롯데카드가 대규모 해킹사고에 휘말리면서 조좌진 대표의 리더십이 도마 위에 올랐다. 올해 초 3연임에 성공하며 장기 집권 체제를 굳힌 조 대표였지만 이번 사태로 그간의 성과에 먹구름이 드리워졌다./사진=롯데카드


롯데카드가 대규모 해킹사고에 휘말리면서 조좌진 대표의 리더십이 도마 위에 올랐다. 올해 초 3연임에 성공하며 장기 집권 체제를 굳힌 조 대표였지만 이번 사태로 그간의 성과에 먹구름이 드리워졌다.


18일 금융권에 따르면 조좌진 롯데카드 대표는 2019년 5월 롯데카드가 MBK파트너스에 매각된 직후인 2020년부터 현재까지 임기를 이어오고 있다. 두 차례 연임을 통해 6년간 경영을 책임졌으며 조 대표에게 주어진 특명은 롯데카드 매각 성공을 위해 경영의 내실을 다지는 것이었다.

이듬해 당기순이익으로 1307억원, 이후 2021년 2414억원, 2022년 2539억원, 2023년 3748억원의 당기순이익을 내며 상승세를 이었지만 지난해 1354억원의 순이익을 거두면서 실적이 매각 직후 수준까지 뒷걸음질쳤다.


지속된 수수료율 인하로 수익성에 타격이 불가피한 가운데 숙원사업인 매각, 아울러 해킹 사태 수습과 소비자 신뢰 회복이라는 과제까지 겹치면서 조 대표의 리더십이 중대한 시험대에 올랐다는 평가다.

특히 롯데카드는 그동안 수익성 방어와 사업 외형 확대에 주력하면서 정보보호 관련 투자는 상대적으로 뒷전으로 밀려왔다는 지적을 받아왔다. 단기 실적을 끌어올리는 데는 성과를 거뒀지만 장기적인 관점에서 고객 데이터 안전망을 강화하는 투자에는 소극적이었다는 것이다.
표=롯데카드 ESG 지속가능경영보고서


실제로 '롯데카드 2024 지속가능경영보고서'에 따르면 롯데카드의 전체 정보기술(IT) 예산 대비 정보보호 투자가 차지하는 비중은 ▲2021년 12% ▲2022년 10% ▲2023년 8%로 줄었다.


특히 롯데카드는 조좌진 대표를 포함한 내부 임직원, 파견직 근로자, 콜센터 상담원, 카드모집인을 대상으로 매년 정보보호 교육을 실시해 왔다. 하지만 실제 보안 시스템 강화나 인프라 확충으로 이어지지 못하면서 이번 사태를 막기에는 역부족이었다는 지적이 제기된다.

금융당국도 예의주시 중이다. 이찬진 금융감독원장은 지난 16일 카드사, 캐피탈사 등 여신전문금융회사 대표들과 만난 자리에서 "안전성에 대한 신뢰를 잃는다면 현재 여전사의 기능은 대체될 수 있으며 업권의 존립이 위협받게 될 것"이라며 롯데카드를 겨냥한 발언을 했다.


특히 그는 "비용절감을 통한 단기 실적에만 치중한 반면, 정보보안을 위한 장기 투자에는 소홀한 결과는 아닌지 뒤돌아봐야 한다"며 쓴 소리를 이었다.

현행 여신전문금융업법 시행령에 따르면 신용카드업자가 개인정보유출 등 신용질서를 어지럽히거나 소비자 보호에 미흡할 경우 최대 영업정지 6개월의 제재를 받을 수 있다. 이 기간 신용·체크카드 회원을 신규로 모집할 수 없고 별도 부수 업무도 금지된다.

금감원의 현장검사 결과에 따라 최고 수준의 징계도 받을 것으로도 예측된다. 제재심의위원회에서 금융기관에 대한 제재는 기관주의, 기관경고, 영업정지 등으로 나뉘며 기관경고 이상을 중징계로 본다.

논란이 커지자 롯데카드는 향후 5년간 1100억원의 정보보호 관련 투자를 집행하겠다며 현재의 전사 IT 시스템 인프라를 정보보호 중심으로 전면적으로 뜯어 고치겠다는 입장을 밝혔다.

조 대표는 이날 오후 서울 중구 부영태평빌딩 1층 컨벤션홀에서 진행된 언론 브리핑 자리에서 "현재의 기능 중심 조직을 고객 중심·고객가치 중심·고객보호 중심으로 전환하고 대대적인 인적 쇄신을 연말까지 완료하겠다"고 밝혔다.

이와 함께 자체 보안관제 체계를 구축해 24시간 실시간 통합 관제를 강화하고, 전담 레드팀을 신설해 해커 침입을 가정한 모의훈련을 상시화하겠다고 밝혔다.

조 대표는 "고객 피해를 제로화하고 고객분들의 불편을 최소화하는 임무가 제가 롯데카드 대표이사로서의 마지막 책무라는 결연한 마음가짐으로 최선을 다하겠다"고 약속했다.