MBK “보안 강화” 주장 vs 국회 “투자 축소” 지적...엇갈린 롯데카드 해명

[중앙이코노미뉴스 윤남웅] 롯데카드에서 약 300만 명의 고객 정보가 유출되는 대규모 해킹 사고가 발생하자, 최대주주인 사모펀드 MBK파트너스가 “정보보안과 IT 투자를 꾸준히 늘려왔다”고 해명했다.

그러나 금융감독원과 국회에서 공개한 자료가 이와 상반된 내용을 담고 있어, MBK의 해명이 사실과 다른 것 아니냐는 논란이 커지고 있다.

지난 22일 국회 정무위원회 김상훈 국민의힘 의원실이 금융감독원을 통해 받은 '전업 카드사 총예산 및 정보보호 예산 현황(연간 편성액 기준)'에 따르면 롯데카드의 올해 정보보호 예산 편성액은 128억 원으로 지난해 151억 원과 비교해 15.2% 줄었다. KB국민카드와 삼성카드, 우리카드, 신한카드 등이 일제히 관련 예산을 늘린 것과 대비된다. 

언론 등에서 롯데카드의 보완 관리 허술과 정보보안 예산 축소 가능성 등에 대한 지적이 잇따르자, MBK는 지난 21일 보도자료를 내고 롯데카드의 보안투자는 올해 약 128억 원으로 지난해(117억 원)와 비교해 증가했다고 해명한 바 있다.

하지만 국회 김상훈 의원실이 금융감독원으로부터 입수한 자료에 따르면 롯데카드 보안투자는 올해 수십억 원 감소한 것으로 나타났다. MBK가 롯데카드 보안투자 추이에 대해 거짓 해명을 내놓은 게 아니냐는 논란이 불거지는 배경이다.        

MBK가 롯데카드의 정보보호 내부 인력을 증원했다고 한 해명을 두고도 비판의 목소리가 제기된다. 22일 금융감독원이 국회 정무위원회 소속 김용만 더불어민주당 의원에게 낸 자료에 따르면 지난해 롯데카드의 정보기술(IT) 부문 총인력 대비 정보보호 인력 비중은 2022년 24.6%에서 지난해 13.3%로 11.3%포인트 급락했다.

롯데카드의 IT 대비 정보보호 예산 비중도 2021년 12%에서 2023년 8%로 낮아졌다. 지난해 수치는 아직 공개되지 않았다. 롯데카드 IT 임원 역시 3명으로 전체 임원(45명)의 7% 수준으로 8개 전업 카드사 중 최하위권이다. 전체 카드업권의 IT 임원 비중은 11% 수준이다.      

보안 투자와 인력, 비중 등을 놓고 논란이 이어지면서 오는 24일 국회 과학기술정보방송통신위원회가 여는 청문회에서 의원들의 질의가 쏟아질 것으로 보인다. 현재 MBK 김병주 회장과 롯데카드 조좌진 대표가 증인으로 채택됐으며, 앞서 홈플러스 기업회생 사태 당시 국회 긴급 현안질의에 불참했던 김 회장의 출석 여부에 관심이 집중되고 있다.      

이런 가운데 ESG 평가기관 서스틴베스트는 ‘정보보호’ 사안에서 심각성이 중대하다고 판단하며 롯데카드에 대한 ESG 평가 감점이 불가피하다고 밝혔다. 이날 서스틴베스트는 컨트로버시 보고서를 통해 롯데카드 사건에 대해 심각성 ‘상’으로 평가했다. 감점으로 인해 등급하락 가능성이 높다는 얘기다.          

서스틴베스트는 매년 상·하반기 기업의 ESG 등급을 발표하며 사회적 논란이 된 사건은 ‘컨트로버시(Controversy)’ 평가를 통해 반영한다. 사건은 심각도(Level 1~5)로 구분되며, Level 5(심각성 ‘상’)으로 분류되면 기업 전체 등급에 큰 영향을 미친다.    

금융 당국도 이번 롯데카드 고객정보 유출 사태에 대해 최고 수준의 제재를 예고했다. 영업 정지를 포함한 중징계가 나올 수 있다는 관측이 제기되는 가운데 롯데카드 경영진을 넘어 MBK 역시 책임을 피하기는 쉽지 않을 것이라는 전망이 나온다.