围绕Coupang个人信息泄露事件，韩国国会出现“二次损害已经发生”的质疑声。

12月2日，在韩国国会科学技术信息广播通信委员会相关质询中，祖国革新党议员Lee Hae-min表示，Coupang信息泄露事件已显现二次损害迹象，并批评公司官方说明及对外沟通淡化了事件的实际严重性。

质询过程中，Lee Hae-min出示了受害者社区流传的案例截图，并就多名用户账户出现“来自未知设备或异常IP的登录尝试、访问记录”等情况追问Coupang方面。

他表示，单凭个别访问记录尚难直接下结论；但如果大量用户都出现类似现象，事件性质就完全不同，不能排除存在结构性信息侵害的可能。他还称，已确认有受害者接到来自境外号码的钓鱼电话，并强调这已经属于二次损害。

Lee Hae-min同时批评，Coupang在公告中反复使用“暴露”一词，试图淡化事件性质。他指出，这是一起涉及“3000万国民个人信息”的信息侵害事件，而非简单的“暴露”。他还以Coupang在事故当天提交“侵害事故申报”为依据，质疑公司内部实际上已将此事认定为信息安全事故，却在对外表述时刻意降格处理。

对于申报时限问题，Lee Hae-min也提出批评。他表示，法律要求并不只是形式上满足24小时或72小时的时限，更强调在事故发生后立即申报、及时应对；而Coupang除了卡点完成申报外，并未展现出足够有效的处置措施。

除事件影响外，相关技术和制度漏洞也成为质询焦点。Lee Hae-min指出，Coupang使用AWS韩国区域，却未能妥善管理API密钥、认证令牌管理等高权限访问凭证。他并以内部人员可长期接触相关信息为例，认为公司在人员权限管理方面存在明显问题。

他特别提到，尽管Coupang已引入多因素认证（MFA），但仍未能发现并阻断离职员工的异常访问行为，并对此提出质疑，认为这暴露出内部监测和拦截机制并未真正发挥作用。

围绕Coupang所持有的ISMS-P认证体系，Lee Hae-min表示，按照访问控制要求，非信息安全团队的开发人员原则上不应接触认证密钥，因此Coupang应正视其未能满足相关标准的问题。他还指出，数据加密手段再多，如果数据在解密后仍可被随意流转，反映的就不只是技术问题，而是内部控制失效和管理层责任问题。

Lee Hae-min还强调，有必要从制度层面推进整改。他表示，将推动建立“凡企业责任明确的事故，由企业全额承担调查组运营成本”的机制，并已提交强化惩罚性赔偿、设立消费者法院等相关法案。他同时称，必须形成足以让Coupang管理层“警醒”的惩罚力度。