해킹 사고로 일부 자료가 유출된 롯데카드의 정보보호 예산이 최근 감소세를 보인 것으로 나타났다. 지난해 기준 롯데카드의 정보보호 예산은 2021년 대비 약 15% 줄었다. 정보보호 예산 감축으로 보안 체계에 허점이 발생했다는 비판이 제기된다.
8일 윤한홍 국민의힘 의원실이 금융감독원을 통해 받은 자료에 따르면, 지난해 말 롯데카드가 네트워크 보안을 위해 쓴 정보보호 예산(인건비 포함)은 116억원이었다. 전년 말(114억원) 대비 1.7% 소폭 늘어났지만, 2021년(137억원)과 비교했을 때는 14.7% 줄었다. 올해 상반기까지 집행한 정보보호 예산은 59억원으로, 연간 수치도 전년과 비슷할 것으로 예상된다.
롯데카드의 2020년 정보보호 예산은 69억원에서 2021년 137억원으로 2배 가까이 늘었다. 이후 2022년에는 88억원을 기록해, 전년 대비 35.4% 줄었다. 2023년에는 110억원으로 반등한 뒤 현재까지 비슷한 수준을 유지하고 있다.
롯데카드 관계자는 "2021년에 자연재해나 전산 오류에 대응하기 위한 시스템을 구축해 일시적으로 예산이 늘었다"며 "2021년을 제외하면 정보 보호 예산은 전반적으로 상승세에 있다"고 설명했다.
반면 같은 기간 내·외부 정보보호 인력은 증가했다. 롯데카드의 정보보호 인력은 2020년 20명이었지만 올해 상반기에는 35명까지 늘어났다.
롯데카드는 지난달 14일 오후 해킹으로 내부 파일이 유출됐다. 파일 유출 시도는 16일까지 3일간 진행된 것으로 전해졌다. 이 과정에서 14~15일 2회에 걸쳐 내부 파일이 유출됐고, 16일에는 해커들이 파일 유출을 시도했지만 반출에 실패한 것으로 알려졌다. 악성 코드 최초 감염 시점은 아직 확인되지 않았다. 롯데카드는 12일이 지난 26일에야 서버 동기화 과정에서 유출 사실을 인지했다. 총 유출 규모는 1.7GB(기가바이트)로, 결제와 관련된 정보인 것으로 알려졌다.
염흥열 순천향대 정보보호학과 교수는 "보안망을 구축할 때 비용이 수반되는 부분이 많다"며 "관련 비용을 줄인 것은 보안 프로세스 완성도 저하와 직결될 수 있다"고 설명했다.