롯데카드 297만 명 정보 털렸다…‘대주주’ MBK 책임론 대두

당초 신고보다 100배 넘는 데이터 유출…정부 제재 불가피
보안 예산, 3년 새 14.7%↓…매각 위해 수익성에만 치중했나

(시사저널=허인회 기자)

롯데카드의 '해킹 사고'로 인해 297만 명의 회원 정보가 유출된 것으로 확인됐다. 사진은 서울 종로구 롯데카드 본사 모습 ⓒ연합뉴스

960만여 명의 회원을 보유한 롯데카드의 해킹 사고 피해 규모가 눈덩이처럼 커졌다. 금융당국의 검사 결과 297만 명의 회원 정보가 유출된 것으로 확인됐다. 전체의 약 3분의 1에 가까운 회원 정보가 유출된 셈이다. 롯데카드는 부정 사용에 대해 전액 보상하겠다는 입장이지만 향후 정부 제재와 함께 대규모 고객 이탈은 불가피하다는 전망이다. 동시에 대주주인 'MBK 책임론'도 커지고 있다. 롯데카드를 인수한 MBK파트너스가 수익 극대화를 치중하면서 보안 예산을 줄였다는 비판에 직면한 상황이다.

조좌진 롯데카드 대표는 18일 기자회견을 열고 "해킹 공격 피해 조사 결과 297만 명의 회원 정보가 유출된 것으로 확인했다"며 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"고 사과했다.

조 대표는 "금융감독원과 금융보안원의 현장조사 결과 200기가바이트(GB) 분량의 데이터가 반출된 정황이 발견됐다"며 "온라인 결제 서버에 국한해서 발생했다"고 밝혔다. 당초 롯데카드는 금감원에 유출 데이터 규모가 1.7GB 수준이라고 보고했지만, 실제로는 100배 넘는 데이터가 빠져나간 것이다. 유출된 정보는 △주민등록번호 △연계 정보(CI) △가상 결제코드 △내부 식별번호 등이다.

롯데카드는 전체 유출 고객 중 카드 부정 사용으로 이어질 가능성이 있는 고객은 총 28만 명으로 추정했다. 해당 고객들은 지난 7월22일과 8월27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 이들이다. 이들의 카드번호, 유효기간, CVC번호 등이 유출됐다.

조 대표는 "정보 유출은 온라인 결제 서버에 국한해 발생했다. 오프라인 결제와는 전혀 무관하다"며 "이번 사고로 발생한 피해에 대해선 롯데카드가 책임지고 피해액 전액을 보상하겠다. 2차 피해도 연관성이 확인되면 전액 보상할 것"이라고 말했다.

롯데카드는 부정 사용 위험에 노출된 28만 명에게 우선적으로 카드 재발급 조치를 취하기로 했다. 나머지 269만 명의 경우 일부 항목만 제한적으로 유출된 탓에 부정 사용 발생 가능성은 없다는 것이 롯데카드의 설명이다.

뒤늦은 사고 인지와 피해 규모 파악에도 실패하며 사태를 키웠다는 점에서 롯데카드를 향한 비판의 목소리는 커지고 있다. 최초 해킹 시도는 8월14일이었다. 이튿날까지 이틀 동안 내부 파일이 외부로 두 차례 반출됐다. 하지만 롯데카드는 8월31일에서야 해킹을 인지했다. 사고 발생 17일이 지나서야 사태를 파악한 셈이다. 빠르게 사고를 인지해 카드 재발급 등의 조치를 취했다면 개인정보 유출 등의 피해를 막을 수도 있었을 것이란 비판이 나오는 이유다.

당국의 제재도 불가피할 것으로 보인다. 이재명 대통령은 9월4일 수석보좌관회의에서 "보안 사고를 반복하는 기업들에 대해서는 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속하게 준비해 주시기 바란다"고 주문했다. 불과 3일 전 해킹 사실을 신고한 롯데카드를 겨냥한 발언으로 해석됐다.

이찬진 금감원장 역시 9월16일 여신금융업권 최고경영자(CEO)들과 간담회에서 "비용 절감을 통한 단기 실적에만 치중한 반면 보안을 위한 장기 투자를 소홀히 한 결과는 아닌지 되돌아봐야 한다"며 "위반사례에 대해서는 엄정하고 무거운 책임을 물을 것"이라고 밝혔다.

롯데카드가 과거 개인정보 유출 사례가 있었다는 점에서 제재 수위는 한층 높아질 것이란 전망이다. 롯데카드는 2014년 부정사용방지시스템(FDS) 구축 과정에서 용역업체 직원에 의해 2600만 명의 개인정보가 유출된 바 있다. 당시 당국은 3개월간 신용·체크카드 신규 모집과 발급을 제한하는 일부 업무정지 조치 제재를 내렸다. 11년 만에 또다시 보안에 구멍에 뚫린 셈이다. 특히 정보 유출이 발생한 결제관리 서버는 약 10년 전 취약점이 발견돼 대부분 금융사가 보안 패치를 설치한 것인데 롯데카드는 이를 적용하지 않아 해킹 공격에 그대로 노출된 것으로 전해지면서 고강도 제재가 불가피하다는 관측이다.

조좌진 롯데카드 대표이사 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. ⓒ연합뉴스

IT 예산 축소 나비효과?…매각 전선 빨간불

롯데카드의 매각을 추진하고 있는 최대주주 MBK가 수익 극대화에 치중하면서 보안 투자를 소홀히 한 것 아니냐는 지적도 나온다. 롯데그룹은 지주사 전환 및 금산분리법에 따라 롯데카드를 2019년 MBK파트너스 컨소시엄에 매각했다. 당시 MBK는 우리은행과 컨소시엄을 구성해 롯데카드 지분 79.83%를 1조3800억원에 인수했고, 2022년 3조원에 매각을 시도했으나 무산됐다. 현재 몸값을 2조원으로 낮추고 재차 매각에 나선 상태지만 인수 희망자는 나타나지 않고 있다.

이런 상황에서 MBK가 매각에만 열을 올리면서 수익성 확대에만 치중했다는 분석도 나온다. 윤한홍 국민의힘 의원실이 금융감독원으로부터 제출받은 자료에 따르면, 지난해 말 롯데카드의 네트워크 보안 관련 지출은 116억원으로 집계됐다. 이는 2022년 말(114억원)보다는 1.7% 늘어난 수준이지만, 2021년(137억원)과 비교하면 14.7% 줄어든 수치다.

실제로 '롯데카드 2024 지속가능경영보고서'에 따르면, 롯데카드의 전체 정보기술(IT) 예산 대비 정보보호 투자가 차지하는 비중은 △2021년 12% △2022년 10% △2023년 8%로 줄었다. MBK 소속 이사가 정보보호 관련 사항을 의결하기 위해 열린 이사회에 불참한 사실까지 확인됐다.

이를 의식한 듯 조 대표는 이날 기자회견에서 "향후 5년간 1100억원의 정보보호 관련 투자를 집행하고, IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다"고 밝혔다.

카드업계에선 MBK의 엑시트(투자금 회수)가 이번에도 쉽지 않을 것이라고 보고 있다. 인수자가 마땅치 않은 상황에서 해킹 사고라는 겹악재가 터지면서 대규모 고객 이탈로 인한 수익성 악화가 예상되기 때문이다.