롯데카드, 정보보호 투자 현재진행형···목표치 15% 달성은 과제

지난해 해킹 사태 이후 롯데카드가 처음으로 정보보호 현황을 공시한 가운데 관련 인력과 투자 비중 모두 법적 기준을 웃돌며 선방한 것으로 나타났다. 다만 정보기술(IT) 투자 대비 정보보호 투자 비중은 한 자릿수에 머물러 있어 향후 목표치인 15% 달성 여부가 과제로 남아 있다.

25일 한국인터넷진흥원(KISA)에 따르면 지난해 롯데카드의 정보보호부문 전담 인력은 36명으로, 전체 IT 인력(383명) 대비 9.5%를 차지했다.

이는 같은 기간 자율 공시를 실시한 2금융권은 물론 1금융권과 증권사 수준에 육박하거나 일부를 상회하는 수치다. 현재 금융회사는 정보보호 공시 의무 대상은 아니지만, 일부 회사는 자율적으로 관련 현황을 공개하고 있다.

실제 IT 인력 대비 정보보호 전담 인력 비중은 NH투자증권이 10%로 두 자릿수를 기록했으며 웰컴저축은행(7.6%), 신한은행(7.5%), 토스증권(7.4%) 순으로, 롯데카드가 주요 금융사 대비 많거나 비슷한 수준으로 나타났다.

절대 인력 규모로도 웰컴저축은행, 토스뱅크, NH투자증권 등이 8~32명 수준에 머물러 롯데카드는 비교군 내 상위권에 속했다. 다만 100명에 육박하는 신한은행(98명)와는 격차가 적지 않았다.

같은 기간 정보보호 집행 비용은 126억 원으로 IT 투자액(1284억 원) 대비 9.8% 수준으로 집계됐다. 이는 법적 권고 기준을 상회하는 수치다. 전자금융감독규정에 따르면 금융회사는 정보보호 예산을 IT 부문 예산의 7% 이상, 정보보호 인력은 IT 인력 대비 5% 이상 수준으로 운영하도록 규정하고 있다.

다만 투자 비중이 여전히 한 자릿수에 불과한 만큼, 해킹 사태 이후 내건 '정보보호 예산 비중 15% 달성'이라는 약속을 얼마나 빠르게 이행할 수 있을지가 향후 과제가 될 전망이다.

롯데카드는 지난해 9월 해킹으로 전체 고객의 약 3분의 1에 달하는 297만 명의 정보가 유출되는 사고를 겪은 바 있다. 이후 대응책으로 향후 5년간 1100억 원을 정보보호에 투자해 IT 예산 대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다는 방침을 내놨다.

문제는 IT 예산 대비 정보보호 예산 비중이 최근 감소세를 보여왔다는 점이다. 강민국 의원실이 금융감독원으로부터 제출받은 자료에 따르면 2020년 14%를 웃돌았던 롯데카드의 정보보호 예산 비중은 2021년 12%, 2022년 10%, 2023년 8% 순으로 하락 흐름을 보였다.

이와 관련 롯데카드 관계자는 "정보보호 예산은 매년 순차적으로 확대하며 목표치 15%를 달성할 계획"이라고 말했다.

한편 롯데카드는 금융소비자 보호 역량 강화를 위해 조직 전반에 걸친 쇄신을 이어가고 있다. 해킹 사태 직후 보안 역량 강화를 위해 기존 '정보보호실'을 대표이사 직속 '정보보호센터'로 격상한 데 이어, 최근에는 내부통제 체계 강화를 위해 이사회 내 '금융소비자보호위원회'를 신설했다.