297만명의 회원 정보가 유출된 롯데카드 해킹 사고와 관련해 대주주인 MBK파트너스는 보안 투자를 늘려왔다고 해명했다. 하지만 롯데카드의 올해 정보보호 예산은 지난해보다 감소한 것으로 확인됐다.
22일 국회 정무위원회 김상훈 국민의힘 의원실이 금융감독원을 통해 받은 '전업 카드사 총예산 및 정보보호 예산 현황(연간 편성액 기준)'에 따르면 롯데카드의 올해 정보보호 예산 편성액은 128억원으로 지난해 151억원과 비교해 15.2% 줄었다.
전업 8개 카드사(삼성·신한·현대·KB국민·우리·하나·롯데·BC카드) 중 롯데카드를 비롯해 하나카드(-11.8%)와 현대카드(-10.5%)만 정보보호 예산이 줄었다. 반면 KB국민카드는 올해 정보보호 예산을 330억원으로 지난해 204억원보다 61.8% 늘렸다. 삼성카드(26.4%), 우리카드(11.5%), 신한카드(10.4%) 등도 정보보호 예산을 늘렸다.
MBK는 예산액 증액과 더불어 정보보호 내부 인력도 증원했다고 해명했다. 그러나 정보보호 인력 비율로만 따지면 오히려 줄었다. 2020년 롯데카드의 정보기술(IT) 전체 인력은 74명, 이 중 정보보호 인력은 20명으로 27%가 정보보호 인력이었다. 올해 6월 기준 롯데카드의 전체 IT 인력은 226명, 정보보호 인력은 35명으로 15%에 불과하다. 롯데카드의 IT 임원 역시 3명으로 전체 임원(45명)의 7% 수준으로 8개 전업 카드사 중 최하위권이다.
MBK의 적극적인 해명에도 고도의 보안 역량이 필요한 카드사의 관리 허점이 드러나면서 책임론을 피하기는 어려워 보인다. 특히 롯데카드의 정보보호 투자 비중 또한 MBK의 첫 매각 시도와 맞물려 감소했다. 롯데카드의 지속가능경영보고서에 따르면 IT 예산 대비 정보보호 투자 비율은 2021년 12%에서 2022년 10%, 2023년 8%까지 내려왔다.
MBK는 2019년 5월에 롯데카드를 인수, 2022년에 첫 매각을 시도하고 올해에도 몸값을 낮추면서까지 매각을 시도하고 있다. 정보보호 투자 비중이 꺾이기 시작한 변곡점과 일치한다. 책임론이 불거지면서 김병주 MBK 회장은 오는 24일 국회 과학기술정보방송통신위원회의 통신·금융사 대규모 해킹 사건 청문회 증인으로 채택됐다.
금융 당국 또한 이번 사태에 대해 최고 수준의 제재를 예고했다. 롯데카드의 영업 정지를 포함한 중징계가 예상되는 상황에서 MBK와 롯데카드 경영진 모두 책임을 피할 수 없을 것으로 보인다. 카드업계에서는 사모펀드가 단기 수익 극대화를 위해 보안 투자와 같은 비용을 축소하는 경향이 있을 수 있다는 지적이 나온다.
김상훈 의원은 "수백만 명의 금융정보가 유출된 것은 결국 보안 투자를 줄여온 경영진의 선택에서 비롯된 참사"라며 "MBK와 롯데카드는 책임 회피가 아니라 보안 투자 확대와 경영 구조의 근본적 전환으로 답해야 한다"고 했다.