롯데카드, 보안 강화에도 ‘늑장 인지’…사모펀드 책임론 공방

By이수민

롯데카드 해킹 사고가 금융권 전체에 충격을 주고 있다. 카드 정보 유출 여부는 아직 확인되지 않았지만, 공격 발생 후 17일이 지나서야 침해 사실을 인지한 점은 보안 관리 부실 논란을 불러일으키고 있다. 롯데카드는 보안 예산과 인력을 늘려왔다고 밝혔지만, 실제 효과는 미흡했다는 지적이 나온다. 특히 이번 사건은 사모펀드 경영과 관련한 책임 문제로까지 확산되는 양상이다.

4일 금융권에 따르면 롯데카드의 올해 보안 예산은 128억1000만원으로, 전년(116억9000만원) 보다 9.9% 늘었다. 롯데카드는 2022년 88억5000만원, 2023년 114억9000만원으로 해마다 보안 예산을 확대해 왔다. 보안 전담 인력도 증가했다. 이달 기준 내부와 외부 인력을 합쳐 39명으로, 2022~2023년 32명, 지난해 35명에서 꾸준히 늘어난 수치다.

하지만 보안 예산과 인력이 늘었음에도 해킹을 막지 못했다. 특히 해킹을 당한 뒤 보름이 넘게 이를 파악하지 못했다는 사실이 드러나면서 롯데카드 보안 역량에 대한 의문이 제기되고 있다.

해킹은 지난달 14일 오후 7시21분에 처음 발생했다. 온라인 결제 서버를 노린 공격은 14~15일 이틀간 이어졌다. 실제 파일이 외부로 빠져나간 것은 두 차례로 파악됐다. 롯데카드는 지난달 31일 해킹 사실을 처음 인지했다.

이번 사건은 사모펀드 경영 논란으로 번지고 있다. 앞서 롯데카드는 2019년 롯데그룹에 분리돼 MBK파트너스에 인수됐다. 사모펀드가 인수한 기업은 비용 절감을 우선시하는 경영 방식을 취하기 때문에, 보안 투자에 소홀했던 것 아니냐는 지적이 꾸준히 제기돼 왔다.

최성우 율성회계법인 파트너 회계사는 “사모펀드가 회사를 인수하면 가장 먼저 비용 절감부터 하는 경우가 많다”며 “기업가치를 키울 수 있는 방법이 많지 않아 결국 인력 감축으로 이어지고, 지나치게 줄이면 문제가 생길 수 있다”고 말했다.

반면 이를 단정하기 어렵다는 시각도 나온다. 한 카드사 관계자는 “카드사들은 보안에 무척 많은 신경을 쓰고 있다”며 “사고가 발생하면 대표이사 연임에도 타격이 크고, 고객 신뢰도 무너지는 만큼 쉽게 일어날 수 있는 일이 아니”라고 밝혔다. 이어 “롯데카드가 보안에 소홀히 했다고 보기에는 어렵고, 해커들의 기술 수준이 너무 높았던 것으로 본다”고 설명했다.

MBK도 즉각 반발했다. MBK 측은 “기업가치를 높이려면 보안과 IT에 대규모 투자가 필요하다”며 책임론을 일축했다.

한편 이번 사태에 다른 카드사들도 긴장하고 있다. 일부 카드사 보안팀은 비상근무에 돌입해 철야 점검을 이어가는 것으로 알려졌다. 업계에서는 이번 사건을 계기로 카드사들이 보안 투자 방향을 재검토할 것이라는 전망도 나온다.

또 다른 카드사 관계자는 “최고정보보호책임자(CISO)와 최고개인정보보호책임자(CPO)를 각각 따로 두어 역할과 책임을 명확히 해야 한다는 이야기가 나오고 있다”며 “해커들이 계속 진화하는 만큼 인력보다는 시스템 자체를 강화하고 2중, 3중 방어 체계를 마련하는 것이 필요하다”고 강조했다.

조좌진 롯데카드 대표는 이날 대고객 사과문을 통해 “사이버 침해 사고는 회사의 보안 관리가 미흡했던 데서 비롯됐다”며 “고객 피해 예방을 최우선으로 삼아 불안을 최소화하고, 잠재적 피해에 대비해 전사적 비상 대응체계를 가동하고 있다”고 밝혔다.

글. 바이라인네트워크
<이수민 기자>Lsm@byline.network

안녕하세요, 이수민 기자입니다.
디지털 금융, 핀테크, 블록체인을 담당하고 있습니다.
찾아 주셔서 감사합니다. 좋은 기사로 보답하겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.