[롯데카드 해킹 수습]① 조좌진표 책임경영…차기 CEO 핵심 과제는 '보안 코드'

2025-11-20     김홍준 기자
조좌진 롯데카드 대표 /사진=김홍준 기자

금융과 통신 업계를 포함한 산업권 전반의 보안 문제가 곳곳에서 터져나온 가운데 롯데카드가 최근에 일어난 해킹사태를 수습하는 과정이 재조명되고 있다. 조좌진 롯데카드 대표가 사고 발생 이후 석달여 동안 '직'을 걸고 수습에 나선 것이 기존의 사례들과 대조를 이루면서다. 

'손바닥으로 하늘 가리기'식이었던 전례와 달리 조 대표는 사태 수습의 일선에서 고객피해 최소화에 주력했고, 진정 단계에 이른 현재 자진사퇴를 천명하며 책임경영을 실천하고 있다. 이에 더해 롯데카드는 조직 전반의 체질을 다시 점검하고 있는 것으로 파악됐다. 해킹 사실 인지 이후 수습까지의 기간, 대처 등은 이례적이라는 평을 받고 있다. 

20일 <블로터> 취재 결과 조 대표는 21일 열릴 임시 이사회에서 사임을 공식화할 예정이다. 기타비상무이사로 활동해온 김광일 MBK파트너스 부회장도 사퇴할 것으로 알려졌다. 사모펀드(PEF) 운용사 MBK가 롯데카드의 대주주라는 점에서 이번 인적 변화는 이사회 중심의 독립경영 체계를 강화하려는 신호로 해석된다.

롯데카드는 일찌감치 이사회 산하에 내부통제위원회를 신설하는 등 이사회 고유의 견제·감독 기능을 강화해왔다. 금융당국 또한 최근 금융회사 전반의 보안·내부통제 확립을 강조하고 있어 구조전환 속도는 더 빨라질 가능성이 크다.

사태 일지에 따르면 롯데카드는 8월26일 서버 점검 중 특정 서버에 악성코드가 감염된 것을 확인하고 전체를 긴급 검사했다. 8월31일 해커의 자료유출 시도 흔적을 추가로 발견하고 하루 뒤인 9월1일 금융감독원에 즉시 보고했다.

이 같은 해킹 정황을 인식한 뒤 외부 기관과의 협력 절차를 지연시키지 않았다는 점에서 기존의 사례들과 분명한 대조를 이룬다. 일부 고객의 불편 접수는 있었지만 롯데카드는 복구 일정을 투명하게 공유하며 단계적 정상화에 나섰다. 이 과정에서 시스템 전체로 충격이 확산되는 상황을 피할 수 있었다.

무엇보다 사고 수습 과정에서 가장 돋보인 것은 '공개-조치-책임'의 명확한 절차를 이행했다는 점이다. 사고 발생 직후 조 대표가 주관한 보안점검회의는 24시간 풀가동된 것으로 알려졌다. 외부의 사이버보안 컨설팅 인력도 투입해 정보기술(IT) 인프라 전반을 원점에서 재점검하는 절차에 착수했다. 

롯데카드의 최근 연도별 정보보안 투자금액 추이 /그래픽=김홍준 기자

지난달 국정감사에서 롯데카드 해킹사태는 '뜨거운 감자'였다. 조 대표는 증인 자격으로 국감장에 출석해 현황을 보고했다. 이에 더해 사태가 진정 단계에 이르자 조 대표는 자진사퇴 의사를 밝혔다. 기존의 대다수 금융회사 IT 사고 때 반복됐던 '지연·축소·은폐' 논란과 대비된다.

롯데카드는 10월31일 임원인사와 조직개편을 단행하며 책임경영 기조를 더욱 분명히 했다. 승진인사 없이 본부장 4인을 포함한 고위급 임원 5인이 용퇴했고, 조직은 기존의 기능 중심 구조에서 고객 중심, 고객가치 중심 체계로 대전환하는 방향으로 재편됐다. 이는 조 대표가 9월 기자 브리핑에서 "사이버 침해 사고를 단순 해킹 이슈가 아니라 경영 메커니즘 전반을 되돌아보는 계기로 삼겠다"고 밝힌 데 따른 것이다.

조직개편의 핵심은 고객 기반 사업조직 강화로, 개인고객 대상의 사업 영역을 통합 관리하기 위해 개인고객사업부가 신설됐다. 이는 롯데카드 설립 이후 처음 도입된 본부 상위 조직이다. 이에 따라 조직은 기존 7본부 체계에서 1부·6본부 체제로 바뀌었다. 

또 전략본부와 경영관리본부를 통합한 경영전략본부를 출범시켜 컨트롤타워 기능을 강화했다. 전사 목표를 일관되게 추진하고 경영혁신을 가속하기 위한 조치다. 이 같은 변화는 고객·보안라인 중심으로 사업·내부통제·문화 조직을 한 번에 재배치한 것으로, 단기 대응을 넘어 체질개선의 방향을 제시했다는 평가가 나온다.

보안 거버넌스 강화도 중요한 축이다. 롯데카드는 정보보호실을 대표이사 직속의 정보보호센터로 격상해 보안 대응 체계를 상향 조정했다. 이와 함께 대표 직속 조직인 ER(Employee Relations)실을 신설해 기업문화·노사관계 개편에도 속도를 내기로 했다. 

롯데카드는 조 대표의 사임이 공식화되는 대로 차기 대표 선임 절차를 밟게 된다. 이번 사고로 보안·리스크 관리 역량의 중요성이 크게 부각되면서 후보 평가에서 기술 기반의 리스크 관리 능력이 높은 비중을 차지할 것으로 전망된다.

시장에서는 차기 대표의 최우선 과제가 '사업 확장'뿐 아니라 '내부통제 정교화'와 '보안 거버넌스 구축' 병행이라는 분석이 힘을 얻고 있다. 사고는 단순한 이벤트로 종료될 수 있지만, 재발 방지책을 얼마나 현실적으로 설계하느냐가 향후 소비자의 신뢰 회복을 좌우하기 때문이다. 데이터·보안 투자가 회사의 리스크를 줄이는 핵심 수단으로 자리 잡을 가능성도 크다.

한 금융권 관계자는 "이번 인사와 사고 대응은 롯데카드가 '보안 위기의 충격'에서 '디지털 체질 재정립' 단계로 넘어가는 전환점"이라며 "롯데카드의 중장기 전략을 다시 설계하는 계기가 될 것"이라고 말했다.