| 서울=한스경제 이나라 기자 | 롯데카드가 2026 지속가능경영보고서를 통해 지난해 발생한 해킹사고 대응을 ESG(환경·사회·지배구조) 경영의 핵심 과제로 전면 배치했다.
롯데카드는 사고 경위·피해 규모·고객 보상 조치·재발 방지 대책 등을 별도 보고하면서 정보보호와 금융소비자보호 체계 재정비를 신뢰 회복의 출발점으로 제시했다. 다만 정보보호 투자액과 지난해 대비 증감 규모는 공개하지 않아 정량 공시에는 한계를 남겼다.
▲ 해킹사고 첫 번째 스페셜 리포트 배치
롯데카드가 공개한 '2026 지속가능경영보고서'는 2025년 사이버 침해 사고 대응 노력을 첫 번째 스페셜 리포트로 다루었다. 이번 보고서의 가장 큰 특징은 ESG 캠페인 띵크어스와 지역사회 상생 활동보다 앞서 해킹사고 대응을 배치한 점이이다. 카드사 지속가능경영보고서에서 정보보호 사고가 단순 리스크 항목이 아니라, 별도 보고 주제로 올라온 것은 사고 이후 롯데카드 ESG 전략의 중심으로 신뢰 회복이 이동했다는 의미다.
사고 개요 역시 해킹사고 발생 사실을 언급하는 수준을 넘어 인지 시점·조사 과정·피해 고객 규모·유출 정보 유형을 함께 제시하면서 이번 보고서의 투명성 측면을 강조했다.
보고서에 따르면, 롯데카드는 지난해 8월 31일 온라인 결제 서버에서 정보유출 정황을 인지했으며 금융당국 신고와 외부 전문기관 공동 조사를 거쳐 고객 정보 유출 사실을 확인했다. 영향을 받은 고객은 약 297만명으로 집계됐다. 이 가운데 카드번호와 유효기간, CVC 등 결제 핵심 정보가 유출된 고위험 고객은 약 28만명이며 연계정보와 주민등록번호 등 개인식별정보가 유출된 고객은 약 269만명으로 나타났다.
고객 보호 조치는 사고 수습 이후 신뢰 회복을 어떻게 제도화했는지를 보여주는 핵심 항목으로 별도 제시됐다. 롯데카드는 전액 보상·선제적 지원·지속적 관리를 원칙으로 세우고 침해사고로 인한 모든 직접 피해와 부정거래 발생 시 2차 피해까지 보상하겠다고 밝혔다.
전체 유출 고객 약 297만명에게는 2025년 말까지 무이자 할부 서비스를 무료로 제공했으며 크레딧케어와 카드사용 알림 서비스도 무료 제공했다. 고위험 고객 약 28만명에 대해서는 카드 재발급 시 2026년도 연회비를 면제했다. 현재까지 확인된 고객 부정 사용 피해는 없다는 설명도 함께 담았다.
▲ CISO 대표 직속 개편...보안 의사결정 강화
재발 방지 대책은 단기 보완 조치보다 조직 체계와 의사결정 구조를 바꾸는 방향으로 무게가 실렸다. 롯데카드는 기존 전략본부 산하 정보보호실을 정보보호최고책임자(CISO)가 이끄는 대표이사 직속 정보보호센터로 개편했다.
정보보호센터는 보안정책팀·보안기술전략팀·개인정보보호팀·침해위협대응팀 등 4개 팀으로 구성됐다. 정보보호위원회도 임원급 협의체로 격상하고 정보보호 관련 주요 현안을 이사회에 보고하는 체계를 마련했다.
보안 문화 개선도 조직 개편과 함께 제시됐다. 롯데카드는 전 임직원이 자발적으로 참여하는 보안 문화 혁신 로드맵인 2026 Resilient LOCA를 추진 중이다. IT·마케팅·콜센터 등 직무별 4단계 맞춤형 보안 교육 체계를 구축하고 상시 모의훈련을 통해 실전 대응력을 높인다는 계획이다. 내부통제 측면에서는 임원별 주요 보안 관리 의무를 규정한 책무관리 매뉴얼을 기반으로 월 단위 정기 점검과 후속 조치를 시행하고 있다.
