[금융이슈] 보안 부실에 재무 악화까지...롯데카드, 매각 길목에 먹구름

[더퍼블릭=손세희 기자] 최근 신용카드업계 6위 사업자인 롯데카드에서 발생한 사이버 침해 사고가 금융권과 소비자 사이에서 큰 파장을 일으키고 있다. 이번 사건은 수년 전 이미 알려진 보안 취약점이 패치되지 않은 채 방치돼 있었다는 점과, 회사 측의 사고 인지 지연 등 내부통제 문제까지 겹치면서 신뢰성 논란을 키우고 있다.

관련 업계와 금융당국에 따르면, 롯데카드는 지난달 14일부터 16일까지 내부파일 유출 시도가 있었음에도 이를 17일이 지나서야 인지한 것으로 전해졌다. 회사 측은 8월 26일 일부 서버 점검 중 악성코드 감염 사실을 확인했고, 31일 온라인 결제 서버에서 약 1.7GB 규모의 데이터 유출 흔적을 발견한 뒤 이달 1일 금융당국에 사고를 신고했다.

금융감독원은 신고 접수 직후인 지난 2일 금융보안원과 합동으로 롯데카드에 대한 현장검사에 착수, 회원정보 유출 여부와 침해 경로를 집중 조사 중이다. 유출된 데이터에 온라인 결제 요청 내역 등 거래 관련 정보가 포함됐을 가능성이 제기되면서 잠재적 소비자 피해가 우려되는 상황이다.

이번 공격은 오라클 웹로직 서버의 원격 코드 실행 취약점(CVE-2017-10271)을 이용한 것으로 분석된다. 해당 취약점은 2017년 이미 공개돼 패치가 배포됐지만, 롯데카드 서버에서는 적용되지 않은 상태였던 것으로 파악되고 있다. 공격자는 이를 통해 서버 관리자 권한을 확보하고 웹셸 프로그램을 설치, 내부 서버를 장악할 수 있었다. 웹셸은 해커가 원격으로 웹 서버를 제어할 수 있도록 만든 악성 코드다.

보안업계에서는 패치되지 않은 시스템은 단순 공격에도 치명적 피해를 초래할 수 있다고 지적한다. 실제로 과거 이 취약점은 가상화폐 채굴 악성코드 설치와 랜섬웨어 유포에 다수 활용된 바 있다. 이번 사건과 관련해 특정 해킹 조직의 개입 여부는 아직 공식 확인되지 않은 상태다.

해킹 사고로 촉발된 회원 불안을 잠재우기 위해 롯데카드는 전사적 비상 대응 체계를 가동, 전담 상담센터를 새로 마련했다고 3일 밝혔다. 조좌진 대표이사 역시 “보안 관리 미흡으로 고객 불편을 초래한 점 깊이 사과드린다”며 “이번 사고로 발생한 피해는 전액 롯데카드가 책임지고 보상하겠다”고 약속했다.

롯데카드는 보안 위기뿐 아니라 재무 건전성 문제에서도 자유롭지 못하다.

올 상반기 롯데카드의 당기순이익은 416억원으로 전년 대비 33.8% 감소하며 7대 전업 카드사(삼성·신한·현대·KB국민·우리·하나·롯데) 중 최하위를 기록했다. 총자산이익률(ROA)은 지난해 1.7%에서 올해 1분기 0.2%로 급락했고, 영업이익률 역시 1%를 밑돌며 수익성이 악화됐다.

재무 건전성의 악화는 연체율과 부실채권(NPL) 비율에서도 드러난다. 올 상반기 기준 롯데카드의 연체채권비율은 2.32%로 전분기 대비 0.38%p 상승해 업계 평균(1.8%)을 크게 웃돌았다. 부실채권 비율 또한 2.37%로 전년 동기 대비 1%p 증가했다. 다른 카드사들이 NPL 비율을 1%대 중반 이하로 관리하는 것과 비교하면 높은 수준이다.

이러한 재무 지표는 신용등급에도 영향을 미칠 수 있다. 국내 3대 신용평가사인 한국신용평가, 한국기업평가, 나이스신용평가는 롯데카드의 신용등급을 ‘AA-(안정적)’로 유지하고 있으나, 부실 확대와 연체율 상승은 향후 회사의 신용도를 끌어내릴 요인이 될 수 있다. 실제 금융권과 자산운용사들은 이번 해킹 사태가 롯데카드의 신용도에 미칠 영향을 면밀히 살펴보고 있는 것으로 알려지고 있다.

