롯데카드의 대주주인 MBK파트너스가 개인정보 유출 사고에 대한 책임을 부인하면서 정보보호에 꾸준히 투자해왔다고 주장하고 있으나, 실제 예산 비중은 최근 5년간 크게 줄어든 것으로 나타났다.
국회 강민국 의원실이 금융감독원을 통해 제출받은 자료에 따르면, 롯데카드의 2025년 정보보호 예산은 인건비를 제외하고 96억 5천600만 원으로, 전체 IT 예산 1천78억 4천400만 원의 9.0%에 해당하는 수준이었다. 이는 2020년 14.2%와 비교하면 5.2%포인트 하락한 수치로, 동종 업계 가운데 가장 큰 감소 폭을 기록했다. 정보보호 투자 확대가 많은 기업들의 중점 과제로 떠오른 가운데 해당 지표는 롯데카드의 전략에 대한 의문을 불러일으키고 있다.
특히 같은 기간에 국민카드, 현대카드, 하나카드 등 주요 카드사들은 정보보호 예산 비중을 오히려 늘렸으며, 우리카드와 신한카드 등 일부 감소한 기업들도 롯데카드ほど의 축소는 나타나지 않았다. 이는 2019년 MBK파트너스가 롯데카드를 인수한 이후 정보보호보다 수익성 중심의 경영 기조가 영향을 미친 것 아니냐는 비판으로 이어지고 있다.
이번 해킹 사고는 롯데카드가 2017년 발견된 온라인 결제 시스템의 보안 취약점을 수년간 해결하지 않은 것이 원인으로 지목된다. 조좌진 롯데카드 대표 역시 해당 보안 패치 적용을 소홀히 했다고 인정한 바 있다. MBK파트너스 윤종하 부회장은 국회 간담회에 참석해 “보안 강화에 충분히 투자했다고 생각했지만 사고가 발생한 만큼 계획이 부족했다는 점을 인정한다”고 밝혔다.
한편 금융당국은 이번 사고를 계기로 징벌적 과징금 제도를 도입하는 방안을 검토하고 있으며, 대통령이 반복적인 보안 사고에 엄중히 대응하라는 지시를 내린 만큼, 롯데카드는 중징계와 함께 최고 800억 원 수준의 과징금을 받을 가능성이 제기되고 있다. 이와 함께 피해자들의 집단소송 움직임도 확대되고 있어 기업 이미지에 적지 않은 타격이 우려된다.
향후 이 같은 흐름은 금융권 전반의 정보보호 투자 기준을 다시 설정하는 계기로 이어질 수 있다. 일부에서는 현행 전자금융거래법의 하위 규정을 대폭 개정해, 정보보호 기준을 법적으로 명문화해야 한다는 목소리도 커지고 있다. 정보기술의 발달과 함께 정보 유출 사고의 사회적 비용이 커지는 지금, 기업과 정부 모두 보다 근본적인 대책이 필요하다는 지적이 따른다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>