롯데카드 해킹 사태 ‘MBK 책임론’ 불가피, 인력 역량 부재로 드러난 보안 취약성

MBK-금감원, 롯데카드 보안예산 두고 갑론을박
금감원 "정보보호 예산 편성액 151억→128억 감소"
관건은 '투자 규모' 아닌 '내실'

297만 명의 회원 정보가 유출된 롯데카드 해킹 사고와 관련해 대주주인 MBK파트너스와 금융감독원이 롯데카드의 보안 예산을 두고 서로 다른 수치를 내놓으며 충돌하고 있다. MBK는 매년 보안 투자를 확대해 왔다고 주장하지만, 금감원 자료상으로는 올해 정보보호 예산이 작년보다 줄어든 것으로 나타났다. 다만 업계에선 이번 공방의 핵심은 예산 증액 여부보다는 실제 투입된 인력의 전문성과 역량 수준에 있다는 목소리가 나온다. 상당한 비용이 집행됐음에도 대규모 보안 사고가 발생했다는 것은 인적 자원의 운용과 질적 내실이 취약했음을 방증한다는 지적이다.

MBK "보안 예산 늘렸다" vs 금감원 "작년보다 감소"

23일 국민의힘 김상훈 의원실이 금감원으로부터 보고받은 '8개 전업카드사(롯데·BC·삼성·신한·우리·하나·현대·KB국민카드) 예산및 정보보호 예산' 내역에 따르면, 롯데카드가 금감원에서 보고한 2024년 정보보호(보안) 예산은 151억4,600만원이며 2025년 예산은 128억1,000만원으로 나타났다. 이는 앞서 MBK가 밝힌 내용과 배치된다.

주목되는 것은 롯데카드가 금감원에 보고한 2024년 예산이다. 금감원 자료는 151억4,600만원인 데 반해 MBK 측이 밝힌 예산은 117억원으로, 큰 차이가 난다. 금감원이 공개한 롯데카드의 보안투자 금액은 2022년(114억8,000만원), 2023년(124억1,900만원), 2024년(151억4,600만원), 2025년(128억1,000만원) 이다. 작년보다 올해 23억원가량이 감소한 수치다.

반면 MBK가 공개한 롯데카드 보안투자 금액은 2022년(88억5,000만원), 2023년(115억원), 2024년(117억원), 2025년(128억1,000만원)이다. 2024년과 비교해 올해 보안 투자가 11억원이 늘었다. MBK 측은 이를 근거로 롯데카드가 매년 보안투자를 늘려왔으며, 보안 투자에 소홀했다는 일각의 책임론 지적은 부당하다는 점을 강조했다.

숫자 늘었을지 몰라도 보안 수준은 최저

하지만 시장에서는 이 같은 MBK의 해명은 설득력이 떨어진다는 평가가 많다. 업계 일각에서는 MBK가 인건비나 외주 비용을 억지로 끌어다 포함시켜 투자 규모가 늘었다는 착시를 주려는 게 아니냐는 의혹까지 제기되는 상태다. 실제 MBK는 예산액 증액과 더불어 정보보호 내부 인력도 증원했다고 해명했으나, 정보보호 인력 비율로만 따지면 오히려 줄었다. 2020년 롯데카드의 정보기술(IT) 전체 인력은 74명, 이 중 정보보호 인력은 20명으로 27%가 정보보호 인력이었다. 올해 6월 기준 롯데카드의 전체 IT 인력은 226명, 정보보호 인력은 35명으로 15%에 불과하다. 롯데카드의 IT 임원 역시 3명으로 전체 임원(45명)의 7% 수준으로 8개 전업 카드사 중 최하위권이다.

MBK의 적극적인 해명에도 고도의 보안 역량이 필요한 카드사의 관리 허점이 드러나면서 책임론을 피하기는 어려워 보인다. 특히 롯데카드의 정보보호 투자 비중 또한 MBK의 첫 매각 시도와 맞물려 감소했다. 롯데카드의 지속가능경영보고서에 따르면 IT 예산 대비 정보보호 투자 비율은 2021년 12%에서 2022년 10%, 2023년 8%까지 내려왔다. MBK는 2019년 5월에 롯데카드를 인수, 2022년에 첫 매각을 시도하고 올해에도 몸값을 낮추면서까지 매각을 시도하고 있다. 정보보호 투자 비중이 꺾이기 시작한 변곡점과 일치한다.

