홈플 이어 롯데카드도 또 도마위…대주주 MBK ‘보안투자 소홀’ 논란 [카드·통신사 해킹사태]

IT예산 대비 보안 투자 비중 12%→8%
“사모펀드 단기 수익 중심 경영” 비판에
MBK측 “10∼12% 유지… 인력도 증원”

정부 소극적 대응·예방책도 논란 일어
롯데그룹 “다른 계열사… 우리와 무관”

홈플러스 사태에 이어 롯데카드 해킹사고까지 터지면서 두 회사 대주주인 MBK파트너스가 또다시 도마 위에 올랐다. 단기 수익을 높이는 데만 연연해 보안 투자를 상대적으로 소홀히 한 것이 아니냐는 비판이다. 금융당국 역시 사건 발생 초기 소극 대응하다가 뒤늦게 엄정제재에 나섰다는 지적이 제기된다.

21일 금융권에 따르면 롯데카드는 2021년 137억원의 보안 관련 투자를 집행했다가 이듬해 2022년 이 비용을 88억원으로 약 35% 줄였다. 지난해 정보보호 예산은 116억9000만원이 집행됐지만 여전히 2021년 대비 14.7% 감소한 수준이다. 롯데카드의 지속가능경영보고서를 보면 IT(정보통신) 예산 대비 보안투자 비중도 2021년 12%에서 2022년 10%, 2023년 8%로 지속적으로 줄었다. MBK는 2019년 우리은행과 컨소시엄을 구성해 롯데카드 지분 79.8%를 인수했다.

**뒤늦게… 고객 보호조치** 19일 오후 서울 종로구 롯데카드 본사에 마련된 해킹사고 상담 센터에서 고객들이 상담을 받고 있다. 롯데카드 해킹사고로 약 200GB(기가바이트) 규모의 데이터가 유출되면서 297만명의 회원 정보가 새어나갔다. 이 가운데 28만명은 카드번호와 비밀번호 2자리, CVC번호까지 유출돼 부정 사용에 노출된 것으로 파악됐다. 뉴시스

업계에서는 사모펀드가 단기 수익 극대화를 위해 보안투자 비용을 축소한 것 아니냐고 의심한다. 회생절차에 들어간 홈플러스 사례도 이런 분석에 힘을 싣는다. MBK는 2015년 자금을 빌려 홈플러스를 인수한 뒤 본업으로 경쟁력을 갖추기보다 자산을 매각하는 방식으로 투자금을 회수하려 했다는 비판을 받았다.

MBK는 롯데카드에 대한 보안 투자를 소홀히 해왔다는 의혹을 정면 반박했다. 투자 비용은 2019년 71억4000만원에서 올해 128억원으로 늘었고, 정보보호 내부 인력도 2019년 19명이었다가 올해 30명으로 증원했다는 것이다. IT 비용 대비 보안 투자 비중도 10∼12% 수준을 유지하고 있다는 게 MBK 설명이다. 롯데카드가 발간한 보고서와 수치가 다른 것에 대해 MBK 관계자는 “(보고서에는) 보안 투자와 관련한 인건비 및 외주 비용 등이 포함되지 않았다”며 “상당한 수준의 투자를 해왔다”고 주장했다.

정부의 늑장 대응도 도마 위에 올랐다. 롯데카드의 경우 지난 7월 금융보안원으로부터 정보보호 관리체계 인증(ISMS-P)을 받은 지 얼마 되지 않아 사건이 터졌다는 점에서 인증체계 부실론이 제기됐다. 또 금융당국의 조사 과정에서 당초 신고보다 100배가 넘는 광범위한 규모의 개인정보 유출이 확인됐지만 안이하게 대처했다는 비판도 나온다. 롯데카드는 해킹사고 신고 이후 보름 넘게 홈페이지에 “정보 유출은 없다”고 공지했는데, 당국이 사실 확인 후 선제적으로 해킹 피해사실을 정확하게 국민들에게 알렸어야 한다는 지적이다.

한편, 롯데그룹은 롯데카드가 ‘롯데’ 브랜드를 사용하고 있지만 롯데그룹과는 무관하다는 입장을 밝혔다. 롯데는 2017년 지주사 체제 전환 후 롯데카드를 MBK에 매각했다. 롯데는 이번 사태로 인한 ‘롯데’ 브랜드 가치 훼손, 고객 신뢰도 하락 등 중대한 피해를 입은 것에 대해 롯데카드에 강력하게 항의하고, 고객 피해 최소화를 위한 신속한 조치를 촉구했다.