롯데카드는 지난해 전체 IT 투자액의 10%에 미치지 못한 정보보호 투자 비중을 공개했다. MBK파트너스 인수 이후 정보보호 투자가 축소된 것으로 나타났으며, 지난해 정보보호 투자액은 전체 IT 투자액의 9.8%를 차지했다. 내부 28.1명, 외부 8.4명 등 총 36.5명의 정보보호 전담인력을 보유하고 있다.
롯데카드는 지난해 8월 발생한 해킹 사고 이후 처음으로 정보보호 현황을 공개했다. 해킹 사고 이후 긴급 보안 투자와 대응이 이뤄졌지만, 연간 정보보호 투자 비중은 9.8%로 유지되었다. MBK파트너스 인수 이후 정보보호 투자가 위축된 것으로 지적되며, 지난해 정보보호 예산 비중은 14.2%에서 9.0%로 5.2%포인트 하락했다.
해킹 사고의 원인으로는 2017년 공개된 온라인 결제 서버 취약점에 대한 보안 패치가 제때 이뤄지지 않은 것이 지목되었다. 롯데카드는 이번 사고를 계기로 약 297만명의 고객 개인정보 유출로 인해 영업정지 4.5개월과 과징금 50억원, 조좌진 전 대표에 대한 문책경고 등의 제재를 받았다.
이에 롯데카드는 웹방화벽(WAF), 확장형 탐지·대응(XDR), 공격표면관리(ASM) 등을 구축하고, 향후 5년간 1200억원을 투자해 정보보호 투자 비중을 15%까지 확대할 계획이다. 또한 네트워크 구간 취약점을 탐지하는 ASM을 도입하고, 전담 레드팀을 운영하여 사전 예방 중심의 보안 체계를 강화할 예정이다. 해당 관계자는 "정보보호 현황을 투명하게 공개하고, 책임감 있게 정보보호를 이행하기 위해 자율 공시했다"며 "향후 5년간 1200억원을 정보보호 관련 투자에 투입하고, 정보보호 예산 비중을 15%까지 확대할 것"이라고 말했다.