신용등급 하향은 곧 자금 조달 비용 증가로 이어진다. 수신 기능이 없는 카드사는 주로 채권 발행을 통해 자금을 조달하는데, 신용등급이 낮아지면 더 높은 이자를 부담해야 한다. 경쟁사인 신한·삼성·국민카드는 ‘AA+’, 우리·하나카드는 ‘AA’의 신용도를 유지하고 있는 반면 롯데카드는 전업 카드사 중 신용등급이 최하위에 속한다.

롯데카드의 재무 건전성 악화는 단기간의 문제가 아니다. 지난해 말 중소 렌털업체 대상 팩토링(매출채권 유동화) 대출에서 대규모 부실이 발생한 데 이어, 홈플러스 사태까지 겹치며 상황이 심각해졌다.

지난 2019년 롯데카드는 사모펀드 MBK파트너스에 인수되며 롯데그룹에서 분리, 홈플러스와 마찬가지로 MBK 계열사로 편입됐다. 최근 홈플러스는 오프라인 매출 정체와 점포 구조조정 등으로 신용등급이 하락하며 채무 상환에 어려움을 겪었고, 이에 롯데카드 구매전용카드를 통해 매출을 크게 끌어올린 것으로 파악되고 있다.

금융감독원 전자공시시스템에 따르면, 올해 6월 말 기준 롯데카드가 회수하지 못한 홈플러스 채권액은 793억원으로, 롯데카드 당시 자기자본의 약 2.2%에 해당하는 규모다. 특히 이 부실채권은 고정이하채권으로 분류돼 회수 가능성이 낮아, 롯데카드 연체율 상승에 직접적인 영향을 미쳤다.

한편, 홈플러스 관련 자산유동화 전자단기사채(ABSTB) 발행 과정의 불법성 여부도 수사 대상이다. 지난 7월 검찰은 롯데카드 서울 중구 본사를 압수수색해 관련 자료를 확보했다. 수사는 롯데카드가 홈플러스 신용등급 하락 가능성을 알면서도 MBK파트너스의 이해관계에 맞춰 유동화 구조를 지원했는지에 초점이 맞춰져 있다. 만약 롯데카드의 자본시장법 위반이 확인될 경우, 과징금 부과와 일부 업무 정지, 카드 발급 권한 제한 등 중대한 제재가 예상된다.

연이은 악재 속에서 새 주인을 찾고 있는 롯데카드는 향후 매각 과정에서도 난항을 겪을 것으로 예상된다. 롯데카드의 최대주주인 MBK파트너스는 카드사 지분 인수 이후 지난 2022년 JP모간을 주관사로 첫 매각을 시도했으나 무산된 뒤 올해 상반기 재매각을 추진했다.

당초 3조원대였던 매각가는 2조원대로 낮춰 적극적으로 원매자를 찾고 있다. 그러나 예비입찰에 참여한 곳은 아직 단 한 곳도 없다. 잠재 인수 후보로 거론되던 금융지주와 플랫폼 기업들도 뚜렷한 움직임을 보이지 않아 ‘거래절벽’ 상황이 이어지고 있다.

시장에서는 단순히 가격 문제만이 매각 불발의 원인이 아니라고 분석한다. MBK파트너스라는 대주주 리스크가 여전히 존재한다는 점이 잠재 인수자들을 주저하게 만드는 요인이다. 과거 홈플러스 인수 이후 구조조정과 실적 부진으로 금융권의 신뢰를 잃은 경험이, 이번 롯데카드 매각에도 그림자를 드리우고 있다는 지적이다.

롯데카드는 매물로서의 가치를 높이기 위해 외형 성장에 주력해왔다. 실제로 올 상반기 말 기준 롯데카드의 회원 수는 967만명으로 6개월 새 10만명 늘기도 했다. 그러나 최근 발생한 해킹 사고로 이러한 노력마저 무색하게 됐다.

국회 정무위원회 소속 더불어민주당 김현정 의원실에 따르면, 해킹 사고 사실이 알려진 이달 1일부터 8일까지 약 2만7000여명이 롯데카드를 해지한 것으로 집계됐다. 이러한 추세가 이어질 경우, 기존 월 평균 해지 회원 수가 4만여명이었던 롯데카드는 한 달 안에 10만명 이상이 카드를 해지할 가능성도 배제할 수 없다.

회원 개인정보 유출 우려와 더불어 향후 카드 부정사용에 따른 보상 비용이나 금융당국의 제재 가능성도 기업가치에 악영향을 미칠 수 있다. 일각에서는 2조원대 매각가 조정에도 불구하고 원매자 확보가 쉽지 않은 만큼, 롯데카드 매물의 가격이 1조원대 후반까지 내려갈 가능성도 제기하고 있다. 향후 롯데카드 매각 성패는 결국 ‘보안’과 ‘재무’ 문제 해결 여부에 달렸다는 것이 업계의 중론이다.

더퍼블릭 / 손세희 기자 sonsh821@thepublic.kr