′대규모 해킹 충격′ 롯데카드, ′정보보호′ 예산 2020년 비해 2025년 5.2% 급감...대주주 MBK 책임론 확산

'대규모 해킹 충격' 롯데카드, '정보보호' 예산 2020년 비해 2025년 5.2% 급감...대주주 MBK 책임론 확산

최종문 기자 / 기사승인 : 2025-09-23 09:07:38

국내 8개 카드사, 해킹 등 보안 관련 '정보보호' 예산 5562억 2900만 원으로 10%에 불과
강민국 의원 "해킹 위험성 심각…전자금융거래법 하위 규정에 정보보호 강화 명문화 필요"

▲ (사진=강민국의원실 제공)

[일요주간 = 최종문 기자] 롯데카드 고객 297만 명의 카드번호와 CVC 등 민감정보까지 유출된 대규모 해킹 사고로 소비자들의 불안이 커지고 있는 가운데 롯데카드를 상대로 고객 5700여 명이 집단소송을 준비 하는 등 파장이 확산되고 있다.

이런 와중에 최근 개인정보 유출 사고가 발생한 롯데카드의 경우 ‘정보보호’ 예산 비중이 2020년 14.2%에서 2025년 9.0%로 5.2%나 급감한 것으로 드러나 소비자들을 더욱 분노케 하고 있다. 이는 국내 8개 전업 카드사 중에서 가장 컸다는 점에서 고객 정보보호애 소홀했다는 비판을 피하기 어려워 보인다.

이렇다 보니 대주주인 MBK파트너스(사모펀드 운용사)의 책임론이 제기되고 있다. 단기 수익을 높이기 위해 보안 투자를 상대적으로 소홀히 한 것이 아니냐는 비판이 거세지고 있다.

◇ 국내 8개 카드사 6년간 ‘정보보호’ 예산 비중 10% 그쳐

국회 강민국 의원실에서 금융감독원에 자료요청을 통해 받은 답변자료인 『국내 카드사별 정보기술예산 및 정보보호 예산 현황』을 살펴보면 2020년~2025년까지 6년간 국내 8개 카드사에 책정된 「정보기술」 예산은 총 5조 5588억 6400만 원 이었다.

그러나 해킹 등 보안과 관련된 ‘정보보호’ 예산은 5562억 2900만 원으로 단 10%에 불과 했다.

8개 카드사 합계기준, 6년간 「정보기술」 예산 대비 ‘정보보호’ 예산 비중인 10% 보다도 더 낮은 예산이 배정된 카드사는 총 4개 카드사로 이를 살펴보면 △삼성카드 8.7%(정보기술 1조 755억 700만 원/정보보호 934억 2700만 원)로 가장 낮았으며, 다음으로 △현대카드 8.9%(정보기술 4938억 3700만 원/정보보호 442억 1700만 원), △하나카드 9.7%(정보기술 6666억 원/정보보호 648억 1600만 원) △이번 해킹사고로 297만 명의 회원 개인정보가 유출된 롯데카드가 9.0%( 정보기술 6191억 6800만 원/정보보호 606억 5200만 원) 였다.

특히 롯데카드의 경우 지난 2020년 ‘정보보호’ 예산 비중은 14.2% 였으나 2025년 9.0%로 그 비중이 5.2%나 급감했는데 이는 8개 전업 카드사에서 가장컸다. 오히려 동일기간 국민카드 4.6%P(10.3%→14.9%), 현대카드 2.1%P(8.1%→10.2%), 하나카드 0.4%P(10.3%→10.7%) 정보보호 예산 비중을 늘린 것과 대조적이다.

나머지 카드사의 경우를 살펴보아도 △우리카드 -4.4%P(18.2%→13.8%), △신한카드 -0.7%P(9.2%→8.5%), △비씨카드 -1.3%P(11.7%→10.4%), △삼성카드 -3.0%P(11.4%→8.4%) 등의 하락 폭보다도 두드러졌다.

뿐만아니라 롯데카드 정보보호 예산은 지난해 122억 4500만 원에서 올해 96억 5600만 원으로 25억 8900만 원 감액됐다. 더욱이 8개 카드사의 경우 그나마도 그 비중이 적은 ‘정보보호’ 예산조차 집행을 다 하지 못했다.

▲ 조좌진 롯데카드 대표이사 사장 등이 18일 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대한 대고객 사과를 하고 있다. (사진=newsis)

지난 2020년~2024년까지 5년간 8개 카드사가 책정한 ‘정보보호’ 예산은 4540억 7700만 원이며 이 중 실제 보안 등에 투자한 ‘정보보호’ 예산은 3747억 8800만 원으로 82.5% 밖에 되지 않았다.

특히 2025년의 경우 4개월밖에 남지 않은 기간동안 집행실적이 58.9%(예산 1021억 5200만 원/집행 601억 9000만 원)에 불과했다.

5년간 합계 기준, ‘정보보호’ 예산 집행실적이 가장 낮은 카드사는 국민카드 69.5%( 예산 920억 6400만 원/집행 639억 5900만 원) 였으며 다음으로 하나카드 73.8%(예산 545억 3800만 원/집행 402억 4200만 원), 비씨카드 75.2%(예산 258억 1000만 원/집행 194억 300원 원) 순이다.

올해 8월까지 8개 카드사의 ‘정보보호’ 예산 평균 집행실적인 58.9% 보다 높은 카드사는 삼성카드(87.3%)와 국민카드 (69.9%) 2곳뿐이며 나머지 6개사는 평균 집행실적보다 낮았다.

해킹사고를 일으킨 롯데카드 역시 ‘정보보호’ 예산 집행실적이 평균의 절반 수준인 50.3%(예산 96억 5600만 원/집행 48 억 5200만 원 ) 였다.

강민국 의원은 “카드사의 경우 업권 특성상 해킹사고 발생 시 카드번호 · 유효기간 · CVC 등 주요 정보가 모두 유출될 가능성이 농후하며 이런 위험성을 적나라하게 보여준 것이 롯데카드 해킹에 따른 개인정보유출 사태인 것이다”고 지적했다.

이에 강 의원은 “롯데카드의 해킹에 따른 정보 유출 관련 무성의한 대책 발표를 볼 때 카드사에 대한 정보보호 규정은 현실성 있는 수준으로 대폭 강화하고 이를 『전자 금융 거래법』의 하위 규정에 명문화 시키는 것이 필요하다”며 정보보호 예산 배정 및 집행률 강화를 위한 제도적 지원방안을 마련을 촉구했다.