대규모 해킹 사태를 겪은 롯데카드를 두고 보안 투자 축소 논란이 커지고 있다. 롯데카드의 정보보호 예산은 IT예산의 10% 남짓에 불과해 업계 최저 수준이라는 지적이 제기됐다. 예산 집행률마저 절반 수준에 그쳐 보안 관리가 부실했다는 비판도 뒤따른다. 이에 대해 대주주 MBK파트너스는 인프라와 인력 투자를 이어왔다며 ‘예산 축소’ 주장은 사실과 다르다고 반박했다.

지난 19일 조좌진 롯데카드가 대표가 서울 종로구 롯데카드 본사에서 열린 '국회 과학기술정보방송통신위원회(과방위)의 대규모 해킹 피해 롯데카드 현장조사'에서 참석했다 / 뉴스1
지난 19일 조좌진 롯데카드가 대표가 서울 종로구 롯데카드 본사에서 열린 '국회 과학기술정보방송통신위원회(과방위)의 대규모 해킹 피해 롯데카드 현장조사'에서 참석했다 / 뉴스1

23일 국회 정무위원회 소속 강민국 국민의힘 의원실에 따르면 2020년부터 2025년까지 롯데카드가 책정한 IT예산은 6191억6800만원이다. 같은 기간 정보보호 예산은 606억5200만원으로 9.0% 수준이다. 2020년 14.2%였던 비중이 매년 줄어 올해는 한 자릿수로 떨어졌다는 게 의원실측 설명이다.

카드사별로보면 국민카드는 4.6%포인트(10.3%→14.9%), 현대카드 2.1%포인트(8.1%→10.2%), 하나카드 0.4%포인트(10.3%→10.7%)씩 정보보호 예산 비중을 늘렸다. 반면 우리카드 -4.4%포인트(18.2%→13.8%), 신한카드 -0.7%포인트(9.2%→8.5%), 비씨카드 -1.3%포인트(11.7%→10.4%), 삼성카드 -3.0%포인트(11.4%→8.4%)씩 보안 비중을 줄였는데, 롯데카드는 이들 카드사의 하락 폭보다도 두드러졌다. 

배정된 예산조차 다 쓰지 못했다. 롯데카드는 지난해 122억4500만원을 편성했지만 실제 집행은 96억5600만원(78.9%)에 그쳤다. 올해 8월까지는 96억5600만원 중 절반 수준인 48억5200만원만 집행해 50.3%에 머물렀다. 8개 카드사 평균 집행률(58.9%)에도 못 미친다는 설명이다. MBK가 2019년 롯데카드를 인수한 뒤 단기 수익에 치중하면서 정보보호 투자를 뒷전으로 미룬 게 아니냐는 비판이 이어지고 있다.

강민국 의원은 “카드사는 해킹 시 카드번호·유효기간·CVC 등 핵심 정보가 한꺼번에 빠져나갈 위험이 크고, 롯데카드 사태가 그 취약성을 여실히 보여줬다”며 “정보보호 예산 배정과 집행을 법으로 관리해야 한다”고 말했다. 전자금융거래법 하위 규정에 명문화할 것을 촉구한 셈이다.

이에 대해 롯데카드 대주주 MBK파트너스는 일부 수치만 본 오해라고 반박했다. MBK는 롯데카드가 2020년 이후 최신 IT 인프라(Capex) 구축에만 약 1800억원을 투입했고, 동시에 IT·보안 인력을 내재화해 아웃소싱 의존도를 줄였다는 주장이다. 현재 롯데카드의 IT 인력 내재화율은 32%로 업계 최고 수준이라는 설명이다.

또 정보보호 투자를 단순 설비투자 지출만으로 평가할 수 없다는 점도 강조했다. 롯데카드는 ▲매체제어·네트워크 보안 ▲방화벽·시스템 통제 등 인프라 강화(Capex) ▲상시 모니터링 ▲보안 인력 확충 등 운영비(Opex) 집행을 병행해 왔다고 해명했다.

MBK 관계자는 “롯데카드 해킹 사태를 계기로 회사는 보안 역량 강화를 최우선 과제로 두고 있다”며 “앞으로도 주주사들과 함께 업계 최고 수준의 보안 체계를 유지하도록 적극 지원하겠다”고 말했다. 

한편, 금융당국은 롯데카드 정보유출 사태와 관련해 징벌적 과징금 제도 도입을 논의하고 있다. 이재명 대통령이 보안 사고가 반복되는 기업에 대해 징벌적 과징금을 부과하라는 지시를 내린 만큼 중징계와 함께 대규모 과징금을 부과받을 가능성이 있다. 업계에서는 롯데카드가 270억~800억원 수준의 과징금을 부과받을 것으로 전망하고 있다.

전대현 기자
jdh@chosunbiz.com

관련기사
키워드