비판은 홈플러스 사례와 맞물려 더욱 거세다. MBK는 2015년 홈플러스를 인수한 뒤 핵심 경쟁력을 키우기보다 부동산 자산 매각 등으로 엑시트(투자금 회수)했다는 지적을 받아왔다. 결국 홈플러스는 회생 절차에 들어갔고, 이번 롯데카드 사태 역시 '투자 회수 우선, 본업은 뒷전'이라는 MBK식 경영의 부작용이라는 분석이 설득력을 얻고 있다. 결국 관건은 '투자 규모'가 아니라 '투자 방향과 내실'에 있다는 게 업계 목소리다. 보안 투자 확대를 주장하는 MBK의 설명에도 불구하고, 실제로 고객 데이터가 유출된 현실은 부인할 수 없다. 숫자는 늘었을지 몰라도 보안 수준은 최하 수준이라는 지적이 나오는 이유다.

현대·신한·비씨, 보안 예산·인력 롯데카드보다도 낮아

이는 롯데카드에만 국한된 일이 아니다. 금감원에 따르면 올해 상반기 기준 8개 카드사 중 연결 영업수익 대비 정보보호 예산 비율이 롯데카드보다 낮은 카드사는 3곳으로 집계됐다. 전체 직원 중 정보보호 인력이 차지하는 비중이 롯데카드보다 미흡한 카드사 역시 3곳이었다. 올해 상반기 연결 영업수익 대비 정보보호 예산(연간 편성액 기준)의 비율을 구한 결과 롯데카드는 0.8%로 8개 카드사 중 다섯 번째로 높은 수치를 보였는데, 롯데카드를 앞서는 카드사는 KB국민카드(1.51%), 우리카드(1.13%), 하나카드(1.01%), 삼성카드(0.89%) 순이었다. 현대카드(0.65%), 신한카드(0.56%), 비씨카드(0.53%)는 롯데카드보다 낮았다.

8개 카드사 합산 정보보호 예산은 2023년 1,127억원에서 지난해 1,174억원, 올해 상반기 1,327억원으로 꾸준히 상승세를 보이고 있지만, 예산 '역주행' 중인 카드사도 있었다. 롯데카드는 지난해 예산 편성액 151억원에서 올해 128억원으로 15.2% 감소했고, 현대카드는 지난해 153억원에서 올해 138억원으로, 하나카드는 지난해 128억원에서 올해 113억원으로 예산 편성액이 감소한 것으로 나타났다. 정보보호 인력을 줄인 카드사도 두 곳이나 있었다. KB국민카드는 지난해 정보보호 인력 35명에서 올해 상반기 기준 32명으로 3명 감소했고, 하나카드는 2023년 12명에서 1명 줄어 2024년부터 지금까지 11명으로 정보보호 업무를 진행하고 있다.

아울러 8개 카드사의 전체 직원(정규직 근로자와 기간제 근로자를 합친 수) 중 정보보호 인력 비중을 구한 결과, 삼성카드(2.00%), 신한카드와 하나카드는 1.53%로 롯데카드를 밑돌았다. 최근 카드사들이 정보보호 예산·인력을 확충하는 추세긴 하지만, 업계에선 사상 초유의 해킹 사고가 벌어진 만큼 정보보호 관련 예산과 인력이 더 많이 투입돼야 한다는 목소리가 나온다. 한 금융권 관계자는 이번 사고로 정보 보안을 위한 더 많은 투자가 필요하다는 사실을 증명한 것이라고 꼬집었다. 이어 "최근 사이버 침해 사례가 다양한 방식으로 지능화되고 있어 관련 투자와 인력 규모는 커져야 한다"며 "보안 관련 문제는 인력과 보안 솔루션에 더 많은 비용을 투입하는 것이 중요하다"고 강조했다.