[취재] MBK "사실과 다르다“ 롯데카드 해킹 책임론 반박...책임론 수그러들까

[컨슈머와이드-전휴성 기자] 롯데카드 해킹 사고로 불거진 MBK 파트너스(이하 MBK)의 보안 투자 및 관리 소홀 지적과 관련, MBK가 의혹을 정면으로 반박했다. 롯데카드는 매년 정보보안 및 IT 투자를 꾸준히 확대해 왔다는 것이다. 이 같은 MBK 주장에도 보안 투자 및 관리 소홀 지적이 수그러들지는 지켜볼 일이다.

지난 18일 오후 1시 30분 부영태평빌딩 1층 컨벤션홀에서 진행된 긴급 기자회견에서 롯데카드 조좌진 대표는 “ MBK 파트너스가 롯데카드를 인수한 것이 2019년 10월이다. 그 당시에 정보보호 관련된 투자 금액이 71억 원이었다. 제가 2020년 3월 30일에 대표로 취임했다. 2020년 내부 정비 작업 시기를 거쳐 2021년에 137억 원을 투자했다. 2022년 88억 원, 2023년 114억 원, 2024년 116억 원, 올해 128억 원 등 정보보호와 관련되는 투자를 지속적으로 확대하고 있다”면서 “인력 같은 경우에도 최초 15명에서 지금은 30명으로 4년 사이에 2배가 늘었다. 상당히 높은 관심과 투자와 노력을 나름대로는 했었다. 그러나 이와 같은 노력이 이번 침해 사태를 막을 만큼의 충분했느냐는 부분에 대해서 반성의 여지가 너무나 많이 남고 결국 그 부분에 대한 가장 큰 책임은 CEO인 저에게 있다”고 밝힌 바 있다.

그러면서 “향후 5년간 1천100억 원의 정보보호 관련 투자를 집행함으로써 IT 예상 대비 정보보호 예상 비중을 업계 최고 수준인 15%까지 확대하겠다”면서 “이를 통해 자체 보안관제 체계를 구축하고 24시간 실시간 통합 보안 관제 체계를 강화하고 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화하고, 현재의 전사 IT 시스템 인프라를 정보보호 중심으로 전면적으로 개편하겠다”고 강조했다.

이같은 조 대표의 발언에도 불구하고 좀처럼 MBK의 책임론이 수그러들지 않고 있다. 그러자 MBK가 직접 입장문을 내고 진화에 나섰다.

MBK는 “롯데카드의 주요 주주사로서 이번에 발생한 사이버 침해 사안을 매우 엄중히 받아들이고 있다”면서 “롯데카드는 현재 고객 피해 예방을 최우선 과제로 삼고 전사적 비상 대응체계를 가동해 신속한 피해 차단과 불편 최소화에 총력을 기울이고 있다. 이를 위해 고객 정보보호 강화를 위한 조치를 즉각 시행했으며, 금융 보안 수준 제고에 역량을 집중하고 있다”고 강조했다.

이어 “일각에서 이번 사이버 침해사고의 원인을 주주사들의 보안 투자 및 관리 소홀로 지적하고 있으나, 이는 사실과 다르다”면서 “롯데카드는 매년 정보보안 및 IT 투자를 꾸준히 확대해 왔다”고 불거진 책임론을 정면으로 반박했다.

아울러 “보안 투자 비용은 2019년 71억 4천만 원에서 2025년 128억 원으로 상승했다. 2019년 19명이던 정보보호 내부 인력은 올해 30명(보안 관련 외부 파트너사 인력 제외)으로 증원됐다. 2021년에는 ‘디지로카’ 전략에 따라 DR(Disaster Recovery) 구축과 백업시스템 고도화를 추진하며 보안 투자가 일시적으로 확대된 바 있다. 전체 IT비용 대비 보안 투자 비중도 10~12% 수준을 유지하고 있다”고 설명했다.

이와 함께 MBK는 롯데카드의 배당 성향에 대해서도 안정적 수준을 유지하고 있다고 강조했다.

MBK는 “MBK와 우리은행, 롯데쇼핑으로 롯데카드의 주주 변경 후, 최근 4년간 배당 성향은 20~28% 수준으로, 국내 상장기업 평균과 유사하다. 대형 금융지주사 평균 배당 성향(30% 이상)보다는 낮은 수치”라면서 “단기 수익 추구 기조를 위해 주주사들이 경영 관리를 소홀히 했다는 주장은 사실과 다르다”고 해명했다.

MBK 관계자는 컨슈머와이드의 취재에서 “롯데카드는 2020년부터 2025년까지 약 6천억 원에 달하는 IT 투자를 통해 정보보안 강화를 꾸준히 추진해 왔다. 이 가운데 보안 투자는 654억 6천만 원으로, 전체 IT 투자 대비 평균 11%를 차지한다”면서 “2020년부터 2024년까지 IT 투자 규모는 같은 기간 롯데카드 당기순이익의 약 40%에 해당하며, 총 배당액의 1.5배 수준이다. 이는 MBK를 비롯해 롯데카드의 주요 주주사들이 단기적 배당 이익보다 시스템 안정성과 고객 신뢰 확보를 우선시해 왔음을 보여주고 있다”고 밝혔다.

덧붙여 “MBK 파트너스는 롯데카드의 주요 주주사로서 보안을 금융 서비스의 핵심 가치로 삼아 고객 정보 보호와 금융 보안 수준 강화를 위해 지속적으로 투자하고자 한다”면서 “이를 통해, 롯데카드가 고객으로부터 더욱 신뢰받는 금융사로 거듭날 수 있도록 주주사로서 적극적으로 지원하겠다”고 약속했다.

한편, 롯데카드의 해킹으로 정보가 유출된 고객은 총 297만 명이다. 유출된 정보는 7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로, ▲CI(Connecting Information), ▲가상결제코드, ▲내부식별번호, ▲간편결제 서비스 종류 등으로 개인별로 유출된 정보 항목에는 차이가 있다. 이 중 28만 명은 카드번호, 유효기간, CVC 등이 유출돼 카드 부정 사용으로 이어질 가능성이 있는 것으로 확인됐다.

현재 중요한 것은 책임론도 중요하겠지만 사고 수습이다. 해킹 사고로 피해를 본 것은 소비자다. 롯데카드가 내놓은 보상안에 대해 다수가 불만을 표하고 있다. 일부 피해 소비자는 집단 소송을 준비하고 있다. 보다 현실적인 보상이 필요하다. 과연 롯데카드가 어떤 행보를 보일지 가치소비자라면 지켜볼 필요가 있다.