Coupang个人信息泄露事件持续升温。韩国国会质疑，此次事故是否属于内部人员借助特权权限接触核心系统所暴露出的结构性安全问题；对于公司迟迟未提交相关安全资料，国会方面更警告称，必要时将启动听证程序。

2日，韩国国会科学技术信息放送通信委员会就此事展开质询。国民力量党议员Lee Jun-seok在会上集中追问Coupang首席信息安全官（CISO）Brad Mathis，要求其说明事故成因，以及涉事人员是否曾接触更敏感的数据和系统权限。

Lee Jun-seok指出，当前需要厘清的关键问题是，涉事员工究竟只是窃取数据，还是已对系统形成更深层次的侵入。他还批评称，Coupang提交的技术说明过于笼统，无法充分解释事件全貌。针对公司认定为攻击核心的“签名私钥”，Lee Jun-seok表示，这类用于用户登录认证的关键密钥，按理应仅限内部高权限开发人员接触。

Brad Mathis回应称，此次泄露的是“用户登录后对下发令牌进行签名的私钥”。截至目前，尚未发现客户密码、哈希值、盐值或其他认证信息外泄的迹象。不过，他同时承认，涉事员工拥有可访问该密钥的特权角色。

当被追问该员工在任职期间是否还拥有访问数据库或底层原始数据的权限时，Brad Mathis以“警方要求不要公开可能识别特定人员的信息”为由未作正面回答。对此，Lee Jun-seok反驳称，国会询问的是任职期间的权限范围，与警方所述并非同一问题。

围绕泄露范围，国会还提出进一步质疑。Lee Jun-seok表示，如果仅凭这一签名私钥，就能在长达5个月内访问外部API，那么除电子邮箱、地址和电话号码之外，其他信息是否同样外泄，也不能轻易排除。对此，Brad Mathis表示，截至目前，尚未发现涉事人员访问该API以外信息的痕迹，也没有客户密码、哈希值或数据库原始数据被外传的迹象。

在当天的质询中，权限管理问题同样成为争议焦点。高丽大学教授Kim Seung-joo指出，ISMS明确要求对离职人员的访问权限进行回收，而Coupang未能切实落实相关措施，这也暴露出其权限回收执行不到位的问题。他表示，认证密钥管理和权限管理体系都需要全面复盘。

与此同时，Coupang以“商业机密”为由拒绝提交多项安全资料，也引发朝野强烈不满。根据国会方面披露，尚未提交的资料包括：ISMS、ISMS-P认证中的整改和指正事项；近3年离职人员访问权限回收记录；API及签名私钥管理规定；外籍开发人员按国籍和工作地划分的安全控制措施；VDI、DLP、UEBA日志记录；以及开发和测试服务器是否使用真实客户数据等情况。

委员会主席Choi Min-hee表示，若Coupang继续拒绝提交资料，委员会将启动听证程序；如有必要，还将传唤公司主席Kim Beom-seok以及前、现任相关员工作为证人出席听证。