롯데카드 해킹 사태를 계기로 대주주 MBK파트너스를 둘러싼 책임론이 확산되고 있다. MBK가 관리 소홀 책임을 거듭 부인하고 있지만, 정치권과 금융권 안팎에서는 논란이 쉽게 가라앉지 않는 분위기다. 전문가들은 “보안 투자는 규모보다 집행의 질이 핵심”이라고 지적한다.
23일 업계에 따르면 국민의힘 소속 국회 정무위원들은 롯데카드 최대주주인 MBK파트너스 김병주 회장을 국정감사 증인으로 채택하기로 했다. 피해 구제 대책이 미흡할 경우 더불어민주당과 협의해 청문회 추진도 검토할 방침이다. 윤한홍 국민의힘 의원은 이날 열린 ‘롯데카드 개인정보 유출 사태 대책 간담회’에서 “롯데카드가 사건을 은폐한 건 없는지, 보안 대책에 소홀한 부분은 없는지 철저히 확인해야 한다”며 “국정감사에서 반드시 김 회장을 불러 책임을 묻겠다”고 밝혔다. 국회 정무위원회가 2025년도 국정감사 증인을 취합하는 과정에서도 다수 의원실이 김 회장을 증인으로 요청한 것으로 전해졌다.
이번 해킹으로 롯데카드 전체 고객의 3분의 1에 해당하는 297만명의 개인정보가 유출되자, 대주주 MBK에 “정보보호 투자가 부족했던 것 아니냐”는 비판이 쏟아졌다. 사모펀드 특성상 투자금 회수를 목표로 단기 수익에 치중하며 보안 투자가 뒷전으로 밀렸다는 지적이다. 서울YMCA 시민중계실도 같은 날 성명을 내고 “이번 해킹 사고는 기업들이 개인정보 보호를 의무가 아닌 비용으로만 여긴 결과”라며 “최대주주인 사모펀드가 수익성 극대화에 집중하면서 보안 지출을 줄였다는 의혹이 이를 방증한다”고 꼬집었다. MBK는 2019년 인수 이후 2022년부터 매각을 추진해왔으며, 올해도 재매각을 시도 중이다.
실제로 롯데카드의 보안 예산 비중은 꾸준히 줄었다. 강민국 국민의힘 의원실에 따르면 전체 IT 예산에서 보안 예산이 차지하는 비중은 2020년 14.2%에서 2021년 11.3%, 2022년 9.8%, 2023년 8.6%, 2024년 8.4%로 낮아졌다가 올해 9.0%로 소폭 반등했지만, 최근 5년 평균은 9.8%에 불과하다. 같은 기간 우리카드(13.3%), KB국민카드(10.9%), 신한BC카드(10.0%) 등 주요 경쟁사보다 낮다. 집행률도 저조하다. 올해 배정된 보안 예산 가운데 8월까지 실제 집행액은 48억5200만원으로, 집행률은 50.3%에 그쳤다. 업계 평균(58.9%)은 물론 삼성카드(87.3%), 국민카드(69.9%)와 비교해도 격차가 컸다.
이에 대해 롯데카드 측은 “2019년 이후 정보보호 예산 집행액은 꾸준히 늘어났다”며 “2021년은 재해복구시스템 고도화 비용이 반영돼 일시적으로 크게 증가한 것”이라고 해명했다. 실제 집행액은 2020년 69억1000만원에서 2021년 137억1000만원으로 늘었으나, 2022년 다시 88억5000만원으로 줄었다. 이후 2023년 114억9000만원, 2024년 116억9000만원, 올해 128억1000만원으로 증가했다. MBK도 입장문을 통해 “2020~2025년 사이 총 5921억원을 IT에 투자했고, 이 중 보안 부문은 654억6000만원으로 전체 IT 투자의 약 11%”라며 “투자 규모는 당기순이익의 약 40%, 총 배당금의 1.5배에 해당한다. 관리 소홀 주장은 사실과 다르다”고 반박했다.
일각에서는 금융권 해킹을 막기 위해 보안 예산을 법적으로 일정 비율 이상 확보하도록 의무화해야 한다는 목소리도 나온다. 국내 카드사들의 정보보호 예산이 전체 IT 예산의 10% 남짓에 불과한 현실에서, 어느 회사도 해킹 위협에서 안전하다고 장담할 수 없다는 지적이다. 다만 전문가들은 예산의 절대 규모보다 집행 방식이 더 중요하다고 입을 모은다. 곽진 아주대 사이버보안학과 교수는 “단순히 예산을 늘리는 것보다 얼마나 효율적이고 효과적으로 집행하느냐가 훨씬 중요하다”며 “특정 사고 이후 해당 분야에만 단기적으로 예산을 집중하면 전체 지출은 늘더라도 다른 취약점은 방치될 수 있다”고 지적했다. 이어 “정보보호 예산은 장비나 솔루션 도입에만 국한될 것이 아니라 전문 인력 채용, 훈련, 조사 등 정보 시스템 운영 전반을 포괄하는 관점에서 쓰여야 한다”고 강조했다. 염흥열 순천향대 정보보호학과 교수도 “정보보호 거버넌스를 확립하고 전담 인력을 확보하는 등 조직적 지원이 필수”라고 조언했다.
한편 국회 과학기술정보방송통신위원회도 24일 열리는 KT·롯데카드 대규모 해킹사고 청문회 증인으로 김병주 회장을 채택했다. 김 회장은 지난 3월 홈플러스 기업회생 사태 현안 질의 때도 해외 출장을 이유로 불출석한 전례가 있어 이번 출석 여부에 관심이 쏠린다.
