3줄 브리핑
- 롯데카드의 지난해 정보보호 투자액은 125억7376만원으로, 전체 IT 투자액 1283억6954만원의 9.8%에 그쳤다.
- 정보보호 전담인력은 내부 28.1명, 외부 8.4명을 합쳐 36.5명 수준으로, 카드사 고객 규모 대비 얇은 진용이라는 평가가 나온다.
- MBK파트너스 인수 이후 정보보호 투자 비중 축소 흐름이 이어졌다는 지적이 사고 이후 다시 부각되고 있다.
무엇이 달라지나
핵심은 사고가 터진 뒤에야 드러난 투자 구조다. 정보보호 공시상 롯데카드의 보안 투자 비중 9.8%는 단순히 한 해의 숫자가 아니라, 사모펀드 인수 이후 비용 효율화 기조 속에서 보안이 우선순위에서 밀려온 흐름의 결과로 읽힌다. 통상 금융권은 정보보호 투자 비중을 IT 예산의 10% 안팎에서 관리하지만, 카드사는 결제·개인신용정보를 대량으로 다루는 만큼 같은 비율이라도 절대 위험 노출도가 훨씬 크다. 사고 이후의 복구·배상·과징금 비용이 그동안 아낀 투자액을 단숨에 넘어설 수 있다는 점에서, 9.8%라는 숫자는 절감이 아니라 이연된 비용에 가깝다.
달라지는 것은 규제 당국과 시장의 시선이다. 한 곳에서 대형 유출이 발생하면 금융위·금감원은 업권 전반의 정보보호 실태를 다시 들여다보고, 동종 카드사들은 선제적으로 보안 예산을 늘려 규제 리스크를 줄이려는 방어적 투자에 나서는 경향이 있다. 즉 이번 사안은 롯데카드 개별 문제를 넘어, 카드·캐피탈·저축은행 등 2금융권 전반의 정보보호 투자 하한선을 끌어올리는 트리거가 될 가능성이 있다.
또 하나는 인력 문제다. 전담인력 36.5명 중 외부 인력이 8.4명이라는 구성은 관제·침해대응의 상당 부분을 외주에 의존하고 있음을 시사한다. 사고 이후에는 인하우스 보안 조직 강화와 외부 전문 관제(MSS) 계약 확대가 동시에 진행되는 경우가 많아, 자체 채용과 아웃소싱 시장이 함께 커지는 구도가 나타날 수 있다.
숫자와 맥락으로 보기
1283억원의 IT 투자에서 보안에 배정된 125억원은, 비율로는 10% 문턱 바로 아래다. 문제는 이 비율이 인수 전후로 늘었는지 줄었는지의 추세다. 비중이 축소돼 왔다는 평가가 사실이라면, 투자 여력이 없어서가 아니라 우선순위 조정의 결과라는 해석에 무게가 실린다. 결제 데이터와 카드 식별정보가 유출될 경우 부정사용·2차 피싱으로 번지는 특성상, 보안 1%포인트의 절감이 사후에는 수십 배의 손실로 환산될 수 있다.
맥락에서 함께 봐야 할 변수는 배상과 제재의 규모, 그리고 고객 이탈이다. 카드사 실적은 신규 회원 모집과 카드론·할부 등 자산 성장에 크게 좌우되는데, 신뢰 훼손은 회원 순증과 취급고에 직접적인 압력으로 작용한다. 투자자라면 사고 비용보다 영업 기반의 훼손폭을 더 무겁게 봐야 할 국면이다.
수혜·피해 종목
- 롯데카드(비상장 주체) — 사고 당사자로 배상·과징금·복구비용과 회원 이탈 리스크에 직접 노출. 상장사가 아니어서 주가 영향은 제한적이나, 모기업·계열 신뢰도와 카드업권 전반의 투자 기조에 파급.
- 안랩 — 금융권 보안 솔루션·백신·관제 수요가 구조적으로 늘면 매출 전방 수요가 확대되는 경로. 사고 이후 도입이 빨라지는 엔드포인트·위협탐지 영역에서 수주 가시성이 개선될 여지.
- SK쉴더스(관제·MSS) — 외주 관제 비중이 큰 2금융권이 침해대응을 강화하면 매니지드 보안 서비스 계약 확대의 직접 수혜. 인력 충원 대신 전문 관제로 대응하려는 수요와 맞닿음.
- 윈스 — 네트워크 침입방지(IPS) 등 인프라 보안 장비 교체·증설 수요가 규제 강화 국면에서 늘어나는 구조. 금융권 인프라 투자 사이클에 연동.
- 라온시큐어 — 인증·신원확인(본인확인·생체인증) 솔루션 수요가 결제 보안 강화와 함께 확대될 수 있는 경로. 부정사용 방지 흐름의 수혜 후보.
