롯데카드 해킹으로 대규모 개인정보가 유출되면서 금융권이 큰 충격에 휩싸였다. 유출된 데이터 규모는 200GB로, 당초 알려진 것보다 100배 이상 많았다. 사건 이후 조좌진 롯데카드 대표는 국회 청문회 등에서 사과하며 재발 방지와 고객 보호 조치를 약속했지만, 금융권 안팎에서는 이러한 발언이 실제 책임 있는 대응으로 이어질지 회의적인 시각이 존재한다.
이번 사태와 관련해 대주주 MBK파트너스의 책임론도 확산되고 있다. MBK는 롯데카드 인수 이후 보안 투자를 늘려왔다고 주장하지만, 정보보호 예산 규모와 전체 IT 인력 대비 보안 담당자 비중이 오히려 줄어든 것으로 나타나면서 실효성 논란이 제기된다. 이에 따라 MBK가 단기 수익성보다 고객 정보 보호와 시스템 안정성에 충분히 투자했는지가 핵심 쟁점으로 떠오르고 있다.
297만 명 개인정보 유출된 롯데카드 해킹 사고
[더퍼블릭=손세희 기자] 지난달 롯데카드가 해킹 시도 흔적을 포착했을 당시 내부에서는 “큰 피해는 없을 것”이라는 낙관론이 존재했다. 그러나 금융당국의 현장 조사 결과, 현실은 예상보다 훨씬 심각했다.
총 960만 명의 회원을 보유한 롯데카드에서 무려 297만 명의 개인정보가 외부로 유출된 사실이 드러난 것이다. 유출된 데이터 용량만 200GB에 달해, 처음 알려진 규모보다 100배 이상 많았다.
특히 피해자 가운데 약 28만 명은 카드번호, 유효기간, CVC 번호 등 핵심 금융정보까지 유출돼 직접적인 부정 사용 위험에 노출됐다. 단순히 이름이나 연락처 수준이 아닌, 결제에 바로 악용될 수 있는 정보가 빠져나간 만큼 사건의 심각성은 매우 높았다.
문제가 커지자 조좌진 롯데카드 대표는 국회 청문회에 출석해 고개를 숙였다. 지난 24일 국회 과학기술방송통신위원회가 개최한 ‘통신·금융 해킹 사태’ 청문회에서 그는 “현재 카드 재발급 신청이 100만 건에 달하지만, 이번 주말까지 대부분 처리할 수 있도록 전사적인 노력을 기울이고 있다”며 재차 사과했다.
롯데카드는 사건 이후 고객 보호 조치 현황도 공개했다. 회사 측에 따르면 전체 유출 인원 중 약 43%에 해당하는 128만 명에 대해 긴급 대응을 시행했다. 고위험군으로 분류된 28만 명 중 현재까지 19만 명에게 카드 재발급, 비밀번호 변경, 카드 정지·해지 조치가 완료됐다. 그러나 여전히 수십만 명이 보호 조치를 기다리고 있어 불안감은 여전하다.
사건 경위와 관련해선 ‘늑장 보고’ 논란도 불거졌다. 일부에서는 회사가 정보 유출 사실을 인지하고도 당국에 늦게 알렸다는 의혹을 제기했지만, 조 대표는 이를 부인했다. 그는 “침해 행위와 실제 침해 사고는 법적 개념상 구분되며, 당사는 보고 의무를 다했다”고 강조했다.
또한 롯데카드가 최근 금융보안원으로부터 획득한 개인정보보호관리체계(ISMS-P) 인증과 관련해 조 대표는 “인증 제도 자체에 문제는 없었으며, 내부 보안 관리가 허술했던 점은 회사 책임으로 인정한다”고 밝혔다.
조 대표는 거취 문제도 언급했다. 지난 18일 기자간담회에 이어 국회 청문회에서도 그는 “사임을 포함한 인적 쇄신을 고려하고 있다”는 입장을 재확인했다. 그러나 금융권 안팎에서는 조 대표의 발언이 실제 변화를 이끌어낼 수 있을지에 대해 회의적인 시선이 많다.
조 대표의 임기가 내년 3월까지로 남은 시간이 6개월 가량에 불과한 만큼, 이번 사임 의지가 실질적인 책임으로 이어질지 의문이라는 평가가 나온다. 일각에서는 단순히 책임을 회피하려는 면피성 발언에 그칠 가능성이 높다는 지적도 제기되고 있다.
