"1.7GB 보고했지만 더 컸다" … 해킹 후 17일간 몰랐던 롯데카드3조→2조로 몸값 낮췄지만 … 홈플러스 이어 또 불거진 MBK 리스크지난 5년간 IT보안 감사 1회 불과 … '사모펀드식' 관리 공백
  • ▲ ⓒ뉴데일리 DB.
    ▲ ⓒ뉴데일리 DB.
    올 상반기 기준 960만 명의 고객을 보유한 카드업계 6위 롯데카드에서 사이버 침해 사고가 발생하며 매각 절차가 큰 차질을 빚고 있다. 최대주주인 사모펀드(PEF) 운용사 MBK파트너스가 단기 수익에만 집중한 나머지 보안 투자를 소홀히 했다는 지적이 잇따르며 책임론이 확산되는 분위기다. 해킹 사고의 추가적인 피해사실이 드러나며 매각 작업이 순탄치 않을 것이란 전망이 지배적이다.

    금융권에 따르면 롯데카드는 이달 1일 일부 서버가 악성코드에 감염된 사실을 금융당국에 신고했고, 금융감독원은 다음날 금융보안원과 함께 현장검사에 착수했다. 당초 롯데카드가 보고한 유출 규모는 1.7기가바이트(GB)였지만 현장 조사에서는 이보다 훨씬 큰 피해가 드러날 가능성이 제기되고 있다.

    당시 롯데카드는 해킹 발생 후 17일이 지나서야 피해 사실을 파악한 것으로 알려져 늑장 대응이라는 비판도 받았다.

    이번 해킹 사태는 매각 작업에 악재로 적용할 것으로 예상된다. MBK파트너스는 2019년 우리은행 컨소시엄과 함께 롯데카드 지분 79.83%를 인수한 뒤 2022년 JP모간을 주관사로 첫 매각을 시도했으나 무산됐다.

    이후 지난해 말 UBS를 매각 주관사로 선정해 두 번째 매각을 추진하고 있다. 목표 매각가를 3조원대에서 2조원으로 낮췄지만, 지난 5월 인수 후보군에 티저레터를 발송한 이후 4개월이 지나도록 원매자가 나타나지 않았다. 홈플러스 단기채무 사태로 MBK의 재무 건전성 우려가 제기된 데다 이번 해킹까지 겹치면서 매각이 더욱 어려워졌다는 평가가 나온다.

    사모펀드 특유의 단기 수익 중심 경영이 보안 공백을 키웠다는 지적도 이어진다. 기업을 인수한 후 단기간 내 가치를 끌어올려 매각 차익을 추구하는 PEF의 특성상 보안 투자를 제대로 하지 않았다는 것이다.

    금융감독원이 국회 정무위원회 강준현 의원실에 제출한 '전업카드사 IT자체감사 수행 현황'에 따르면 전업 카드사 8곳 중 롯데카드만 최근 5년간 IT보안 자체감사를 단 한 차례만 실시한 것으로 나타났다. 정보보호 예산도 2021년 137억원에서 2022년 88억원으로 약 35% 줄었고, 2023년에는 110억원으로 반등한 뒤 현재까지 비슷한 수준을 유지하고 있다.

    MBK파트너스는 이미 홈플러스 단기채 발행 논란으로 금융당국의 조사를 받고 있다. 홈플러스가 기업회생절차 신청 계획을 숨긴 채 6000억원 규모의 단기채를 발행했다는 의혹으로, 금감원은 지난달 말 서울 광화문 MBK 본사에 조사 인력을 투입해 현장 조사에 착수했다. 검찰도 관련 의혹을 수사 중이다. 

    금융당국은 홈플러스 인수 과정에서의 차입매수(LBO) 구조와 투자자 보호 여부까지 재점검하고 있으며, 이번 롯데카드 해킹까지 겹치면서 MBK 경영 전반에 대한 불신이 더욱 커지고 있다.

    정치권과 금융당국은 강경 대응을 예고했다. 이재명 대통령은 지난 4일 수석보좌관회의에서 "보안 사고를 반복하는 기업에 대해 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 하라"고 지시했다. 이찬진 금융감독원장 역시 전날 열린 여신전문금융회사 CEO 간담회에서 "최근 금융권의 사이버 침해사고를 뼈아픈 자성의 계기로 삼아야 할 것"이라며 "비용절감을 통한 단기 실적에만 치중한 반면, 정보보안을 위한 장기 투자에는 소홀한 결과는 아닌지 뒤돌아 보아야 한다"고 강조했다.

    현재 금융당국은 롯데카드 해킹 사고로 인한 정보 유출 및 피해자 규모 등을 확인하는 작업을 벌이고 있다. 조사는 막바지 단계로, 이르면 이번주 조좌진 롯데카드 대표가 직접 대국민 사과와 피해 대책을 발표할 것으로 알려졌다.

    롯데카드 관계자는 "아직까지는 확인 작업 중"이라며 "검사가 마무리되는 대로 공식발표가 있을 예정"이라고 말했다.