Coupangの個人情報流出問題を巡り、韓国国会で同社のセキュリティ管理体制への追及が強まっている。内部者が特権アカウントを使って秘密鍵にアクセスした可能性が浮上する中、CoupangがISMS関連の指摘事項や退職者の権限回収履歴などの提出を「営業秘密」を理由に拒んでいることにも、与野党から批判が出た。

12月2日、国会の科学技術情報放送通信委員会で行われた質疑では、与党「国民の力」のイ・ジュンソク議員が、Coupangの最高情報保護責任者（CISO）ブラット・マティス氏に対し、事故の構造的な要因や内部者関与の可能性について集中的に問いただした。

イ議員は、情報流出に関与した従業員の目的が単なるデータ窃取だったのか、それともシステム全体の侵害を狙ったものだったのかを見極める必要があると指摘。Coupangが提出した技術資料は不明確だと批判した。問題の核心とされる「署名鍵（private signing key）」についても、「顧客ログインを認証する重要な鍵が流出したのであれば、内部でも高い権限を持つ開発者しか扱えない領域ではないか」と述べた。

これに対しマティス氏は、流出したのは顧客のログイン後に発行されるトークンに署名するための秘密鍵だと説明した。そのうえで、顧客のパスワードやハッシュ値などの認証情報が流出した形跡は確認されていないとした。

一方、当該従業員がその秘密鍵にアクセス可能な「特権アカウントに相当する権限」を持っていたことも明らかにし、内部者による高権限アクセスの可能性を事実上認めた。

イ議員はさらに、この従業員が過去に、DBや生データといったより下位のデータ層にアクセスできる権限も持っていたのではないかと質問した。これに対しマティス氏は、警察から特定個人の識別につながる情報を公表しないよう求められているとして、回答を避けた。イ議員は「在職時の権限を聞いているのに、なぜ警察を理由にするのか」と強く反発した。

専門家からも懸念の声が上がった。高麗大学のキム・スンジュ教授は、ISMSでは退職者のアクセス権限を回収する義務が明記されているにもかかわらず、Coupangがこれを適切に履行しなかった結果、今回の事故につながった可能性があると指摘。認証鍵の管理や権限管理の仕組みを全面的に見直すべきだと述べた。

流出範囲を巡っては、追加被害の可能性も議論になった。イ議員は、署名鍵だけで5カ月にわたり外部APIへのアクセスが可能だったのであれば、メールアドレスや住所、電話番号以外の情報が流出した可能性も排除できないと指摘した。

これに対しマティス氏は、現時点で当該API以外へのアクセス痕跡は確認されていないと説明した。顧客のパスワードやハッシュ値、DB本体データの流出も確認されていないと改めて主張した。

国会は、Coupangがセキュリティ関連資料の提出に応じていない点についても追及した。Coupangが未提出としているのは、ISMS・ISMS-P認証での指摘事項、退職者のアクセス権限回収履歴（直近3年）、APIや署名鍵の管理規定、外国人開発者の国籍・勤務地別のセキュリティ統制、VDI・DLP・UEBAのログ履歴、実際の顧客データを用いる開発・テストサーバの運用状況などだ。

これについて、委員長のチェ・ミンヒ氏は、資料提出拒否が続く場合は聴聞会の手続きに着手する考えを示した。必要であれば、キム・ボムソク議長を含む前職・現職の役職員全員を証人として招致する可能性にも言及した。