롯데카드 ‘6개월 영업정지’ 역대급 중징계 가시화, 신뢰도 위기에 MBK ‘노심초사’
입력
수정
“정보 관리 허술” 직접적 제재 사유로 지목
사실상 ‘면허 취소 직전’ 수준 중징계 가능성
MBK 책임론↑, 매각 및 재무전략 부담 커져
해킹으로 대규모 개인정보가 유출된 롯데카드가 금융당국으로부터 사실상 최고 수준의 제재를 받을 위기에 처했다. 최대 6개월 영업정지와 많게는 수백억원에 달하는 과징금이 거론되면서 카드업계는 이를 당국의 강력한 경고로 받아들이는 분위기다. 동시에 롯데카드 최대 주주 MBK파트너스의 매각 전략에도 직접적인 타격을 주면서 투자자 신뢰 하락과 사업 차질로 이어질 가능성이 제기된다. 롯데카드와 MBK의 미래가 금융당국의 제재 수위에 따라 좌우될 수 있다는 점에서 업계와 시장 참여자들의 시선이 집중되는 양상이다.
업계 “최대 수준 제재 불가피” 전망 우세
26일 윤한홍 국민의힘 의원실에 따르면 금융위원회는 이번 해킹 사태와 관련한 롯데카드의 위규 사항에 대해 최고 수위의 징계를 검토 중이다. 금융위는 윤 의원실에 제출한 보고서에서 “전자금융거래법, 신용정보법, 여신전문금융업법 등 관련 법령에 따라 업무 정지 최대 6개월과 최대 50억원의 과징금 부과가 가능한 상황”이라고 밝혔다. 영업 정지 6개월은 여신전문금융업법상 최고 수준의 징계이며, 50억원은 전자금융거래법이 규정한 최대 과징금 액수다.
금융당국의 조사는 개인정보 유출과 관련한 롯데카드의 과실이 규모와 내용 모두에서 중대하다는 판단으로 기우는 양상이다. 금융감독원과 금융보안원 합동 조사에 의하면 롯데카드의 개인정보 유출 규모는 8월 14일부터 27일까지 약 보름 사이 누적 200GB에 달했다. 이는 애초 자진신고(1.7GB)보다 훨씬 큰 수치이며, 소비자 수 기준으로는 296만9,000명의 개인신용정보에 해당한다. 특히 이 가운데 28만3,000명의 개인정보는 카드 비밀번호와 CVC(카드 뒷면 3자리)까지 함께 빠져나간 것으로 파악됐다. 당국이 ‘일벌백계’ 기조를 강조하는 배경이다.
실무적으로 ‘영업정지 최대 6개월’은 카드 신규모집과 주요 부수 업무의 정지가 핵심이다. 신규 회원 모집이 막히면, 카드사는 가맹점 제휴(PLCC) 확대, 요금제·혜택 개편, 제휴 포인트 전환 확대 같은 성장 루트가 사실상 모두 막힌다. 기존 회원의 결제승인·청구·상환 등 필수 운영은 유지된다는 점에서 ‘시스템 셧다운’과는 다르지만, 향후 피해고객 통지와 카드 재발급 및 비밀번호 초기화, 모니터링 강화, 보험·배상 등 사후조치 비용을 충당할 여력은 줄어들 수밖에 없다. 여기에 제재 확정 시 내부통제와 외주·협력사 보안 실사를 의무화하는 보완명령이 함께 따라붙을 가능성 또한 농후한 실정이다.
과징금 규모는 법적 근거에 따라 부과된다. 금융위가 언급한 50억원은 전자금융거래법상 과징금 상한으로, 타 법률을 적용하거나 징벌적 과징금 제도를 별도로 도입할 경우 매출액 연동 방식이 적용될 수도 있다. 예컨대 정보통신망법은 위반 시 매출의 최대 3%를 과징금으로 부과한다고 명시하고 있다. 이 경우, 외부 평가지표를 단순 대입하면 최대 800억원에 달하는 과징금이 산출된다. 당국은 “검사 결과에 따라 (과징금을) 확정할 계획”이라면서도 “과징금 액수보다 중요한 것은 개인정보·정보보안 통제가 경영책임의 최상위 의제로 올라섰다는사실”이라고 제도적 메시지를 강조했다.
과거 사례와 비교해도 훨씬 중대
금융권에서는 영업정지 6개월을 ‘면허 취소 직전’에 해당하는 초강도 제재로 본다. 카드업 특성상 신규 회원 모집·카드 발급·제휴 확장 등 성장 동력이 통째로 멈추는 기간이기 때문이다. 실제 적용 시에는 기존 승인·정산 등 필수 운영은 유지되지만, 고객 기반 확장과 수익 포트폴리오 재구성이 6개월 동안 사실상 봉인된다. 내부통제와 정보보안 의무 위반이 핵심 사유인 이번 사안의 성격을 감안하면, 업계가 체감하는 징계 강도는 일부 업무 제약 수준을 넘어 ‘사업 전략의 일시 정지’에 가깝다는 평이 지배적이다.
