이 기사는 2025년 9월 24일 18시 13분 조선비즈 머니무브(MM) 사이트에 표출됐습니다.
대규모 해킹 사태를 맞은 롯데카드가 자본시장법상 공시 의무를 위반했을 가능성이 제기됐다. 최근 발행한 회사채 투자설명서에 고객정보 유출 가능성에 대해 '확인되지 않았다'로 기재했기 때문이다.
투자설명서를 제출한 직후 대규모 사과를 발표했기 때문에, 투자설명서 제출 당시에 이미 297만명 고객정보 유출을 인지했을 가능성이 있는 것이다.
24일 투자은행(IB) 업계 등에 따르면 롯데카드는 최근 제572-1회(200억원), 제572-2회(1000억원) 등 총 1700억원 규모 무기명 무보증사채(회사채)를 발행했다. 지난 16일 투자설명서를 공시했고, 이튿날인 17일 증권사 대상 공모 청약과 납입을 진행했다.
롯데카드 회사채는 대규모 해킹 사태에도 언더금리로 발행됐다. 2년 3개월 만기 회사채와 3년 만기 회사채 모두 개별민평금리 대비 약 0.02% 낮은 연 2.87~2.97% 금리에 확정됐다. 4년 만기 제572-4회 금리는 개별민평금리보다 0.03% 하향 조정됐다.
문제는 17일 회사채 청약과 납입을 진행한 직후인 18일, 대국민 사과를 발표했다는 점이다.
롯데카드와 같은 신용카드사에 고객정보 유출은 핵심 투자위험으로 꼽힌다. 당장 수백억원의 과징금 부과로 수익성이 악화하고, 고객 이탈도 이어질 수 있어서다. 회사채 흥행 여부를 가름하는 금리도 신용도 저하로 높게 책정될 가능성이 있다.
롯데카드는 회사채 청약이 진행된 17일 이미 297만명 고객정보 유출 사실을 확인했던 것으로 파악됐다. 금융위원회에 따르면 롯데카드는 금융보안원이 200GB의 정보 유출을 확인한 9월 초 개인신용정보 유출 작업에 착수해 17일 작업을 완료했다.
이는 자본시장법 위반 소지가 있다. 대규모 해킹 사태에도 회사채 발행을 단행한 것은 물론, 회사채 투자설명서에서 해킹 사태 관련 내용을 축소 기재한 것으로 드러났기 때문이다. 정정 등의 절차도 거치지 않았다.
투자설명서에는 "8월 31일 오후 12시경, 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적을 발견해 정밀 조사를 진행했다"면서 "현재까지 고객정보 등 주요 정보의 외부 유출이나 심각한 악성코드 감염은 확인되지 않았다"고 적시됐다.
9월 초 금융감독원과 금보원 조사 과정에서 정보 유출이 있었음을 확인한 것과 대조된다. 당시 금보원은 미상의 해커가 롯데카드의 결제서버(WAS)에 침입해 악성 프로그램을 설치, 8월 14일부터 27일까지 200GB 정보를 유출했다고 밝힌 상황이었다.
신용카드사가 발행하는 회사채는 자본시장법 제4조 제2항에서 정한 채무증권에 해당해 자본시장법의 적용을 받는다. 이번 해킹 피해 축소 및 미기재는 '중요사항에 관한 거짓의 기재'에 해당해 투자자 보호 의무 위반이 될 수 있다는 것이 전문가들의 지적이다.
법조계 한 관계자는 "해킹 피해를 축소해 기재한 것이 사실이라면, 중요사항의 기재 또는 표시가 누락된 문서로 재산상의 이익을 얻고자 한 행위에 해당한다"면서 "1년 이상의 유기징역 또는 회피한 손실액의 4배 이상 벌금에 처할 수 있다"고 말했다.
한편 롯데카드 최대주주 MBK파트너스는 앞서 홈플러스 사태 당시에도 중요 투자위험을 숨긴 채 자금조달에 나섰다는 비판을 받았다. 당시 MBK파트너스가 신용평가사로부터 홈플러스 신용등급 하락 가능성을 통보받은 날 홈플러스는 카드 대금 기초 전자단기사채를 발행해 불완전판매 논란이 일고 있다.