, 공동현관 비밀번호, 이메일, 주문목록은 유출되지 않았음을 확인했다고 덧붙였다.

그러면서 이번에 통지된 유출건은 새롭게 발생한 건이 아니라 지난해 11월 유출 사건과 관련해 추가로 확인된 것이라고 강조했다.

쿠팡은 추가 유출이 확인된 고객들에게 보낸 문자에서 "내부 모니터링을 한층 더 강화해 즉시 대응할 수 있는 체계를 확립하고 운영 중에 있다"며 "현재까지 2차 피해 의심사례는 발견되지 않고 있다"고 밝혔다.