[미디어펜=이보라 기자] 롯데카드 해킹 사태로 300만명에 달하는 고객 정보가 유출되면서 카드업계에 비상이 걸렸다. 특히 이번 해킹 사태로 롯데카드의 정보보호 예산과 관련해서도 논란이 발생한 가운데 카드사들은 부랴부랴 재점검에 나서는 모습이다.

롯데카드의 최대주주인 사모펀드 MBK파트너스는 정보보안 및 IT 투자를 꾸준히 확대했다고 밝혔으나 주장과 다른 자료가 공개되면서 논란이 일고 있다.

25일 국회 정무위원회 김상훈 국민의힘 의원실이 금융감독원을 통해 받은 ‘전업 카드사 총예산 및 정보보호 예산 현황’(연간 편성액 기준)에 따르면 롯데카드의 올해 정보보호 예산 편성액은 128억원으로 지난해(151억원)보다 15.2% 감소했다.

앞서 MBK파트너스는 지난 21일 보도자료를 내고 롯데카드의 보안 투자는 올해 약 128억 원으로 지난해(117억원)와 비교해 증가했다고 밝힌 바 있다.

이정헌 더불어민주당 의원은 전날 열린 통신·금융사 해킹 사태 관련 청문회에서 “올해 롯데카드 정보보호 예산편성액은 128억원, 지난해 편성액은 151억원으로 편성액으로만 따지면 15.2%가 감소했다”며 “그런데 지난해 편성액 151억원 가운데 실제로 투자한 금액은 117억원 밖에 안 되고 올해 세운 예산이 128억원이니까 예산을 늘렸다고 주장하는데 이런 식으로 속이듯이 자료로 내면 안 된다”고 지적하기도 했다.

롯데카드는 정보보호 내부 인력도 줄인 것으로 나타났다. 금감원이 국회 정무위 소속 김용만 더불어민주당 의원실에 낸 자료를 보면 롯데카드 정보기술(IT) 부문 총 인력 대비 정보보호 인력 비중은 2022년 24.6%에서 지난해 13.3%로 11.3%포인트 줄었다. IT 대비 정보보호 예산 비중도 2021년 12%에서 2023년 8%로 낮아졌다. IT 임원 역시 3명으로 전체 임원(45명)의 7% 수준으로 8개 전업 카드사 중 최하위권이다.

다른 카드사들의 경우에도 보안 관련 예산을 줄인 것으로 나타났다. 강민국 국민의힘 의원실은 금감원에서 제출받은 자료를 토대로 8개 전업 카드사의 정보보호 예산 비중을 공개했다.

자료에 따르면 정보보호 예산 비중 하락 폭은 롯데카드가 2020년 14.2%에서 올해 9%로 5.2%p 급감하며 가장 큰 것으로 나타났다. 이어 우리카드 -4.4%포인트(18.2%→13.8%), 삼성카드 -3%포인트(11.4%→8.4%), 비씨카드 -1.3%포인트(11.7%→10.4%), 신한카드 –0.7%포인트(9.2%→8.5%) 등으로 집계됐다.

롯데카드는 지난 18일 297만명의 고객 정보 약 200GB(기가바이트)가 유출됐다는 사실을 공식적으로 발표했다. 960만명 회원의 약 3분의 1 수준이다. 이 중 28만명은 연계정보(CI), 주민등록번호뿐만 아니라 카드번호와 유효기간, CVC 번호 등까지 유출돼 단말기에 카드정보를 직접 입력해 결제하는 키인 거래 시 부정 거래가 이뤄질 수 있다.

롯데카드는 이달에만 8만명의 회원이 탈회했으며 재발급 신청은 100만건에 달하는 상황이다. 피해자들의 집단소송 움직임도 본격화하고 있다. ‘롯데카드 개인정보 유출 집단소송 카페’에 소송 참여 의사를 밝힌 회원수는 1만명을 넘어섰다. 또 업계에서는 롯데카드에 최대 800억원 수준의 과징금이 부과될 수 있다고 전망하고 있다.

이에 카드사들은 대비 태세를 갖추는데 주력하고 있다. 신한카드는 침해사고를 대비한 매뉴얼과 개인정보 유출 대응을 위한 업무 기준을 마련해 운영하고 있다. 하나카드는 하나금융그룹 공동으로 구축한 네트워크 상시검증체계를 통해 상시 모니터링을 하고 있으며, KB국민카드는 개인정보 침해 사고 대응반을 운영 중이다. BC카드는 화이트해커 모의해킹 훈련을 통해 대응 역량을 높이고 있다.

정태영 현대카드 부회장은 롯데카드 해킹 사고와 관련 “남의 일이 아니다”라며 “내년 예산 편성에 해킹 방지 투자를 확충할 계획”이라고 말하기도 했다.

이어  “우리가 당했다고 생각하고 한번쯤 (보안체계를) 다시 보자고 했다”며 “내·외부 화이크해커를 통해서도 점검하고 있다”고 말했다.