[서울=뉴시스]권안나 기자 = 롯데카드 해킹 사고로 297만명의 회원 정보가 유출되는 대규모 정보보안 사태가 발생한 가운데, 대주주인 MBK파트너스의 책임론이 제기되고 있다. 단기 수익을 높이기 위해 보안 투자를 상대적으로 소홀히 한 것이 아니냐는 비판이 나오는 것이다.

21일 금융권에 따르면 조좌진 롯데카드 대표는 지난 18일 서울 중구 부영태평빌딩에서 기자회견을 열고 "해킹 공격으로 297만명의 회원 정보가 유출됐다"고 공식 발표했다.

이번 해킹으로 약 200GB 규모의 데이터가 유출됐으며, 28만명의 경우 카드번호·비밀번호 2자리·CVC번호까지 노출돼 부정 사용 위험에 직면한 상황이다.

문제는 2019년 MBK파트너스가 우리은행과 컨소시엄을 구성해 롯데카드 지분 79.8%를 약 1조3800억원에 인수한 이후 정보보호 투자가 일관되지 못했다는 점이다.

MBK가 롯데카드를 인수한 뒤 2021년에는 137억원의 보안 관련 투자를 집행했지만 2022년에는 88억원으로 약 35% 급감했다. 지난해 정보보호 예산은 116억9000만원으로, 여전히 2021년 대비 14.7% 감소한 수준이다.

롯데카드의 지난해 지속가능경영보고서를 보면 IT 예산 대비 보안투자 비중도 2021년 12%에서 2022년 10%, 2023년 8%로 줄어든 것으로 나타났다. 2023년 기준 신한카드가 9.3%, KB국민카드가 9.2%, 삼성카드가 8.7% 비중으로 투자한 것에 비하면 업계 대비 적은 수준이다.

조 대표는 이날 기자회견에서 "MBK가 인수한 2019년 71억원이던 정보보호 예산이 올해 128억원까지 늘었다"며 MBK 책임론에 대해 선을 그었지만, 이 같은 해명으로는 부족하다는 게 업계의 반응이다.

2021년 재해복구시스템 구축에 이례적으로 투자 규모가 많았다는 롯데카드 측 해명에도 불구하고, 이후 지속적인 투자 비중 감소는 명백한 사실이기 때문이다.

이번 사태는 금융사의 사모펀드 편입에 따른 구조적 문제를 다시 한번 부각시킨 것으로도 평가된다. 업계에서는 사모펀드가 단기 수익 극대화를 위해 보안투자와 같은 비용을 축소하는 경향이 있을 수 있다고 지적한다.

금융당국은 이번 사태를 심각하게 보고 최고 수준의 강력한 제재를 예고했다. 영업정지를 포함한 중징계가 예상되는 상황에서 MBK파트너스와 롯데카드 경영진 모두 책임을 피할 수 없을 전망이다.
 
MBK파트너스에서는 김광일 MBK파트너스 부회장과 이진하 MBK파트너스 부사장이 2019년 10월 기타비상무이사로 롯데카드 이사회에 진입한 뒤 6년 동안 자리를 지키고 있다.

특히 MBK파트너스가 이미 홈플러스 단기채 발행 논란으로 금융당국의 조사를 받고 있는 상황인 만큼 이번 롯데카드 사태는 추가적인 부담이 될 전망이다.
 
MBK파트너스는 2022년 3조원에 롯데카드를 시장에 내놨다가 실패했고, 지난 5월 희망 가격을 낮췄지만 원매자가 나타나지 않았다. 이번 사태로 롯데카드 매각은 더욱 난항을 겪을 것으로 예상된다.

한 금융권 관계자는 "정보보호 예산의 상대적 비중의 감소는 보안 투자 우선순위가 낮아졌다는 시그널로 읽힐 수 있다"며 "사모펀드 인수 이후 단기 수익성 위주의 경영이 영향을 미쳤는지 따져볼 필요가 있다"고 말했다.


◎공감언론 뉴시스 mymmnr@newsis.com