사장만 바꾼다고 달라질까?···'해킹 사고' 롯데카드 대주주 MBK는 'no 패치'

7년 간 패치 없던 것이 위기 촉발 CEO·임원 교체는 빠르게 진행 밍기적거리는 금융위원장 행보 야권 ‘대주주’ 봐주기 의혹 제기

2025-11-14     이상헌 기자
조좌진 롯데카드 대표이사(왼쪽)가 지난달 14일 서울 영등포구 여의도 국회에서 열린 공정거래위원회, 개인정보보호위원회 등에 대한 정무위원회 국정감사에 증인으로 출석, 의원 질의에 답하고 있다. 왼쪽 두 번째는 김병주 MBK파트너스 회장. /연합뉴스

롯데카드가 대규모 개인정보 유출 사고 이후 대표이사 교체에 착수했지만 정작 대주주 MBK파트너스가 보유한 지배 구조·보안 의사결정 체계는 그대로 유지되고 있는 것으로 나타났다. 해킹 사고의 출발점이 ‘패치 누락’이었음에도 불구하고, 실제로 패치되지 않은 구조는 경영진이 아니라 대주주라는 평가가 나온다.

14일 여신업계 등에 따르면 롯데카드는 12월 1일부로 조좌진 대표의 사임을 확정했다. 회사는 “경영 책임 명확화”라는 명분을 내세우며 21일 임시이사회에서 후임 대표 선임 절차를 진행할 예정이다. 사외이사 5명 중 3명을 교체하고 주요 본부장 인사도 단행했다.

정보보호 조직도 기존 ‘정보보호실’에서 대표 직속 ‘정보보호센터’로 격상됐다. 하지만 이번 사고의 출발점은 CVE-2017 계열 고위험 취약점을 7년간 방치한 점이었다. 해당 취약점은 원격 코드 실행이 가능한 RCE 취약점으로, 공개 후 오랜 시간이 지났음에도 패치되지 않았다.

공격자는 취약점을 이용해 서버 내부에 웹쉘(Web Shell)을 업로드했다. 보안 당국 조사 과정에서는 서로 다른 유형의 웹쉘 3종이 발견됐으며, 일부는 중국 해킹 조직 ‘문라이트(Moonlight)’의 코드 패턴과 유사한 것으로 분석됐다. 웹쉘을 기반으로 악성 모듈이 설치됐고, 데이터 압축·반출 시도가 세 차례 탐지됐다. 이 중 두 차례는 실제 유출에 성공한 것으로 파악되며, 반출 파일에는 고객 개인정보가 포함돼 있었다.

탐지·차단 체계 역시 ‘노패치’였다. 방화벽·IDS·IPS 등 기본 방어 장비가 구식이다 보니 공격자가 사용한 C2(Command & Control) 서버 IP는 국내외 보안기관이 수년간 반복 경고한 악성 IP였음에도 롯데카드 내부 정책에는 단 한 줄의 차단 규칙도 올라가지 않았다.

이 구조는 마치 경영권을 장악한 사모펀드(SPC) 위에 중국계 자본이 얹혀 있는데도 정작 GP의 실질 지배구조는 비공개인 채 LP 책임만 표면에 노출되는 ‘편향된 책임 구조’와 닮았다. 즉 단순 실무 실수가 아니라 취약점 관리 주기·패치 체계·탐지 운영·위험 의사결정 계층이 모두 분리돼 있으면서도, 실제 책임 주체는 그림자처럼 뒤에 숨는 구조적 허점을 그대로 드러낸 셈이다.

2019년 MBK가 롯데카드를 인수한 뒤 벌어진 구조를 보면 이번 해킹 사고가 단순한 기술 실패인지조차 의심스러운 대목이 있다. IT 예산 대비 정보보호 예산 비율은 12%→8%로 매년 감소했고, 보안 투자는 줄어든 반면 MBK는 인수 이후 현금 배당으로만 2000억 원 이상을 회수했다.

특히 DR·백업 고도화가 필요하던 시기에도 예산은 곧바로 삭감됐고, 매각을 시도하던 해에는 보안 지출이 더 줄었다. 결국 패치 누락, 탐지 체계 비정상 가동, 고위험 취약점 방치는 “사고가 터진 뒤 뒤늦게 1100억 투자”라는 공언으로 덮을 일이 아니라, 대주주가 비용 절감과 수익 회수를 우선하며 보안 리스크를 구조적으로 외면해온 결과라는 비판으로 귀결된다.

또한 이번 롯데카드 신임 사장 선정을 위한 임원후보추천위원회에는 김병주 MBK 회장의 복심인 김광일 전 롯데카드 사장이 참여하고 있어 경영진 평가·선임 단계에 대주주의 영향력이 지속되고 있다는 지적이 나온다. 기타비상무이사인 김 전 사장은 최근 이사회 사임 의사를 밝혔으나, 중도 사퇴가 아닌 이상 새로운 사장 선임에도 MBK의 힘이 닿을 가능성은 여전하다.

금융당국의 오락가락 대응도 눈길을 끈다. 금융위원회는 지난 10월 국정감사에서 “MBK의 GP(업무집행사원) 자격 검토 가능성”을 언급했지만, 이억원 금융위원장이 발표한 실제 후속 대책은 △징벌적 과징금 △성과급 환수제 △통신사기피해환급법 개정 등 금융회사 내부 경영진·임직원에만 초점이 맞춰져 있다. 대주주의 정보보호 투자 의무·보안 예산 결정 구조·패치 책임 등 핵심적인 ‘지배구조 리스크’는 빠져 있는 상황이다.

정치권 역시 이번 사안을 예의주시하고 있다. 익명을 요구한 국민의힘 고위 관계자는 여성경제신문에 “경영진을 교체해도 보안 체계 개선은 대주주의 관리 구조가 변하지 않는 한 한계가 뚜렷하다”며 “홈플러스 매각 논란이나 고려아연·영풍 분쟁에서 나타난 적대적 인수·지배구조 부작용을 제대로 걷어내지 못한다면 이재명 정부가 역풍을 맞을 수도 있다”고 지적했다.

여성경제신문 이상헌 기자
liberty@seoulmedia.co.kr