MBK “보안 투자 확대...단기 수익 추구는 사실 아냐”
이번 롯데카드 해킹 사고를 두고 금융권 안팎에서는 대주주인 MBK파트너스의 책임론이 확산되고 있다. MBK는 지난 2019년 우리은행과 컨소시엄을 구성해 롯데카드 지분 79.8%를 약 1조3800억원에 인수한 바 있다.
이번 논란의 핵심은 MBK가 사모펀드 특성상 단기 수익성에 집중한 나머지 시스템 안정성에는 상대적으로 소홀했을 가능성이 높다는 점이다. 롯데카드에 대한 정보보호 관련 투자가 일관성을 갖지 못했을 것이라는 지적이다.
사모펀드는 통상 5~7년을 투자 회수(엑시트) 시점으로 잡는다. 따라서 장기적 인프라 구축보다는 단기 수익성 제고에 치중한다. 인수한 기업의 비용 구조를 개선하고, 배당을 통해 투자자에게 수익을 돌려준 뒤 매각으로 투자금을 회수하는 것이 일반적인 경영 전략이다.
문제는 금융업, 특히 카드 산업에서는 고객의 민감한 정보와 결제 데이터가 기반이 되기 때문에 보안에 드는 비용은 기업의 존재 자체를 지탱하는 필수 인프라다. 그러나 사모펀드 방식에서는 이 장기적 가치보다 단기 재무성과가 우선시될 위험이 크다.
이에 대해 MBK는 지난 21일 배포한 자료에서 “롯데카드는 매년 정보보안 및 IT 투자를 꾸준히 확대해 왔다”고 강조하며 책임론을 일축했다. 자료에 따르면 MBK의 보안 투자 비용은 2019년 71억4000만원에서 2025년 128억원으로 늘었으며, 정보보호 내부 인력도 2019년 19명에서 2025년 30명으로 확대됐다(보안 관련 외부 파트너사 인력은 제외).
MBK는 2021년 ‘디지로카(DigiRoca)’ 전략에 따라 DR(Disaster Recovery) 구축과 백업시스템 고도화를 진행하며 보안 투자가 일시적으로 확대된 사례도 소개했다. 전체 IT 비용 대비 보안 투자 비중도 10~12% 수준을 유지해 단기적 이익을 위해 보안을 희생하지 않았음을 강조했다.
배당 관련 의혹에 대해서도 MBK는 적극 해명했다. 롯데카드의 최근 4년간 배당 성향은 20~28% 수준으로, 국내 상장기업 평균과 비슷하며 대형 금융지주사 평균 배당성향(30% 이상)보다 낮다는 것이다. MBK는 이를 바탕으로 “단기 수익 추구 기조를 위해 주주사들이 경영 관리를 소홀히 했다는 주장은 사실과 다른 주장이다”라고 선을 그었다.
MBK는 다음날 배포한 보도자료에서도 “롯데카드는 2020년부터 2025년까지 약 6000억원에 달하는 IT 투자를 통해 정보 보완 강화를 꾸준히 추진해 왔다”고 밝혔다. 롯데카드와 MBK 파트너스에 따르면, 2020년부터 2025년까지 롯데카드의 IT 투자 규모는 총 5921억원이며, 이 가운데 보안 투자는 654억6000만원으로 전체 IT 투자 대비 평균 11%를 차지한다.
지난 2020년부터 2024년까지 IT 투자 규모 또한 같은 기간 롯데카드 당기순이익의 약 40%에 달하며, 총 배당액의 1.5배 수준이라고 설명했다. 이를 통해 단기 배당보다 고객 신뢰 확보와 시스템 안정성을 우선시했다는 입장을 내놓았다.
아울러 MBK는 롯데카드가 기업지배구조 측면에서도 특정 주주에 치우치지 않은 구조를 갖추고 있다고 설명했다. 사측에 따르면 현재 롯데카드 이사회는 조좌진 대표이사와 MBK 측 기타비상무이사 2명, 롯데쇼핑 측 기타비상무이사 1명, 사외이사 5명으로 구성돼 있다. 이사회의 전문위원회로는 리스크관리위원회, 보수위원회, ESG위원회, 내부통제위원회가 설치돼 있다.
이를 통해 MBK는 “경영진 의사결정에 대한 건전한 견제는 물론, 기업 가치 제고와 장기적 성장 전략 수립을 위한 다양한 제안이 이뤄지고 있다”고 강조했다.
