롯데카드 이사회 현황/그래픽=강지호 기


롯데카드가 해킹 공격 피해 조사 결과 297만명의 회원 정보가 유출된 것으로 나타났다. 960만명 롯데카드 전체 회원의 약 3분의 1에 가까운 회원 정보가 유출된 대형 사고다.


금융권에선 롯데카드를 인수한 MBK파트너스가 수익 극대화에 치중하면서 보안 투자를 제대로 하지 않았다는 지적이 나온다. 롯데카드 이사회에 김광일 MBK 부회장과 이진하 MBK파트너스 부사장이 상무이사로 자리하고 있으나 리스크 관리에 소홀했다는 지적이다.

조좌진 롯데카드 대표는 18일 오후 서울 중구 부영태평빌딩에서 기자회견을 열고 온라인 결제 과정에서 생성·수집된 데이터로 연계 정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등 회원 정보가 유출됐다고 밝혔다.


조 대표는 "정보 유출은 온라인 결제 서버에 국한해 발생했으며, 오프라인 결제와는 전혀 무관하다"고 설명했다. 이어 "이번 사고로 발생한 피해에 대해선 롯데카드가 책임지고 피해액 전액을 보상할 것"이라며 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 말했다.

사모펀드 대주주, IT 보안 검사 한 차례 불과… 리스크 관리 소홀

롯데카드는 2019년 MBK파트너스가 우리은행과 컨소시엄을 구성해 지분 79.8%를 약 1조3800억원에 인수했다. 2022년 3조원에 팔겠다고 내놨다가 실패했고 지난 5월 2조원으로 희망 가격을 낮췄지만 원매자는 나타나지 않았다. 현재 롯데카드의 지분은 MBK파트너스가 59.83%, 우리은행이 20%, 롯데쇼핑이 20%를 보유하고 있다.

사모펀드가 대주주로 있는 롯데카드는 단기 수익 중심 경영으로 보안 공백을 키웠다는 지적이 나온다. 금융감독원이 국회 정무위원회 강준현 의원실에 제출한 '전업카드사 IT자체감사 수행 현황'에 따르면 전업 카드사 8곳 중 롯데카드는 최근 5년간 IT보안 자체감사를 단 한 차례만 실시한 것으로 나타났다.


정보보호 예산은 2021년 137억원에서 2022년 88억원으로 약 35% 줄었고 2023년에는 110억원으로 반등한 뒤 현재까지 비슷한 수준을 유지하고 있다.

롯데카드의 정보보호와 리스크 관리를 책임지는 이사회 운영도 부실했다. 금감원에 따르면 올해 2월28일 열린 롯데카드 이사회에서 2024년 금융 분야 정보보호 상시평가 결과가 보고됐지만 MBK파트너스 부회장이자 롯데카드 기타비상무이사인 김광일 이사는 '기 일정'을 이유로 불참했다. 지난해 5월18일 열린 이사회에도 정보보호 평가 결과 보고가 있었지만 김 이사는 외부 일정을 사유로 참석하지 않았다.


김 이사는 MBK파트너스 부회장 3명 중 1명으로 김앤장 법률사무소에서 인수합병(M&A) 전문 변호사로 활약하다가 2005년 MBK파트너스에 합류한 인물이다. MBK파트너스가 롯데카드를 매각하는 역할에 주력하고 있다는 평가다.

롯데카드 이사회의 상무이사인 이진하 MBK파트너스 부사장도 리스크관리위원회 소속이지만 매각 딜 부문이 강점이다. 그는 베인앤컴퍼니에서 컨설턴트로 일하다가 2006년 MBK파트너스에 합류해 HK저축은행(현 애큐온저축은행) 인수 등 금융 딜을 주도했고 MBK파트너스에 큰 수익을 안긴 두산공작기계 매각을 이끈 바 있다.

이 이사는 지난 2월11일, 2월28일, 5월22일 3번 이뤄진 리스크관리 위원회 회의에서 리스크관리 계획과 리스크 리뷰, 리스크관리협의회에 100% 찬성했다. 그는 지난 2023년 롯데카드 이사회에 합류한 후 지금까지 반대 의사를 개진한 적이 없다.

김승주 고려대학교 정보보호대학원 교수는 "금융사 보안은 국가와 기업, 임직원뿐 아니라 이사회에 참석하는 이사들의 책임도 강화해야 한다"고 말했다.

한편 금융감독원은 오는 19일까지 롯데카드의 해킹사태 관련 현장검사를 진행한다. 추가 피해 확인을 위해 현장검사 기간이 연장될 수 있다. 금감원의 현장검사 결과에 따라 최고 수준의 징계도 받을 것으로 예측된다. 제재심의위원회에서 금융기관에 대한 제재는 기관주의, 기관경고, 영업정지 등으로 나뉘며 기관경고 이상을 중징계로 본다.

현행 여신전문금융업법 시행령에 따르면 신용카드업자가 개인정보유출 등 신용 질서를 어지럽히거나 소비자 보호에 미흡할 경우 최대 영업정지 6개월의 제재를 받을 수 있다. 이 기간 신용·체크카드 회원을 신규로 모집할 수 없으며 별도 부수 업무도 금지될 것으로 보인다.