IT예산 대비 보안 투자 비중 12%→8%

“사모펀드 단기 수익 중심 경영” 비판

정부 소극적 대응·예방책도 논란 일어

롯데그룹 “다른 계열사… 우리와 무관”

홈플러스 사태에 이어 롯데카드 해킹사고로 인해 두 회사 대주주인 MBK파트너스가 또다시 도마 위에 올랐다. 단기 수익을 높이는 데만 연연해 보안 투자를 상대적으로 소홀히 한 것이 아니냐는 비판이다. 금융당국 역시 사건 발생 초기 소극 대응하다가 뒤늦게 엄정제재에 나섰다는 지적이 제기된다.



21일 금융권에 따르면 2019년 MBK가 롯데카드를 인수한 뒤 2021년 롯데카드는 137억원의 보안 관련 투자를 집행했다. 하지만 2022년에는 88억원으로 약 35% 급감했고 지난해 정보보호 예산은 116억9000만원으로, 여전히 2021년 대비 14.7% 감소한 수준이다. 롯데카드의 IT(정보통신) 예산 대비 보안투자 비중도 2021년 12%에서 2023년 8%로 줄어들었다.

뒤늦게… 고객 보호조치 19일 오후 서울 종로구 롯데카드 본사에 마련된 해킹사고 상담 센터에서 고객들이 상담을 받고 있다. 롯데카드 해킹사고로 약 200GB(기가바이트) 규모의 데이터가 유출되면서 297만명의 회원 정보가 새어나갔다. 이 가운데 28만명은 카드번호와 비밀번호 2자리, CVC번호까지 유출돼 부정 사용에 노출된 것으로 파악됐다. 뉴시스

업계에서는 사모펀드가 단기 수익 극대화를 위해 보안투자 비용을 축소한 것으로 보고 있다. 특히 홈플러스 사태를 보면 이 같은 의혹은 더욱 짙어진다. MBK는 대규모 자금을 빌려 홈플러스를 인수한 뒤 알짜 점포 매각 등으로 빚을 갚고 배당 등으로 투자금을 회수하는 데 주력하다가 갑자기 기업회생을 신청했다.



금융권 안팎에선 금융위원회가 롯데카드에 대해 영업정지 등 중징계와 롯데카드 경영진에 대한 최고 수준의 제재에 나서는 한편, 이번 사태를 계기로 금융당국이 사모펀드 규제 손보기에 본격적으로 나설 것으로 전망한다. 한국금융연구원은 ‘해외 기관투자 사모집합투자기구(PEF) 규율체계 연구 보고서’를 통해 “사모펀드의 금융시장 리스크 관련 정보 보고를 강화하고 중대한 법을 위반하면 등록을 말소해야 한다”고 제안했다.



정부의 늑장 대응도 도마 위에 올랐다. 롯데카드의 경우 지난 7월 금융보안원으로부터 정보보호 관리체계 인증(ISMS-P)을 받은 지 얼마 되지 않아 사건이 터졌다는 점에서 인증체계 부실론이 제기됐다. 또 금융당국의 조사 과정에서 당초 신고보다 100배가 넘는 광범위한 규모의 개인정보 유출이 확인됐지만 소극적으로 대처했다는 비판도 나온다. 롯데카드는 해킹사고 신고 이후 보름 넘게 홈페이지에 “정보 유출은 없다”고 공지했는데, 당국이 사실 확인 후 선제적으로 해킹 피해사실을 정확하게 국민들에게 알렸어야 한다는 지적이다.



과학기술정보통신부와 금융위는 “기업 보안 투자가 확대돼야 한다”는 점을 강조했지만 대책이 원론적 수준에 머물렀다는 비판도 거세다. 구체적 실행 계획이나 강제력이 부족해 실효성이 낮다는 지적이다.



한편 롯데그룹은 롯데카드가 ‘롯데’ 브랜드를 사용하고 있지만 롯데그룹과는 무관하다는 입장을 밝혔다. 롯데는 2017년 지주사 체제 전환 후 롯데카드를 MBK에 매각했다. 롯데는 이번 사태로 인한 ‘롯데’ 브랜드 가치 훼손, 고객 신뢰도 하락 등 중대한 피해를 입은 것에 대해 롯데카드에 강력하게 항의하고, 고객 피해 최소화를 위한 신속한 조치를 촉구했다.