 |
금융 당국의 조사결과 297만명의 CI(연계 정보), 가상결제코드 등이 유출된 것으로 공식 확인됐다. 이 중 약 28.3만명(9.5%)은 카드비밀번호와 CVC까지 유출된 것으로 파악됐다.
물론 롯데카드측은 "이같은 정보만으로는 카드 부정사용이 불가능하고, 카드 재발급을 진행하지 않아도되며 사고 발생시 전액 보상하겠다"며 안심시켰지만 날로 흉폭해지는 사이버 범죄로 국민들의 불안감은 여전하다.
이날 대국민 사과와는 별개로, 롯데카드의 사과문에서 눈에 띄는 것은 "향후 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다"는 내용이었다. 즉, 연평균 220억원을 IT보안 투자에 쏟아붇겠다는 약속이다.
이를 통해 24시간 실시간 통합보안 관제체계를 강화하고, 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화하며 전사 IT 시스템 인프라를 정보보호 중심으로 전면적으로 개편하겠다는 것이다.
만약 1100억원 투자가 약속대로 집행된다면 이는 국내 카드사중에선 단연 압도적인 IT보안 투자 규모다.
이것이 얼마나 막대한 액수인지, 롯데카드보다 훨씬 덩치가 큰 시중은행과 비교해보면 어느정도 체감이 된다. 평균적으로 국내 카드사들의 IT예산은 시중은행의 10분의 1 정도다.
지난해 리딩뱅크를 차지한 신한은행의 당기순이익은 3조6954억원이다. 이 신한은행이 지난해 집행한 IT 총예산이 4288억원이며, 이 중 IT보안 예산이 370억원이다. 여기에 보안 운영 인력은 외주 포함 91명이다. 신한은행과 비교해도 큰 차이가 나지 않는 수준이다.
따라서 롯데카드의 이날 약속이 반갑기보다는 의문이 먼저 드는것은 당연하다 .
더구나 여기에는 그렇게 생각할만한 매우 현실적인(?) 두 가지 이유도 존재한다.
먼저, 롯데카드의 대주주가 다름아닌 사모펀드인 MBK파트너스라는 점이다.
물론 모든 사모펀드가 기업의 중장기 투자는 등한시하고 단기 이익만 추구하지는 않겠지만, 롯데카드 해킹 사고 이후 줄곧 금융계 일각에서 제기됐던 것이 MBK파트너스 책임론이다.
"MBK파트너스가 단기 이익만 중시한 나머지 그동안 롯데카드의 IT보안 투자에는 너무 소홀하지않았느냐"는 비판이다.
롯데카드와 별개의 사안이긴 하지만 MBK파트너스는 최근 전국 15개 홈플러스 매장의 폐점 결정 등으로 여론의 뭇매를 맞고있다.
지난 3월 홈플러스 기업회생신청 사태 이후, 여론으로부터 MBK파트너스는 '선량한 자본 투자자'로서의 역할보다는 단기적 이익만 좇는 사모펀드라는 악평을 받고 있는 것과 맥락을 같이한다.
이런 저간의 상황때문에, MBK파트너스가 과연 향후 롯데카드에 대한 막대한 IT보안투자에 선뜻 나설지 의구심이 드는 것이다.
금융 당국도 MBK파트너스에 대한 신뢰를 보내지 않고 있다. 최근 이찬진 금감원장은 여신전문업계 CEO와의 간담회 자리에서 “비용절감을 통한 단기 실적에만 치중한 반면 정보보안을 위한 장기 투자에는 소홀한 결과는 아닌지 뒤돌아 봐야 한다”고 말했다. 이 금감원장이 직접 실명을 거론하지는 않았지만 롯데카드 해킹 사태와 관련한 MBK파트너스를 겨냥했다는 분석이 나왔다.
롯데카드의 1100억원 투자가 쉽지않을 것으로 보는 또 다른 이유는 롯데카드의 실적 자체가 악화되고 있기 때문이다.
즉, 롯데카드가 과감하게 IT보안 투자를 하고 싶어도 과연 투자 여력이 되느냐는 것이다.
더구나 롯데카드의 올 상반기 당기순이익은 416억원으로 전년대비 33.8%나 감소했다. 순이익 기준, 국내 카드사중 최하위다. 지난 2019년 5월, 롯데카드가 MBK파트너스에 매각된 이후 최악의 성적표다.
내용적으로 봐도, 롯데카드는 MBK파트너스가 대주주가 된 이후 금융자산·자회사 매각 등으로 인해 실적이 반짝 상승했을뿐 정작 본업에선 수익 창출에 한계를 드러냈다는 지적을 받고 있는 상황이다.
물론 향후 5년간 1100억원의 IT보안 투자가 실제 실행에 옮겨진다고 해서 롯데카드의 IT보안 인프라의 안정성이 획기적으로 개선된다고 장담할 수도 없다. 해킹 등 보안위협도 급속도로 진화하기때문에 더 투입돼야 할 수도 있다.
이날 롯데카드 경영진의 대국민 사과와 1100억원의 IT보안 투자 약속이 당장 비판의 화살을 모면하기 위한 레토릭에 불과한 것인지, 아니면 진정성을 담은 약속인지는 알 수 없다. 다만 시간이 지나면 자연스럽게 증명될 것이다.
그런 점에서 농협의 사례는 좋은 본보기다.
지난 2011년 4월, 농협도 당시 해킹에 의해 대규모의 전산마비 사태를 겪은 바 있다.
3~4일간의 전산 먹통사태가 겨우 진정되자 농협 경영진도 대국민 사과와 함께 IT보안 투자에 적극적으로 나서겠다고 약속을 했다. 이후 농협은 실제로 전체 IT예산중 13~15%를 수년간 보안투자에 쏟아부었고, 현재는 은행권에서 최상위급 보안수준을 확보한 것으로 평가받고 있다.
'무신불립'(無信不立), 신뢰없이는 결국 어떤 것도 이룰 수 없는 것이 금융업이다.
당장은 투자 효과가 나타나지 않는 지루한 여정이 기다리겠지만, 아무쪼록 롯데카드가 위기를 기회로 바꿀 수 있는 진정성을 보여주기 바래본다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.