또 MBK…롯데카드 인수해 배당 2000억 챙기고 '보안투자' 뒷전

(서울=뉴스1) 김도엽 기자 = 롯데카드 해킹 사태와 관련 대주주인 MBK파트너스에 대한 책임론이 대두되고 있다. MBK가 인수한 후 전체 IT 예산 대비 정보보호를 위한 예산 비율이 축소해 수익성 극대화를 위해 보안 투자를 경시한 것이 아니냐는 지적이다.

19일 롯데카드의 '지속가능경영보고서'에 따르면 전체 정보기술(IT) 예산에서 정보보호에 투자되는 비율은 지난 2021년 12%에서 2022년 10%, 2023년 8%로 매년 줄었다.

지난 2019년 MBK파트너스가 롯데카드를 인수한 후 해당 비율이 계속 하락한 것이다.

전날(18일) 조좌진 롯데카드 대표이사는 기자회견에서 롯데카드가 매년 정보보안 운영 및 IT 투자를 꾸준히 강화하고 있다고 해명한 바 있다.

다만 이런 해명이 무색하게 MBK파트너스가 인수한 2019년 정보보안 운영 및 IT 투자액은 71억 4000만원이었으나, 인수 이듬해인 2020년에는 69억 1000만 원으로 줄었다.

2021년에는 DR(재해 복구) 및 백업시스템 고도화로 137억 1000만 원까지 금액을 늘렸으나, 2022년에는 곧바로 88억 5000만 원으로 크게 줄이기도 했다.

2022년 당시는 MBK파트너스가 롯데카드를 매각을 시도한 시기기도 하다. 당시 MBK파트너스는 인수가의 2배가 넘는 3조 원을 매각가로 제시했으나, 하나금융지주와의 입장차를 좁히지 못하고 결국 매각이 무산됐다.

향후 5년간 1100억 원을 투자할 것이라며 뒤늦은 대응에 나선 것도 도마 위에 올랐다. MBK파트너스가 재매각을 추진 중이라 수익 극대화에 치중하면서 보안 투자엔 소홀했다는 지적도 함께 제기된다.

조 대표는 전날 "향후 5년간 1100억 원의 정보보호 관련 투자를 집행해, IT 예산 대비 정보보호 비중을 최고 수준인 15%까지 확대·운영하겠다"며 "자체 보안 체제를 구축하고 24시간 통합보안 방제 체계를 강화하고 레드팀을 신설해 해커 침입을 가장한 예방 활동을 상시로 하겠다"고 밝힌 바 있다.

연평균 220억 원 수준으로, 올해 책정한 예산 128억 1000만 원의 2배 가까운 금액이다. 현행 가이드라인에 따르면 IT 예산 대비 정보보호 예산 비중은 7% 이상 수준을 유지해야 하는데, 2배 넘는 수준이다. 다만 예방을 위한 사전 조치가 아닌 사후 투자란 지적이다.

MBK파트너스는 롯데카드 인수 후 지금까지 현금 배당으로만 2000억 원을 넘게 받은 것으로 나타났다. 인수가가 1조 3810억 원인 점을 감안하면, 14.5%를 회수한 셈이다.

한편 이번 해킹 사태로 개인정보가 유출된 회원 규모는 297만 명이다. 롯데카드 전체 회원 수의 3분의 1 수준으로, 온라인 결제 서버에서 정보 유출이 발생한 것으로 조사됐다. 전체 유출 고객 중 유출된 고객정보로 카드 부정 사용으로 이어질 가능성이 있는 고객은 총 28만 명 가량이다.

doyeop@news1.kr