[종합] 野, 롯데카드·MBK에 "추가 구제책 마련하라…미흡하면 추가 청문회"

국민의힘, 롯데카드·MBK 불러 '해킹 사고' 추궁
野 "추가 구제책 지켜볼 것…미흡하면 11월 중 청문회"
조좌진 "피해 입증 책임, 사측에 있다"

▲윤종하 MBK파트너스 부회장이 23일 서울 여의도 국회에서 열린 국민의힘 롯데카드 개인정보 유출사태, 피해자 보호 방안 및 재발 방지 대책 간담회에서 물을 마고 있다. 오른쪽은 조좌진 롯데카드 대표이사. 고이란 기자 photoeran@

국민의힘 소속 정무위원회 위원들은 최근 해킹 사고가 발생한 롯데카드와 최대 주주인 MBK파트너스를 불러 피해자들에 대한 추가 구제책을 마련하라고 주문했다. 새로 마련한 대응 방안이 미흡할 경우 올해 말 추가로 청문회를 개최하겠다고 예고했다.

관련해 조좌진 롯데카드 사장은 카드 해지 고객에 대한 별도 보상안을 추가적으로 고민하고 있다고 밝혔다. 또 이번 개인정보 유출로 2차 피해가 발생할 경우 피해 입증 책임은 소비자가 아닌 사측에 있다고 분명히 했다.

조 사장은 23일 국회에서 열린 국민의힘 '롯데카드 해킹 사고 관련 대책 간담회'에 참석해 "개인정보 유출사태로 불편을 드리게 돼 진심으로 죄송하다"고 재차 사과했다.

이날 회의에는 윤한홍 정무위원장을 비롯해 국민의힘 소속 정무위원과 금융위원회·금융감독원·금융보안원 등 금융당국이 참석했다. 롯데카드 최대주주인 MBK파트너스에서는 김병주 회장 대신 윤종하 부회장이 자리를 채웠다.

野 "내달 국감에서 구제책 제시해야…내용 지켜볼 것"

국민의힘은 롯데카드와 MBK파트너스를 향해 추가 구제책 마련을 주문했다.

정무위원회 야당 측 간사인 강민국 의원은 "롯데카드의 대응이 터무니 없다"며 "유출사고 발생 17일 만에 늦장 신고를 한 데 이어 당초 발표한 내용과 비교해 100배 이상 많은 200기가바이트(GB) 분량의 개인정보가 유출된 사실이 뒤늦게 확인됐다. 대응이 안타깝다"고 지적했다.

MBK파트너스를 향해서는 "그런데 이 사고 뒤에는 홈플러스 사태의 주범인 MBK가 있다"며 "그야말로 '또비케이'(또 MBK가 등장한다는 말의 줄임말)"라고 지적했다.

그러면서 "내달 국정감사에서 (롯데카드와 MBK파트너스가) 어떤 피해자 구제책을 가져오는지 지켜볼 것"이라며 "내용이 미흡하다면 더불어민주당과 협의해 11월에 MBK에 대해서만 단독으로 청문회를 개최할 생각도 있다"고 경고했다.

롯데카드를 향해서는 변명만 늘어놓는다며 강하게 질타했다.

간담회 중간 조 사장이 주민등록번호와 카드 번호, CVC 등 중요 개인정보가 유출된 28만 명의 피해 고객들의 경우에도 "오프라인상 피해가 발생할 가능성은 없다"는 등의 해명을 이어가자 유영하 의원은 "변명하지 말라"고 다그쳤다.

김상훈 의원도 "롯데카드는 실제 온라인 거래든 대면 거래든 피해가 발생할 여지가 없다는 해명을 하는데, 고객 입장에서는 롯데카드를 이용했다는 이유만으로 본인들의 신용정보가 유출됐다는 정신적인 피해가 있다"며 "금전적 피해 가능성만 얘기하면 안 된다는 것"이라고 지적했다.

'MBK 책임론' 강조..."김병주 회장 직접 출석하라"

이날 간담회에서는 MBK파트너스를 향한 '최대주주 책임론'이 다시 불거졌다. 윤 위원장은 "MBK가 롯데카드를 인수한 뒤 보안 투자를 소홀히 했다는 지적이 나오고 있는데, 김병주 회장이 오늘도 역시나 참석하지 않았다"고 말했다.

실제로 강민국 의원이 금융감독원으로부터 제출받은 '카드사 정보보호 예산 현황' 자료에 따르면 정보보호 예산과 비중(정보기술예산 대비)은 △2020년 101억 원(14.2%) △2021년 89억 원(11.3%) △2022년 99억 원(9.8%) △2023년99억 원(8.6%) △2024년 122억 원(8.4%) △2025년 97억 원(9.0%)이었다. MBK파트너스 인수 이후 정보보호 예산 비중은 지속적으로 감소하다 올해 소폭 증가하는 데 그친 것이다.

윤 위원장은 "이어지는 국감에서는 반드시 김병주 회장을 국회에 출석시킬 수 있도록 모든 조치를 다 하겠다"고 예고했다. 내달 국감에서도 김 회장이 증인석에 나타나지 않을 경우 동행명령장 발부 등을 검토할 것으로 보인다.

금융당국을 향한 날 선 비판도 이어졌다. 유 의원은 "롯데카드가 개인정보보호관리체계(ISMS-P) 인증을 받고 불과 며칠만에 해커가 침입했다"며 "(인증을 내어준) 금융보안원은 존재하는 이유가 뭐냐"고 꼬집었다. 금융감독원을 향해서도 "사고가 터지면 '엄벌하겠다'고 앵무새처럼 말하는데 사고가 터지기 전에 막아야 하지 않겠냐"고 비판했다.

금감원 관계자는 "통신 및 금융 등 주요 분야에서 보안 문제가 발생하고 있어서 국가 안보 중심으로 관계자들이 종합대책을 마련 중에 있다"며 "세부적인 내용에 대해서는 10월 중 추가적으로 발표할 계획"이라고 밝혔다.

조좌진 대표 "피해 입증 책임, 사측에 있다"

한편 이날 조 사장은 정보 유출로 인한 2차 피해 등의 입증 책임은 전적으로 사측에 있다고 못박았다.

조 사장은 간담회가 끝난 뒤 기자들과 만나 '유출된 정보가 부정 사용 돼 2차 피해가 발생했는지 소비자가 파악해야 하느냐'는 질문에 "그렇지 않다. 저희(롯데카드)가 한다"고 답했다.

그는 "(유출된 자신의 개인정보가) 부정 사용 됐다고 피해 고객이 롯데카드에 접수를 하면 저희들이 (사실관계를) 파악할 것"이라며 "소비자에게는 입증 책임이 전혀 없다"고 못박았다.

카드 해지 고객에 대한 별도 보상안이 발표될지 여부에 대해서는 "추가적으로 고민을 하고 있다"고 설명했다.