[서울=뉴스핌] 이윤애 기자 = MBK파트너스와 롯데카드의 정보보호 투자 실태가 24일 국회 과학기술정보방송통신위원회 청문회에서 집중 추궁을 받았다. 이 과정에서 롯데카드의 '예산 증액' 해명이 사실과 다르다는 지적이 나왔다.

이정헌 더불어민주당 의원은 이날 오전 과방위 청문회에서 "올해 롯데카드 정보보호 예산 편성액은 128억원으로 지난해 151억원 대비 15.2% 감소했다"며 "지난해 편성액 중 실제 집행액이 117억원에 불과했는데, 이를 근거로 '예산을 늘렸다'고 주장하는 것은 국민을 속이는 행위"라고 질타했다.

앞서 MBK파트너스는 "올해 보안 투자가 128억원으로 지난해 실제 집행액(117억원)보다 11억원 늘었다"며 투자 축소 주장을 반박했지만 편성액 기준으로는 오히려 감액된 셈이다.

금융감독원이 정무위원회 소속 강민국 국민의힘 의원실에 제출한 자료에 따르면 롯데카드의 올해 정보보호(인건비 제외) 예산은 96억5600만원으로 IT 예산(1078억원)의 9.0%에 불과하다. 2020년 14.2%였던 정보보호 비중은 매년 줄어 5년 만에 5.2%포인트(p) 떨어졌으며 이는 8개 전업 카드사 가운데 하락 폭이 가장 컸다. 롯데카드 지속가능경영보고서에서도 IT 대비 보안투자 비중은 2021년 12%에서 2023년 8%로 꾸준히 감소한 것으로 나타났다.

이 의원은 "사모펀드가 단기 수익 극대화를 위해 보안 투자를 축소한 것 아니냐는 의혹을 피하기 어렵다"며 "MBK가 롯데카드 매각을 추진하고 있는 과정에서 향후 1100억원을 투입하겠다는 계획 역시 신뢰하기 어렵다"고 비판했다. 

이에 조좌진 롯데카드 대표는 "실제 투자는 줄지 않았다"며 "예산 집행 구조상 차이가 있을 뿐 보안 강화를 위해 노력하고 있다"고 해명했다. 윤종하 MBK파트너스 부회장도 "과거에는 큰 문제가 없었지만 이번 사건을 계기로 보안 투자에 소홀함이 드러났다"며 "앞으로는 주주로서 책임감을 갖고 지원을 아끼지 않겠다"고 밝혔다.

롯데카드가 이번 해킹 관련 해명한 부분에 대한 지적도 이어졌다. 롯데카드는 48개의 온라인 결제서버(WAS) 중 해외 소규모 페이 서비스를 하는 WAS 하나에 보안 패치 업데이트가 누락됐고, 이를 통해 해커의 침투가 있었다고 설명해 왔다.

이해민 조국혁신당 의원은 "원래 해킹은 전체 시스템 보안 레벨에서 가장 취약한 부분을 파고든다"며 "아무리 다른 시스템의 보안 레벨이 올라가더라도 제일 낮은 곳이 있으면 전체가 낮아지는 것"이라고 꼬집었다.

한편 롯데카드 해킹 피해자들이 재발급 신청을 하고도 일주일 넘게 못받고 있다는 사실도 드러났다.

조 대표는 "현재 카드 재발급 신청이 100만건까지 밀려 있으며, 하루 6만장까지 처리가 가능한 상황"이라며 "이번 주말까지는 대부분 해소할 수 있을 것"이라고 말했다.

롯데카드는 지난달 14일 해킹으로 297만명의 고객 정보가 유출됐다고 밝힌 바 있다. 이중 28만 명은 카드번호, CVC, 주민등록번호 등이 함께 노출돼 부정 사용 위험에 직면한 상태다. 

yunyun@newspim.com