대규모 개인정보 유출 사고를 일으킨 롯데카드의 정보보호 투자 비중이 지난해 전체 IT 투자액의 10%에도 미치지 못한 것으로 나타났다. MBK파트너스 인수 이후 정보보호 투자 비중이 축소된 흐름이 이어졌다는 평가다.
25일 롯데카드 정보보호 공시에 따르면 지난해 정보보호 투자액은 125억7376만원으로 전체 IT 투자액(1283억6954만원)의 9.8%를 차지했다. 정보보호 전담인력은 내부 28.1명, 외부 8.4명 등 총 36.5명이다.
이번 공시는 지난해 8월 발생한 해킹 사고 이후 처음 공개된 정보보호 현황이다. 사고 이후 긴급 보안 투자와 대응이 이뤄졌음에도 연간 정보보호 투자 비중은 9.8%에 머문 것이다. 이번 수치는 해킹 사고 이후 이뤄진 긴급 보안 투자와 대응까지 반영된 연간 집행 실적이다.
롯데카드를 둘러싸고는 MBK파트너스 인수 이후 정보보호 투자가 위축됐다는 지적이 꾸준히 제기돼 왔다. 강민국 국민의힘 의원실이 금융감독원에서 제출받은 자료에 따르면 롯데카드의 정보보호 예산 비중은 2020년 14.2%에서 지난해 9.0%로 5.2%포인트 하락했다. 정보보호 투자 비중이 지속적으로 낮아진 가운데 지난해 대규모 해킹 사고가 발생하면서 MBK의 비용 절감 중심 경영이 보안 투자 축소로 이어진 것 아니냐는 비판도 나왔다.
실제 해킹 사고 원인으로는 2017년 공개된 온라인 결제 서버 취약점에 대한 보안 패치가 장기간 적용되지 않은 점이 지목됐다. 조좌진 당시 롯데카드 대표도 국회에서 보안 패치 적용이 누락된 사실을 인정했다. 업계에서는 단순한 해킹 공격보다 기본적인 보안 관리 체계가 제대로 작동하지 않았다는 점이 이번 사고의 본질이라는 평가가 나온다.
롯데카드는 해킹 공격으로 고객 약 297만명의 개인정보가 유출됐고, 금융감독원은 영업정지 4.5개월과 과징금 50억원, 조좌진 전 대표에 대한 문책경고 등을 의결했다. 금융위원회는 다음 달 최종 제재 수위를 확정할 예정이다.
롯데카드는 이번 공시에서 웹방화벽(WAF), 확장형 탐지·대응(XDR), 공격표면관리(ASM) 등을 구축했다고 밝혔다. 롯데카드는 개인정보 유출 사고 이후에는 향후 5년간 1200억원을 투입해 정보보호 투자 비중을 15%까지 확대한다고 밝혔다. 네트워크 구간 취약점을 선제적으로 탐지하는 ASM을 도입하고, 해커의 침입을 가정한 전담 레드팀을 운영하는 등 사전 예방 중심의 보안 체계로 전환하겠다는 계획이다.
롯데카드 관계자는 “정보보호 현황을 투명하게 공개하고, 책임감 있게 정보보호를 이행하기 위해 자율 공시했다”며 “향후 5년간 1200억원 규모의 정보보호 관련 투자와 IT 예산 대비 정보보호 예산 비중을 15%까지 확대할 예정이다”라고 말했다.
박두호 기자 walnut_park@etnews.com