금융권 역사를 되짚어 봐도 6개월에 달하는 업무 정지는 극히 제한적으로만 내려졌다. 비교적 최근의 사례로는 2021년 ‘라임 사태’를 꼽을 수 있다. 당시 금융위는 신한금융투자와 KB증권에 대해 업무 일부 정지 6개월을 의결했다. 신한금융투자는 펀드 불건전 판매와 부당권유, HTS/MTS 관리 부실 등으로 사모펀드 신규 판매 6개월 정지 및 과태료 40억8,800만원 처분을 받았고, 임직원 24명에게는 최대 정직 3개월의 제재가 가해졌다. 라임 사태는 총수익스와프(TRS 거래 관련 부정 등 중대한 법규 위반이 복합적으로 확인된 특수 사례였고, 그만큼 6개월 정지는 일반적 제재의 상한선에 해당했다는 점이 확인됐다.
이는 2023년 불거진 ‘이상 외환송금’처럼 시스템 리스크 파급이 컸던 사안과 비교하면 더욱 선명해진다. 당시 금융위는 우리은행 3개 지점에 대해서만 6개월 일부 영업정지와 과징금 3억1,000만원을 처분했고, 신한·하나·NH농협은행에 대해선 각 1개 지점 일부 영업정지 조치를 취했다. 당시 금감원 집계 기준 총 위반 송금 규모는 122억6,000만 달러(약 16조1,096억원)에 달했고, 이 중 5대 시중은행 비중은 52%에 달했음에도 제재는 주로 지점 단위 일부 정지에 그친 것이다. 이 같은 전례를 떠올려 보면, 전사 단위 6개월 영업정지 가능성이 거론되는 롯데카드 사안은 위반의 강도 면에서 라임 사태급, 혹은 그 이상으로 평가될 수밖에 없다.
MBK ‘단기성과주의’ 도마 위
롯데카드에 대한 금융당국의 중징계 가능성이 커지면서 최대 주주인 MBK파트너스의 셈법도 복잡해지는 모양새다. MBK는 지난 2019년 롯데카드 지분 79.83%를 약 1조3,800억원에 인수한 뒤 꾸준히 매각을 모색해 왔으나, 최근 해킹 사태와 관련한 당국의 제재 예고가 나오면서 매각 성사가 한층 어려워진 상황이다. 당장 연내 매각은 사실상 불가능에 가깝다는 평가가 지배적이며, MBK가 추진해 온 투자 회수 전략에도 큰 차질이 예상되는 상황이다. 롯데카드와 MBK는 지난 5월 주관사 UBS를 통해 투자자 유치를 시도했으나, 예비입찰 단계에서 원매자가 나타나지 않으면서 매각 일정을 보류한 바 있다.
이 같은 매각 난항은 롯데카드 자체 실적 부진과도 맞물린다. 롯데카드 당기순이익은 2020년 1,307억원에서 2023년 3,749억원까지 성장세를 보였으나, 지난해 다시 1,354억원으로 주저앉았다. 이런 상황에서 발생한 개인정보 유출과 같은 대형 보안 사고는 롯데카드의 신뢰도를 크게 흔들었고, 막대한 과징금과 영업정지 처분 가능성까지 제기되면서 잠재 매수자들의 부담은 한층 확대됐다. 카드사의 핵심 경쟁력이 ‘안정성’에 있다는 점에서 이번 사태는 롯데카드의 기업 가치 전반에 지울 수 없는 낙인이 될 전망이다.
해킹 사태를 제외해도 롯데카드와 MBK를 둘러싼 사법 리스크는 치명적인 수준이다. 지난달 서울중앙지검은 홈플러스 특수목적법인(SPC)의 자산유동화전자단기사채(ABSTB) 발행과정에서 롯데카드가 부당하게 협조했는지를 확인하기 위해 본사를 압수수색했다. 특정경제범죄가중처벌법상 사기와 자본시장법 위반 혐의가 적용될 가능성이 제기되며, 금융당국 역시 MBK파트너스에 대한 현장 조사와 제재 절차에 돌입한 상태다. 이처럼 해킹과 압수수색, 규제 등 삼중의 리스크가 겹치며 롯데카드의 앞날은 물론 MBK의 투자 전략에도 적신호가 들어온 상태다.
시장에서는 MBK의 ‘단기성과주의’가 결국 이번 사태의 뇌관이 됐다는 비판의 목소리가 나온다. MBK 운영 체제 아래 롯데카드의 정보보호 예산 비중은 2021년 IT 예산 대비 12%에서 2023년 8%까지 하락했고, 같은 기간 재해복구(DR) 시스템 및 백업 고도화 예산도 137억1,000만원에서 88억5,000만원으로 절반 가까이 줄었다. MBK가 롯데카드 매각 준비 과정에서 비용 절감에 치중하느라 보안 투자에는 소홀했고, 그 결과 대규모 정보 유출 사태로 이어졌다는 지적이다. 이번 제재가 확정될 경우, MBK는 롯데카드 매각에 나설 기회 자체가 축소되는 것은 물론 국내 주요 연기금과 기관투자자들의 기피 대상이 될 수밖에 없다는 게 시장 전반의 시각이다.
