[기획] MBK파트너스, 롯데카드 해킹 ‘책임론’ 해명할까

MBK파트너스. [그래픽=김현지 기자] 

홈플러스 사태로 책임론이 대두됐던 MBK파트너스가 롯데카드 해킹 사태에 대해서도 관련 해명에 나설지 주목된다.

아직 책임 소재에 관해선 MBK는 입장을 내지 않았다. 보안 투자액이 늘어난 수치를 제시하며 보안 투자를 소홀히 하지 않았다는 반박 자료를 낸 게 전부다.

그렇기에 대주주 책임론에 대해선 어떤 입장을 표명할지에 이목이 쏠린다. MBK 김병주 회장 등 경영진은 롯데카드 해킹 사고 후속 대응 간담회와 청문회 등에 소환됐다.

---

롯데카드 대국민 사과 나선 배경

---

지난달 롯데카드가 해킹 시도 흔적을 발견해 이달 초 금융당국이 현장 조사에 들어간 이후 최종 정보 유출 규모는 초기 알려진 수준 대비 100배인 200GB(기가바이트)에 달했다.

정보 유출 피해자 수 자체도 총 297만명에 달했는데 이중 28만명은 노출 피해가 더 컸다. 온라인 결제 시 입력하는 핵심 정보인 카드번호와 비밀번호, CVC 번호까지 유출되면서다.

이번 사고는 보안 업데이트 누락 등이 원인으로 지적됐다. 롯데카드가 정보 보호 투자에 소홀했던 게 아니냐는 비판이 나온 배경이다. 롯데카드는 예산 집행액이 대체로 늘어난 추세였음에도 귀책을 면할 순 없었다.

이를 뒷받침하듯 롯데카드 조좌진 대표는 지난 18일 경영진과 함께 대국민 사과에 나섰다. 조 대표는 유출에 따른 피해가 발생할 경우 해당 고객에게 100% 배상한다는 계획과 사실상 보안에 미비한 점을 인정해 이를 강화한다는 방침도 언급했다.

---

MBK 책임론 대두

---

MBK가 보안 투자를 늘렸다고 제시한 근거 자료. [사진=MBK파트너스 제공] 

조 대표가 대국민 사과에 나섰음에도 대주주 책임론은 확산됐다. 최대주주인 MBK파트너스는 사모펀드사로서 통상 경영에는 관여하지 않는다고 선을 긋지만 통상 5년 후 엑시트(투자금 회수)에 나서는 특성상 수익성 제고에 치중해 보안 투자에 소홀했다는 지적을 받았다.

이에 MBK는 보안 투자에 소홀하지 않았다고 반박하기 위해 롯데카드가 매년 정보보안 및 IT 투자를 꾸준히 확대해 왔다는 자료를 들어 해명에 나섰다. 다만 경영진으로부터 보고를 받으며 간접적으로라도 사실상 경영에 개입하는 최대주주로서 그 책임을 인정하지는 않았다.

MBK는 지난 21일 입장문을 통해 “롯데카드의 주요 주주사로서 이번에 발생한 사이버 침해 사안을 매우 엄중히 받아들이고 있다”면서도 “일각에서 이번 사이버 침해 사고의 원인을 주주사들의 보안 투자 및 관리 소홀로 지적하고 있으나 이는 사실과 다르다”고 했다.

전날에도 MBK는 “최근 롯데카드에서 발생한 사이버 침해 사고와 관련해 불거진 주주사 책임론을 일축하며 롯데카드는 2020년부터 2025년까지 약 6000억원에 달하는 IT 투자를 통해 정보 보완 강화를 꾸준히 추진해 왔다”고 입장을 발표했다.

양일간 MBK가 사실을 바로 알리겠다고 언급한 내용을 보면 보안 투자 비용은 2019년 71억4000만원에서 올해 128억원으로 상승했다. 백업시스템 고도화 등으로 보안 투자 비용이 일시적으로 대폭 확대된 2021년을 제외하곤 우상향해왔다는 얘기다.

지난 2020년부터 올해까지 IT 투자 중 보안 투자는 654억6000만원으로 전체 IT 투자 대비 평균 11%다. 지난해까지의 IT 투자 규모도 당기순이익 중 40%로 총 배당액의 1.5배 수준이다. 이를 토대로 MBK는 단기적인 배당 이익보다 시스템 안정성과 고객 신뢰 확보를 우선시해왔다고 했다.

---

책임론 입장 표명 주목

---

그러함에도 MBK가 내세운 근거와 논리는 즉각 재반박을 당했다. 지난 22일 국회 정무위원회 소속 국민의힘 김상훈 의원실이 금융감독원으로부터 제출받은 ‘전업 카드사 총예산 및 정보보호 예산 현황’에 따르면 롯데카드가 올해 정보보호 예산으로 편성한 금액은 128억원으로 지난해 151억원과 비교하면 15.2% 감소했다.

정보보호 내부 인력도 MBK는 증원해 왔다고 설명했으나 해당 인력 비율을 따지자면 되레 떨어졌다. 지난 2020년만 해도 전체 인력 74명 중 정보보호 인력은 20명이라 그 비중은 27%에 달했는데 지난 6월은 전체 IT 인력 226명 중 해당 인력은 35명으로 15%에 그쳤다. IT 임원도 전체 임원 45명 중 3명에 그쳐 8개 전업 카드사 중 최하위권에 머물렀다.

아울러 MBK가 2019년 5월 롯데카드를 인수한 이래 매각을 시도하고 있는 상황을 감안하면 수익성을 위해 정보보호 예산이나 인력 등을 구색은 유지했어도 더하진 않았다고 유추할 수 있는 대목이다. 예산 집행액이 늘어난 단순 수치와 관련 인력 수 증가 정도를 들어 보안 투자를 소홀하지 않았다고 주장하려는 시도는 MBK에 되레 역효과를 불러일으킬 수 있다.

국민의힘 소속 정무위 위원들은 23일 오전 10시 국회에서 롯데카드 조좌진 대표와 MBK 윤종하 부회장을 소환해 ‘롯데카드 개인정보 유출사태, 재발 방지 대책 간담회’를 연다. 국회 과학기술정보방송통신위원회는 MBK 김병주 회장을 증인으로 채택해 24일 통신·금융사 대규모 해킹 사건 청문회를 개최한다. 모두 MBK가 보안투자를 소홀히 하지 않았다는 입장만 되풀이하긴 어려운 자리들이다.

한편 롯데카드에서 이사직을 맡고 있는 MBK 김광일 부회장과 이진하 부사장은 앞선 대국민 사과 현장엔 모습을 드러내지 않았다. 이와 관련한 입장을 묻는 더리브스 질의에 MBK 관계자는 “이사회 분들은 직접 경영을 하는 건 아니라서 경영진이 준비한 거라 별도였다”라며 “참석 요청이나 이런 건 없었던 걸로 안다”라고 답했다.

대주주 책임론에 대한 입장 질의에는 “(앞선 자료 배포는) 사실관계라든가 이런 설명 자료인 거고 무슨 사과나 입장이 직접적으로 나와서 말씀드렸던 건 아니다”라며 “아예 (투자를) 안 한 것처럼 일부 얘기를 하니까 그런 부분은 아니라는 소명 정도의 자료로 책임 없다는 책임론의 보도자료는 아니다. (책임과 관련한 내용도) 나올 계획인데 의사결정을 아직 받지는 못했다”라고 이 관계자는 말했다.

김은지 기자 leaves@tleaves.co.kr