[알파경제=이준현 기자] 297만 명의 개인정보가 해커의 손에 넘어간 롯데카드 사태의 이면에 대주주인 사모펀드 MBK파트너스의 고의적인 '보안 투자 축소' 전략이 있었다는 분석이 지배적이다.

단기 수익 극대화에 매몰돼 보안 인프라 투자를 외면한 결과, 2017년에 발견된 서버 취약점을 7년간 방치하는 어처구니없는 실수가 사상 최악의 금융 정보 유출 사고라는 참사로 번졌다.

MBK파트너스가 2019년 롯데카드를 인수한 후 IT 예산 대비 정보보호 투자 비중은 2020년 14.2%에서 2025년 9.0%로 5.2%포인트 급락했다.

같은 기간 MBK는 배당금으로 2011억원을 수령해갔다. 이는 뒤늦게 약속한 '향후 5년간 보안 투자' 계획 1100억원의 거의 2배에 달하는 금액이다.

홈플러스에서 이미 검증된 MBK의 '자산 유동화' 경영 방식이 롯데카드에서는 '보안 투자 축소'로 변주되면서 300만 고객을 위험에 빠뜨렸다는 것이 업계의 중론이다.

◇ 롯데카드, 5년간 투자 비중 5.2%포인트 추락

 

MBK파트너스는 롯데카드의 최근 해킹 사태와 관련해 "보안 관련 투자를 소홀히 했다는 의혹은 사실이 아니며 관련 투자를 꾸준히 확대해왔다"고 해명했다.

그러나 금융감독원이 국회에 제출한 자료는 MBK의 주장을 정면으로 반박한다. 롯데카드의 IT 예산 대비 정보보호 투자 비중은 MBK 인수 직후인 2020년 14.2%에서 올해 9.0%로 5.2%포인트나 추락했다. 이는 전업 8개 카드사 중 가장 큰 감소 폭이다.

같은 기간 경쟁사들은 정반대 행보를 보였다. KB국민카드는 이 비중을 10.3%에서 14.9%로 4.6%포인트 늘렸고, 현대카드도 8.1%에서 10.2%로 상향 조정했다. 롯데카드만 유독 보안 투자 우선순위를 낮춘 것이다.

절대 금액도 마찬가지다. 2021년 137억원이던 정보보호 투자는 2022년 88억원으로 35% 급감했다가 이후 점진적으로 회복해 올해 128억원을 기록했지만, 여전히 2021년 수준에 못 미친다.

MBK가 내세우는 "71억원에서 128억원으로 증가"라는 주장은 인수 첫해인 2019년과 비교한 것으로, 실제 투자가 가장 많았던 2021년은 의도적으로 제외한 편향된 해석이다.

보안 투자 축소는 전문 인력의 대거 이탈로 이어졌다. 전체 IT 인력 대비 정보보호 인력 비중이 2022년 24.6%에서 지난해 13.3%로 반 토막 수준으로 급락했다. 예산뿐만 아니라 전문 인력마저 희석시킨 것이다.

반면 MBK파트너스는 이 기간 배당금으로 2011억 원을 챙겨갔다. 고객 정보가 위험에 처한 상황에서 이익을 주주 배당으로 챙길 것인가, 보안 투자로 돌릴 것인가의 기로에서 MBK의 선택은 단기 수익이었다.

반면 MBK 파트너스는 롯데카드가 'IT 인프라(Capex)'와 '인력(Opex)' 양 측면에서 균형 있게 IT 및 보안 투자를 지속해 왔다고 반박했다. 

 

◇ 홈플러스→롯데카드까지…MBK, 일관된 경영 패턴 문제?

롯데카드 사태는 MBK파트너스의 일관된 경영 패턴 속에서 벌어진 '예정된 참사'라는 평가가 나온다.

