[뉴스클레임]

카드사 최대주주 MBK파트너스가 인수 후 보안 예산을 대폭 줄이며, 롯데카드 해킹 참사라는 최악의 결과를 초래했다.

20일 금융감독원 전자공시 등에 따르면 롯데카드는 2019년 MBK파트너스에 인수된 이래 정보보호와 IT 관련 무형자산이 지속적으로 감소했다. 2019년 2173억원이던 무형자산은 2025년 상반기 1405억원까지 줄었다. 여기에는 방화벽 교체·서버 보안장비·소프트웨어 시스템 등이 모두 포함된다. 동종 카드사들이 같은 기간 IT 및 정보보호 투자를 꾸준히 늘린 것과 달리, 롯데카드는 예산 삭감이 두드러졌다.

정보보호 투자비도 인수 이후 급격히 감소했다. 2021년 137억1000만원이던 롯데카드의 정보보호 예산은 2022년 88억5000만원, 2023년 114억9000만원, 2024년 116억9000만원, 그리고 2025년 128억원으로 집계된다. 이 5년간 감소 폭은 평균 15%에 달한다. 특히 전체 IT 예산에서 정보보호 예산이 차지하는 비중은 2021년 기준 12%였지만 2023년에는 8%까지 떨어졌다. 업계 평균은 7% 수준이나, 롯데카드의 과거 자체 비율에 비해 현저히 줄어든 셈이다.

시스템 전반에 걸쳐 재해복구 설비와 서버 보안장비 교체 등 사업이 잇따라 조정 또는 연기됐다는 점도 내부 자료와 감독기관 분석으로 확인됐다. 업계 관계자는 “무형자산과 정보보호 투자 비중이 함께 줄었고, 그 영향이 해킹 피해로 바로 이어졌다”고 강조했다. 또 카드사 조직이 단기 실적에 치중하는 경영구조로 운영된 결과, 장기 정보보호 투자 결정이 지속적으로 미뤄졌다는 평가가 업계에서 확산되고 있다.

297만명의 고객 개인정보가 유출된 이번 해킹 사고 후, 롯데카드는 당국 권고에 따라 향후 5년간 총 1100억원 이상을 정보보호 분야에 투자하고, IT 전체 예산 중 관련 비중을 15%까지 확대하겠다고 약속했다. 금융감독당국은 단기 수익성만 강조한 경영방식이 보안 투자를 저해하는 구조적 문제임을 지적하며, 모든 카드사에 기본 보안 투자 확대를 강하게 주문했다.