롯데카드의 정보보호 예산 비중이 최근 5년 새 급감한 것으로 나타나면서, 대주주인 사모펀드 MBK파트너스가 제기한 책임 회피 논리를 둘러싸고 비판이 커지고 있다.

23일 국회 강민국 의원실이 금융감독원에서 제출받은 자료에 따르면, 롯데카드는 2025년 기준 전체 정보기술(IT) 예산 중 정보보호 분야에 투입한 비중이 9.0% 수준에 그쳤다. 이는 2020년의 14.2%에 비해 5.2%포인트 하락한 수치인데, 이는 국내 8개 전업 카드사 중 가장 큰 감소 폭이다. 정보보호 예산은 해킹과 같은 사이버 공격을 막고 고객 정보를 보호하기 위한 자금으로, 이 비중이 줄었다는 것은 보안 인프라 강화에 대한 투자를 소홀히 했다는 의미로 해석될 수 있다.

같은 기간 다른 카드사들은 정반대의 행보를 보였다. 국민카드는 정보보호 예산 비중을 10.3%에서 14.9%로 4.6%포인트 늘렸고, 현대카드와 하나카드도 각각 2.1, 0.4%포인트 상승했다. 롯데카드와 함께 예산 비중이 감소한 카드사들도 있었지만, 롯데카드만큼 급격한 축소는 없었다. 특히, 삼성카드가 3.0%포인트 줄고 우리카드는 4.4%포인트 감소했지만, 롯데카드의 하락 폭은 이를 상회했다.

이번 논란은 최근 벌어진 고객 정보 유출 사고와 맞물려 더욱 확산되고 있다. 해킹은 2017년 발견됐던 온라인 결제 서버의 보안 취약점에 대한 적절한 패치가 이뤄지지 않아 발생한 것으로 드러났다. 조좌진 롯데카드 대표는 지난 18일 기자회견에서 "2017년에 보안 패치 안내가 있었지만 이를 놓쳤다"고 밝히며, 내부 관리 부실을 일부 인정했다.

이런 가운데 MBK파트너스는 롯데카드를 인수한 2019년 이후 정보보호 투자를 강화했다고 주장하고 있으나, 실제 수치를 보면 투자 비중은 줄고 있어 투자자가 단기 수익성에만 치중했다는 비판에서 자유롭기 어려운 상황이다.

금융당국은 이 사안을 매우 엄중히 보고 있다. 보안사고 재발 방지를 위해 징벌적 과징금 제도 도입을 검토 중이며, 이재명 대통령은 보안 리스크를 반복하는 기업에 대해 강력한 처벌을 지시한 상태다. 업계에선 롯데카드가 최대 800억 원에 달하는 과징금을 맞을 수 있다는 관측도 제기되고 있다. 여기에 피해 고객들의 집단소송 움직임도 본격화돼, 이미 5,800명 이상이 법적 대응을 위해 나섰다.

이러한 흐름은 향후 금융사들 전반에 보안 예산 재검토 압력을 가할 수 있다. 특히 정보보안 투자에 소홀한 기업에 대한 사회적, 법적 책임이 강화될 것으로 보이며, 사모펀드 운용사의 단기 재무 중심 경영방식도 도마 위에 오를 여지가 크다.