사모펀드 MBK파트너스가 최대주주로 있는 롯데카드에서 발생한 대규모 해킹사고로 조좌진 대표를 포함한 경영진이 18일 국민들에게 공식 사과했다. 금융당국 조사 결과에 따르면 총 297만명의 연계정보와 가상결제코드가 외부로 유출됐으며, 이 중 약 28만3천명은 카드 비밀번호와 CVC 정보까지 노출되어 부정사용 위험에 처한 상황이다.

롯데카드 측은 이번 사과와 함께 앞으로 5년에 걸쳐 1100억원 규모의 정보보호 투자를 단행하겠다고 밝혔다. 연간 220억원씩 IT보안 분야에 집중 투자해 정보보호 예산 비중을 업계 최상급인 15% 수준까지 끌어올리겠다는 계획이다. 24시간 실시간 통합보안 관제시스템 구축과 해커 침투를 가정한 예방활동을 위한 전담 레드팀 운영도 포함된다.

하지만 이러한 약속에 대한 의구심이 제기되고 있다. 우선 MBK파트너스가 사모펀드 특성상 단기 수익에 집중하는 경영 방식을 보여왔다는 점이다. 실제로 홈플러스 경영 과정에서도 중장기 투자보다는 즉각적인 비용절감에 치중했다는 비판을 받고 있으며, 최근 15개 매장 폐점 결정으로 여론의 질타를 받고 있다.

이찬진 금융감독원장은 여신전문금융업계 최고경영자들과의 간담회에서 "단기 성과에만 몰두한 채 정보보안을 위한 장기적 투자를 등한시한 결과는 아닌지 돌이켜봐야 한다"고 지적했다. 비록 직접적인 언급은 피했지만 롯데카드 해킹사태와 연관된 MBK파트너스를 겨냥한 것으로 해석된다.

롯데카드의 실제 투자 여력도 문제가 되고 있다. 올해 상반기 당기순이익이 416억원으로 전년 동기 대비 33.8% 급감해 국내 카드업계 최하위를 기록했다. 이는 2019년 MBK파트너스 인수 이후 최악의 성적표로, 과연 대규모 보안투자를 감당할 수 있을지 의문시된다.

더욱이 MBK파트너스 인수 이후 롯데카드는 금융자산 매각과 자회사 처분 등으로 일시적 실적 개선은 있었지만, 정작 핵심 사업에서는 수익 창출 한계를 드러냈다는 평가를 받고 있다. 무형자산 역시 인수 당시 2173억원에서 현재 1405억원으로 크게 줄어든 상태다.

반면 배당금은 대폭 늘렸다. MBK파트너스 인수 후 5년간 총 2893억원을 배당으로 지급해 인수 전 5년간의 741억원보다 4배 가까이 증가했다. 영업이익은 지속적으로 감소하는 가운데서도 배당만큼은 해마다 늘려온 것이다.

정보보호 투자 비중도 문제가 된 것으로 나타났다. 전체 IT예산 중 정보보호 투자 비율이 2021년 12%에서 2023년 8%로 매년 줄어들었으며, 정보보호 관련 무형자산 투자액도 감소 추세를 보였다.

이번 사태는 브랜드명만 남은 롯데그룹에게도 피해를 주고 있다. 롯데카드는 2019년 금산분리 정책에 따라 MBK파트너스에 매각됐지만 브랜드는 그대로 유지하고 있어, 소비자들은 여전히 롯데 계열사로 인식하고 있다. 일부 고객들은 롯데 관련 서비스 전반에 대해 개인정보 유출 우려를 표하며 해지를 요구하는 상황이다.

2011년 농협의 전산마비 사태 이후 지속적인 보안투자로 현재 은행권 최상위 보안수준을 확보한 사례와 대조적으로, 롯데카드의 1100억원 투자 약속이 진정성 있는 계획인지 아니면 일시적 비판 회피용인지는 시간이 증명할 것으로 보인다. 금융업의 핵심은 신뢰인 만큼, 롯데카드가 이번 위기를 진정한 기회로 전환할 수 있을지 주목된다.