예산 감축 없다더니…롯데카드, 정보보호 투자 줄여

지난 23일 열린 국회 과학기술정보방송통신위원회 청문회에 (왼쪽부터) 윤종하 MBK파트너스 부회장과 조좌진 롯데카드 대표이사가 참석했다. ⓒ 연합뉴스

[프라임경제] 롯데카드가 최근 해킹 사태와 관련해 정보보호 예산 감축 의혹에 휩싸였다.

롯데카드는 지난 18일 기자회견을 열고 해킹 피해 전액 보상 방침과 함께 향후 정보보호 예산 투자 계획을 밝혔다. 이 자리에서 회사 측은 사모펀드 MBK파트너스가 인수한 2019년 이후 "단 한 차례도 예산을 줄인 적이 없다"고 의혹을 부인했다.

지난 23일 롯데카드로부터 받은 자료에 따르면, 집행 기준 정보보호 예산은 △2020년 69억원 △2021년 137억원 △2022년 89억원 △2023년 115억원 △2024년 117억원 △2025년 129억원으로 집계됐다. 전반적으로 증가세를 보인 셈이다.

이에 대해 롯데카드 관계자는 "2021년은 MBK 인수 이후 내부 개편과 인력 확대에 따른 일시적 증가"라고 설명했다.

이어 "향후 5년간 정보보호에만 1100억원을 투자할 계획"이라며 "이는 금융당국 권고 기준을 상회하는 수준이며, 롯데카드는 이보다 두 배 규모로 투자를 지속할 것"이라고 덧붙였다.

그러나 국회에서는 롯데카드의 정보보호 예산 편성과 집행 간 괴리를 지적하는 목소리가 나왔다. 롯데카드 측 주장과 달리 예산 투자금은 올해 들어 감소한 것이었다.

지난 24일 열린 국회 과학기술정보방송통신위원회 청문회에서 이정헌 더불어민주당 의원은 롯데카드의 올해 정보보호 예산 편성액이 128억원으로, 지난해 151억원 대비 15.2% 줄었다고 지적했다. 지난해 편성액 151억원 가운데 실제 투자된 금액은 117억원에 불과했다.

이 의원은 "롯데카드가 최근 발표에서 지난해 실질 투자액 117억원과 올해 128억원을 비교하며 예산이 늘었다고 주장했다"며 "편성 기준으로는 15.2% 줄어든 상황에서 왜 늘었다고 말하는지 이해할 수 없다"고 비판했다.

아울러 국내 카드사들이 IT 예산 대비 보안 투자를 10% 수준에 머물러, 보안 리스크 관리에 소홀하다는 지적도 제기됐다. 특히 8개 전업 카드사 대부분 롯데카드는 정보보호 예산 비중의 하락 폭이 가장 컸다.

지난 25일 강민국 국민의힘 의원실이 금융감독원에 제출받은 자료에 따르면, 2020년부터 2025년까지 최근 6년간 국내 8개 전업 카드사(롯데·BC·삼성·신한·우리·하나·현대·KB국민카드)에 편성된 정보기술(IT) 예산은 총 5조5588억6400만원으로 집계됐다. 이 가운데 사이버 보안과 관련된 정보보호 예산은 5562억2900만원으로, 전체 IT 예산의 10%에 불과한 수준이다.

특히 롯데카드는 같은 기간 정보보호 예산 비중이 가장 큰 폭으로 줄어든 것으로 나타났다. 롯데카드의 정보보호 예산 비중은 2020년 14.2%에서 올해 9.0%로 5.2%포인트 감소했다. 올해 롯데카드의 정보보호 예산(인건비 제외)은 96억5600만원으로, IT 예산 1078억4400만원 대비 9.0%에 그쳤다.

한편 이 의원은 청문회에 참석한 윤종하 MBK파트너스 부회장을 향해 "롯데카드 매각 추진 중인데 향후 5년간 정보보호 예산에 1100억원 투자 계획을 믿을 수 있느냐"고 질의했다. 이에 윤 부회장은 롯데카드 매각 사실을 인정하며 "금융사 투자를 여러 번 한 적이 있기 때문에 금융 보안은 핵심 가치라고 생각한다"며 원론적인 답변을 내놨다.