[서울파이낸스 박영선 기자] 롯데카드 해킹 사고에 대해 정부가 '일벌백계' 중징계 방침을 예고하면서 카드업계가 바짝 긴장하고 있다.
이번 사태로 인한 불똥이 업계 전반으로 튈 수 있어서다. 특히 보안 투자 및 관리 소홀의 문제가 업계 전반에 만연한 문제로 드러날 경우 그 파장은 일파만파 커질 수밖에 없다.
23일 국민의힘 강민국 의원실이 금융감독원에서 제출 받은 자료에 따르면 롯데카드의 올해 정보보호(인건비 제외) 예산은 96억5600만원으로, 정보기술(IT) 예산(1078억4400만원) 중 9.0%를 차지했다.
이는 2020년 IT 대비 정보보호 예산 비중인 14.2%에서 5.2%포인트(p) 급감한 것인데, 정보보호 예산 비중의 하락 폭은 8개 전업 카드사 중 롯데카드가 가장 컸다는 게 강민국 의원실 설명이다.
조좌진 롯데카드 대표는 지난 19일 대고객 사과 기자회견 자리에서 "2019년 IT부문 투자 중 정보보안에 투입된 금액은 71억원, 내부인력은 19명이었으나 올해에는 128억원, 내부인력 30명으로 두 배 가까이 늘었다"며 MBK파트너스 인수 이후 보안 투자를 축소하지 않았다고 해명했으나, 실제 집계된 통계에서는 다른 양상을 보였다.
롯데카드는 "해당 수치는 인건비를 제외한 예산 편성 기준이며, 자사가 제공한 수치는 인건비를 포함한 실제 집행 기준"이라며 "정보보호는 장비나 시스템뿐만 아니라, 이를 운영하는 전문 인력도 중요하다고 판단했다"고 설명했다.
일각에서는 MBK파트너스가 2019년 롯데카드를 인수한 이후 단기 수익에만 매몰된 나머지 정보보호 투자를 소홀히 했다는 비판이 거세지고 있다. MBK파트너스는 홈플러스 사태와 롯데카드 해킹사태가 잇달아 터지면서 '매각가 불리기'에 급급한 나머지 기업 본질을 훼손시켰다는 지적을 받고 있다.
특히 이번 해킹사고는 고객 상당수의 CVC까지 유출되면서 부정거래 확률이 높은 상태다. 고객 정보가 유출된 전체 고객 297만명 중 28만명이 카드번호·비밀번호(2자리)·유효기간·CVC와 함께 CI·주민번호·생년월일·전화번호가 유출됐다.
롯데카드 측은 이로 인해 현재까지 발생한 2차 피해는 없다고 밝히면서, 이 중 66%인 18만4000명이 카드를 재발급하거나 비밀번호를 변경해 리스크를 방어했다고 전했다.
다만 최근 이커머스 시장이 크게 확장되면서 카드번호와 CVC만 있으면 결제 가능하기 때문에 완벽한 대응에는 한계가 있다는 지적도 나온다.
CVC가 유출되지 않은 고객의 불안감도 커지는 분위기다. 당초 롯데카드는 지난 1일 해킹 사고로 인한 정보 유출 규모를 1.7GB(기가바이트)라고 발표했으나, 당국 조사를 통해 200GB가 유출된 것으로 밝혀지면서 또 한번 신뢰의 금이 간 상태다.
이에 롯데카드 해킹 피해자들이 모인 '롯데카드 개인정보유출 집단소송카페'는 롯데카드를 상대로 소송을 준비 중이다. 앞서 롯데카드는 2013년에도 정보 유출 사건이 발생했는데, 2019년 대법원은 당시 소송에 참여한 3677명에게 위자료 10만원을 지급하라는 판결을 내린 바 있다.
상황이 이렇다 보니 최근 보안 투자 예산을 줄인 카드사를 중심으로 긴장감이 감돌고 있다.
실제로 강 의원실에 따르면 2020년부터 올해까지 국민카드(+4.6%p)·현대카드(+2.1%p)·하나카드(+0.4%p)는 정보보안 예산 비중이 늘어난 반면, 우리카드(-4.4%p)·신한카드(-0.7%p)·비씨카드(-1.3%p)·삼성카드(-3.0%p)는 줄어든 것으로 드러났다.
책정된 예산도 오롯이 집행되지 않은 것으로 나타났다. 2020년부터 작년까지 5년동안 8개 전업 카드사가 책정한 예산(4540억7700만원) 중 실제 투입된 금액은 3747억8800만원으로 82.5% 수준이다.
서지용 상명대 경영학과 교수는 "롯데카드는 유통 카드사다보니 금융거래가 많지 않아 보안 투자가 크지 않았던 것으로 보인다"며 "또 MBK파트너스가 대체적으로 매각에 집중하다보니 고객 유치 투자도 취약해진 것으로 읽힌다"고 밝혔다.
이어 "유출 고객 10%의 CVC가 유출, 중장기적으로 우발채무 발생 우려가 있어 기업 가치 측면에서도 타격이 있을 것"이라며 "보안 문제는 카드사 신뢰도로 직결돼 고객 이탈 가능성이 크다. 보안 시스템을 옵션이 아닌 필수 요건으로 인식할 필요가 있다"고 덧붙였다.
한편 당국은 이날 금융권 정보보호책임자(CISO)를 불러 전사적 차원에서 보안 체계를 전수 점검하라고 주문했다. 권대영 부위원장은 "보안 체계에 대해 과하다고 생각될 정도로 빈틈없이 점검하고 보완할 필요가 있다"며 "회사 부주의로 침해사고가 발생할 경우 조사를 통해 엄정 제재하겠다"고 경고했다.
- 권대영 "CEO가 책임지고 보안역량 강화"
- 미운털 박힐라···금융사, 소비자 보호 재정비 '분주'
- KT·롯데카드 사태에 정부 칼 빼들었다···직권조사·징벌적 과징금 도입
- 금융위, 롯데카드 사태 긴급 대책회의···"일벌백계·제도개선 착수"
- 롯데카드, 297만명 정보유출···조좌진 "전액 보상·인적쇄신 약속"
- 롯데카드 해킹 사고 피해 '눈덩이'··· 대국민 사과·보상책 발표 임박
- 여전사 CEO 만난 이찬진 "정보보호 의무 위반 시 책임 물을 것"
- 조좌진 롯데카드 대표 "사이버 침해 사고 피해 전액 보상"
- 롯데카드, 개인정보 유출 관련 문의 24시간 응대
- 국정감사 앞둔 유통·식음료업계 긴장 고조···'불공정' 이슈 점검
- 임기 만료 코앞인데···차기 여신협회장 인선 '오리무중'
- 업황 불황에 건전성관리·상생금융·부안부담까지···카드사 '사면초가'
- 롯데카드 "개인정보 유출된 고객 28만명 카드 재발급 완료"
- [국감] 여야 롯데카드 해킹사고 질타···조좌진 "연내 보안 투자계획 보고"
![[광명소식] 보건복지부 '그냥드림' 시범사업장 선정 등](https://cdn.seoulfn.com/news/thumbnail/custom/20251126/613704_413206_721_1764122841_220.jpg)
