이 기사는 2025년 09월 19일 07시21분 thebell에 표출된 기사입니다

롯데카드가 향후 5년간 정보보안 분야에 1100억원을 투자한다. 297만명에 달하는 고객정보 유출사실이 확인된 데 따른 책임 차원이다. 대주주인 사모펀드 MBK파트너스 소유 구조 때문에 보안투자 미흡론이 제기된 가운데 롯데카드는 투자 확대와 조직 체질개선으로 만회하겠다는 입장이다.

◇297만명 고객정보 유출, 보안투자 역량 도마

금융감독원과 금융보안원의 조사 결과에 따르면 이번 사고로 총 200GB 분량의 정보가 유출됐다. 유출된 정보 안에는 총 296만9000명의 개인신용정보가 포함됐다. 이 가운데 9.5%에 해당하는 28만3000명은 카드 비밀번호와 CVC(카드뒷면 보안번호) 등이 함께 유출된 것으로 파악됐다. 롯데카드 측은 "사고 확인 즉시 본인인증 조치를 강화해 부정결제 피해는 확인되지 않았다"고 설명했다.

애초 신고된 유출 추정 규모보다 훨씬 큰 양의 데이터가 반출된 사실이 드러나면서 롯데카드 정보보안 투자 역량도 도마 위에 올랐다. 특히 MBK파트너스가 최대주주로 있는 만큼 인수 이후 비용 절감 과정에서 보안 투자가 소홀하지 않았느냐는 비판이 제기됐다. 이찬진 금융감독원장도 최근 여전업권 CEO 간담회에서 "단기 실적에 치중한 비용 절감이 정보보안을 위한 장기 투자 소홀로 이어진 것은 아닌지 돌아봐야 한다"고 지적했다. 사실상 롯데카드를 겨냥했다는 분석이다.


실제 MBK파트너스 인수 직후인 2020년 롯데카드의 정보보안 투자액은 전년보다 소폭 줄었다. 2019년 정보보안 투자액은 71억4000만원 수준으로 전체 IT비용 대비 12%를 차지했다. 하지만 2020년에는 69억1000만원으로 감소하며 전체 IT비용에서 차지하는 비중도 11%로 떨어졌다. 당시 8개 전업카드사 가운데 유일하게 정보보안 투자금액이 100억원을 밑돌면서 보안투자에 소홀하다는 지적을 받았다.

다만 이후에는 투자 규모가 전반적으로 상승하는 추세를 보였다. 2021년에는 69억1000만원에서 137억1000만원으로 두 배 가까이 늘었다. 전산 오류 등에 대비한 시스템 구축과 백업 고도화, 재해복구(DR)에 58억원을 투입한 영향이 컸다. 그 결과 전체 IT 비용에서 정보보안이 차지하는 비중은 15%까지 상승했다.

이후 2022년에는 투자비용이 88억5000만원으로 줄어 전체 IT비용 대비 비중은 10%로 낮아졌지만 2023년 114억9000만원, 2024년 116억9000만원 등으로 다시 증가하는 흐름을 보였다.


◇업계 최고수준 보안투자 목표…포상체계·레드팀 운영 계획

롯데카드는 향후 5년간 정보보안 분야에 총 1100억원을 투입할 계획이다. 전체 IT 예산 대비 정보보안 투자 비중도 업계 권고수준인 IT 예산의 7%를 크게 웃도는 15% 수준으로 끌어올릴 방침이다. 조좌진 롯데카드 대표는 정보유출 관련 언론 브리핑에서 "2024년 기준 정보보안 분야 투자 비중은 10% 수준"이라며 단계적으로 15%까지 확대하겠다는 목표를 밝혔다.

정보보안 인력도 대폭 보강할 계획이다. 롯데카드 정보보안 인력은 2021년 15명에서 2025년 현재 30명을 기록하고 있다. 조 대표는 "정보보안 인력을 더 보강하고 이 분야에 권한을 가지고 일할 수 있는 조직문화를 만들 것"이라며 "금융권 내에서 정보보호 부문이 가장 탁월한 회사를 3~4년 내에 만들 수 있다"고 강조했다.

탐지·대응 역량 강화를 위해 정보보안 관련 포상제도를 강화하고 전담 레드팀 운영도 추진한다. 문제를 먼저 발견해 적시에 대응한 직원에겐 포상을 제공하는 인센티브 체계를 구축하고 해커 관점에서의 공격 시뮬레이션을 통해 실전 대응력을 키우겠다는 것이다.

롯데카드의 투자 확대 및 조직개편 계획은 대주주 책임론을 불식하려는 의도로도 풀이된다. 조 대표는 "투자 확대와 함께 조직문화와 거버넌스 전반을 고객 보호 중심으로 재정비하겠다"고 강조했다.