정보보호 인증과 관리체계도 보고서에서 강조된 부분이다. 롯데카드는 2008년 국제표준인 ISO 27001 인증을 처음 취득한 뒤 마스터카드와 비자 등 글로벌 카드 브랜드사의 데이터 보안 표준인 PCI DSS 인증을 매년 갱신해 왔다고 밝혔다.
특히 2025년에는 법적 의무 대상 기관이 아님에도 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P를 자발적으로 취득했다. 보고서 ESG 하이라이트에서도 ISMS-P 인증은 개인정보 보호 관리체계의 적합성을 공식 인증받은 성과로 제시됐다.
다만 보안체계 재정비를 보고서 전면에 내세운 것과 달리, 정보보호 투자 공시는 정량 비교가 어려운 수준에 머물렀다. 롯데카드는 2025년 전체 IT 부문 예산의 약 11%를 정보보호에 투자했다고 밝혔다. 하지만 실제 투자금액과 2023년·2024년 투자 비중은 공개하지 않았다. 2026년에는 투자 비중을 대폭 확대해 보안 역량을 강화하겠다는 방향만 제시했다.
▲ 소비자보호·포용금융 부각...환경 공시는 일부 축소
소비자보호 체계는 해킹사고 대응과 맞물려 이사회 감독 기능을 강화하는 방향으로 재편됐다. 롯데카드는 올해 5월, 이사회 내 금융소비자보호위원회를 신설했다. 보고서의 ESG 하이라이트에서도 금융소비자보호위원회 신설은 AI 기반 보이스피싱 차단, ISMS-P 인증 취득과 함께 신뢰 영역의 핵심 성과로 제시됐다. 고객 정보 및 데이터 보안과 금융소비자보호는 이중 중대성 평가에서도 5대 중대 이슈에 포함됐다.
보안 이슈 외에 롯데카드가 별도로 수치화해 제시한 성과는 포용금융 부문에서 비교적 뚜렷하게 나타났다. 롯데카드는 2025년 4분기 중금리대출 취급액이 2529억원으로 이전 분기 대비 56.4% 증가해 업계 증가율 1위를 기록했다고 밝혔다. 누적 취급 건수는 4만9192건으로 전년대비 25.8% 늘었으며 중금리대출 잔액은 2025년 12월 말 7688억원에서 2026년 2월 말 8767억원으로 2개월 사이 1079억원 증가했다.
보고서 ESG 하이라이트에는 해외 ABS 6억1000만달러 발행이 금융취약계층 지원 재원 확보 성과로 제시됐다.연혁상으로는 2025년 3월과 2026년 1월 각각 3억달러 규모의 ESG 해외 ABS 발행 이력이 담겼다.
반면 환경 부문에서는 온실가스 배출량 감축 흐름을 제시했지만, 배출 범위 공개는 오히려 줄었다. 롯데카드는 2024년 지속가능경영보고서에서 Scope 3 배출량을 산정·공개한 바 있지만, 2026년 보고서에서는 데이터 신뢰성 확보와 산정 체계 재정비를 이유로 Scope 3 배출량을 공개하지 않았다.
Scope 1·2 온실가스 배출량은 2023년 2631tCO2eq에서 2025년 2354tCO2eq로 감소했지만, Scope 3 공백으로 전체 배출 구조를 비교하기에는 한계가 있다는 지적이 나온다.
정상호 롯데카드 대표는 보고서 CEO 메시지에서 "한 번 흔들린 신뢰는 더 높은 기준으로만 회복될 수 있다"면서, "롯데카드는 이번 사고를 단순한 수습의 대상이 아닌, 조직의 체질을 근본부터 바꾸는 전환점으로 삼겠다"고 밝혔다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.