금감원 실태평가서 ‘보통’ → ‘미흡’ 강등, 사회적 물의 사유 반영
28만 명 카드 부정사용 위험 노출… 내부통제 시스템 ‘구멍’ 확인
금감원 로드맵 발표 전날까지도 침묵, 소통 부재 행태 비판 고조
롯데카드가 대규모 고객 정보 유출 사고의 여파로 금융당국으로부터 금융소비자보호 실태 ‘미흡’ 성적표를 받았다.
과거 수년간 유지해온 ‘보통’ 등급마저 지키지 못한 채 추락하며, 롯데카드의 내부통제 체계가 사실상 마비된 것 아니냐는 비판이 쏟아지고 있다.
정보보안 사고가 부른 미흡 등급… 사실상 ‘낙제점’
지난 18일 금융감독원이 발표한 ‘2025년 금융소비자보호 실태평가’ 결과에 따르면, 롯데카드는 종합 등급에서 ‘미흡’ 등급을 기록했다.
당초 기초 평가에서는 ‘보통’ 등급 수준이었으나, 평가 기간 중 발생한 대규모 정보유출 사고 등 사회적 물의를 일으킨 점이 반영되어 1단계 하향 조정된 결과다.
특히 이번 평가에서 금감원은 소비자보호 내부통제 인력 규모와 성과평가체계(KPI) 등 거버넌스 항목을 집중 점검했는데, 롯데카드는 이 부문에서도 실효성 있는 운영이 미흡하다는 지적을 받은 것으로 알려졌다.
297만 명 정보 털렸는데… ‘키인(Key-in)’ 결제 등 부정사용 위험 여전
비판의 핵심은 롯데카드의 안일한 보안 관리다.
롯데카드는 최근 발생한 사이버 침해 사고로 인해 무려 297만 명의 고객 정보를 유출했다.
이 중 28만 명은 카드 번호와 유효기간만으로 결제가 가능한 ‘키인(Key-in) 거래’ 등에 노출되어 실제 부정사용이 발생할 가능성이 매우 높은 고위험군으로 분류됐다.
롯데카드 측은 “98% 이상의 재발급을 완료했다”며 수습에 나섰지만, 이미 유출된 정보가 어둠의 경로로 유통될 가능성을 배제할 수 없는 상황이다.
롯데정보통신 보안 전문가는 “단순한 사고가 아니라 금융사의 기초적인 내부통제가 작동하지 않았음을 보여주는 전형적인 사례”라고 꼬집었다.
금감원 ‘로드맵’ 비웃는 불통 행정… “회사 망한다” 경고 귀 닫았나
더욱 문제가 되는 것은 사고 이후의 태도다.
금융감독원은 22일 ‘금융소비자보호 개선 로드맵’을 발표하며, 해킹 등 전자금융사고를 일반 금융사고와 동일하게 취급해 엄중히 책임을 묻겠다고 선언했다.
특히 이재명 대통령은 12일 개인정보보호위원회 업무보고에서 개인정보 유출 기업에 대해 “잘못하면 회사 망한다는 생각이 들게 하라”며 과징금 강화 등 강력한 제재를 예고한 바 있다.
그럼에도 불구하고 롯데카드는 23일 언론의 정당한 취재 요청과 질문에 대해 여전히 ‘묵묵부답’으로 일관하고 있다.
언론사의 취재 요청을 무시하거나 홍보 라인을 폐쇄적으로 운영하는 등, 금융소비자의 알 권리를 외면하고 있다.
‘26년 소비자보호 원년’… 롯데카드, 뼈를 깎는 쇄신 없인 시장 퇴출 우려
금감원은 이번 로드맵을 통해 소비자의 금융정보 접근권과 자기결정권을 실질적으로 보장하겠다는 계획이다.
롯데카드가 이번 ‘미흡’ 등급 판정을 단순히 한 해의 불운으로 치부한다면, 앞으로 강화될 당국의 리스크 기반 감독체계와 징벌적 제재를 견디기 어려울 것이라는 관측이 지배적이다.
전 금감원 출신 금융전문가는 “금융의 기본은 신뢰인데, 정보를 지키지 못한 회사가 소통까지 거부하는 것은 소비자 보호 의지가 없다는 방증”이라며 “롯데카드가 과거의 ‘보통’ 수준으로 돌아가기 위해서는 경영진부터 소비자 보호 DNA를 재무장해야 할 것”이라고 말했다.