MBK는 홈플러스를 인수한 뒤 본업 경쟁력 강화 대신 부동산 매각을 통한 현금 확보에 몰두했다. 대구 1호점, 안산점, 대전둔산점 등 '알짜 점포'들을 매각해 차입금을 상환하는 과정에서 홈플러스의 핵심 경쟁력이 훼손됐고, 결국 기업회생 신청이라는 파국을 맞았다.

롯데카드에서는 물리적 자산 대신 '디지털 자산'이 희생양이 됐다. 무형자산은 MBK 인수 전인 2019년 2173억원에서 2025년 상반기 1405억원으로 35% 감소했다. 노후화된 서버와 보안 시스템을 교체하고 고도화하는 데 필요한 재투자가 제대로 이뤄지지 않았다는 방증이다.

홈플러스의 수익 공식이 '부동산 매각 후 차입금 상환'이었다면, 롯데카드에서는 '보안 투자 축소 후 매각가치 제고'라는 형태로 변주된 셈이다.

MBK는 2022년부터 롯데카드 매각을 본격 추진해왔고, 이 시점과 보안 투자 감소 시기가 기묘하게 일치한다. 매각을 앞둔 기업의 단기 재무 성과를 개선하기 위해 장기적 안정성의 근간이 되는 보안 투자가 후순위로 밀린 것이다.

아웃도어 브랜드 네파 역시 MBK 인수 후 인력 감축과 배당금 지급이 우선시되면서 경쟁력이 급격히 쇠퇴했다.

MBK가 기업 가치 향상보다 단기 자본 차익 실현에 집중하는 사모펀드의 전형적 문제점을 반복하고 있다는 비판이 나오는 이유다.
 

◇ 김병주 회장, 청문회 나올까

MBK파트너스 김병주 회장은 24일 국회 과학기술정보방송통신위원회 청문회에 증인으로 출석한다.

조좌진 롯데카드 대표와 함께 297만명 정보 유출 사태에 대한 책임을 추궁받는다. 홈플러스 사태 때 국회 현안질의에 불출석해 여야 의원들의 공분을 샀던 김 회장으로서는 피할 수 없는 자리가 됐다.

청문회에서는 보안 투자 축소와 매각 전략의 연관성이 핵심 쟁점이 될 전망이다. 2022년 첫 매각 추진 시점과 보안 예산 감소 시기의 일치, MBK의 이중적 해명 논리의 모순, 홈플러스 사태와의 구조적 유사성 등이 집중 추궁될 것으로 예상된다.

정치권은 이미 사모펀드 규제 강화에 나섰다. 한창민 의원이 대표발의한 'MBK 사모펀드 규제법'에는 정보공개 의무화, 차입한도 200% 제한, 2년간 배당금지 조항이 포함됐다. 금융당국도 강경 대응 기조를 유지하고 있다.

이찬진 금융감독원장은 "비용절감을 통한 단기 실적에만 치중한 반면 정보보안을 위한 장기 투자에는 소홀한 결과가 아닌지 뒤돌아봐야 한다"며 사실상 MBK를 겨냥한 비판을 쏟아냈다.

롯데카드에는 최대 800억원 과징금 부과 가능성이 제기되고 있다. 이는 지난해 당기순이익 1354억원의 60%에 육박하는 금액이다. 여기에 피해 고객들의 집단소송까지 본격화되면서 MBK의 재무적 부담은 가중될 전망이다.

더 큰 문제는 신뢰 회복이다. 롯데카드는 향후 5년간 1100억원을 보안 분야에 투자하겠다고 발표했지만, 이미 깨진 고객 신뢰를 되돌리기는 쉽지 않다. 전체 회원의 31%에 달하는 297만명의 정보가 유출된 상황에서 대규모 회원 이탈은 불가피해 보인다.

MBK파트너스로서도 홈플러스와 롯데카드로 이어진 연쇄 사고는 국내 최대 사모펀드 운용사라는 위상에 치명타가 될 전망이다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]