보안 투자, 겉치레에 그쳤나...MBK 책임론 확산
![▲지난 23일 서울 여의도 국회에서 열린 롯데카드 개인정보 유출사태 관련 대책 간담회에서 조좌진 롯데카드 대표이사가 발언하고 있다. [사진=연합뉴스]](https://cdn.thepublic.kr/news/photo/202509/278209_279052_4217.jpg)
MBK파트너스는 롯데카드 개인정보 유출 사태와 관련해 보안 투자를 소홀히 하지 않았다는 입장을 밝혔지만, 객관적 자료를 보면 이러한 주장은 설득력을 잃는다.
국회 정무위원회 소속 국민의힘 김상훈 의원실이 지난 22일 금융감독원으로부터 제출받은 자료에 따르면, 롯데카드의 올해 정보보호 예산은 128억원으로 전년도 151억원과 비교해 15.2% 감소했다. 물론 예산 편성액만으로 보안 투자 수준을 판단할 수는 없지만, 예산 감소 폭 자체를 보면 내부적 보안 강화에 적극적인 투자가 이뤄졌는지 의구심을 갖게된다.
인력 측면에서도 비슷한 지적이 가능하다. MBK는 정보보호 인력을 늘려왔다는 점을 강조했지만, 전체 IT 조직에서 차지하는 비중은 오히려 줄었다. 2020년에는 전체 IT 인력 74명 중 정보보호 담당자가 20명으로 27%를 차지했지만, 올해 6월 기준으로는 전체 IT 인력 226명 중 35명에 불과해 비중이 15%로 감소했다.
IT 임원 가운데 정보보호 담당은 전체 임원 45명 중 3명으로, 8개 전업 카드사 가운데 최하위권 수준에 머물렀다. 결국 MBK가 내세운 인력 증원 논리는 단순 규모만 놓고 계산했을 때만 의미가 있을 뿐, 조직 내 상대적 비중과 역할을 고려하면 실효성이 낮다는 평가가 나온다.
이런 논란 속에서 국회 정무위원회는 지난 23일 조좌진 롯데카드 대표와 윤종하 MBK 부회장을 불러 ‘롯데카드 개인정보 유출사태, 피해자 보호 방안 및 재발 방지 대책 간담회’를 열었다. 조 대표는 이 자리에서 “개인정보 유출로 불편을 끼쳐 드린 점 진심으로 사과드린다”며 “소비자 보호를 위한 구체적 대응 방안과 재발 방지책을 마련하고, 오늘 이 자리에서 나온 의견을 반영해 신속하게 조치하겠다”고 다시 한 번 고개를 숙였다.
MBK는 정보보호 예산을 줄였다는 일부 주장에 대해 사실과 다르다는 입장을 재차 밝혔다. 이날 MBK는 추가로 배포한 보도자료를 통해 롯데카드가 IT 인프라(Capex)와 인력(Opex) 측면에서 균형 있게 투자하며 IT와 보안 역량을 꾸준히 강화해 왔다고 설명했다. MBK 관계자는 "일각에서 제기되는 정보보호 예산 축소 주장은 Capex만을 기준으로 해석한 것"이라며 "실제 롯데카드는 Capex와 Opex를 동시에 집행하며 금융기업의 핵심 가치인 정보보호 역량 강화를 지속해 왔다"고 강조했다.
위원회는 오는 10월 국정감사에서 김병주 회장을 소환해 롯데카드 해킹 사태와 관련한 책임을 묻겠다고 예고했다. 지난 24일 국회 과학기술정보방송통신위원회가 MBK 김병주 회장을 증인으로 채택해 대규모 금융·통신사 해킹 사건 관련 청문회를 진행할 예정이었으나, 김 회장이 출석을 거부한 바 있다.
국정감사는 법적 구속력이 있는 만큼 반드시 소환하겠다는 방침이다. 국감 첫날인 10월 13일에는 공정거래위원회와 개인정보보호위원회를 대상으로 국감이 열리는데, 이날 김 회장을 증인으로 소환하는 방안이 유력한 것으로 전해졌다.
한편 MBK는 롯데카드 인수 이후 꾸준히 매각 가능성을 타진해왔다. 이번 해킹 사태가 발생한 상황에서도 매각 전략은 유효하다. 이 때문에 업계 전문가들은 MBK가 롯데카드의 예산과 인력을 겉으로는 늘리는 듯 보이지만, 실제로는 구색 맞추기 수준에 머물며 외형적 투자 확대만 강조한 것 아니냐는 의문을 제기하고 있다.
더퍼블릭 / 손세희 기자 sonsh821@thepublic.kr