롯데카드가 대규모 해킹으로 고객 정보 유출 사실이 최종 확인되기 불과 하루 전 회사채 투자설명서에 “고객 정보 유출이 확인되지 않았다”고 기재한 사실이 드러났다. 투자설명서 공시 시점에 이미 고객 정보 유출을 인지했을 수 있다는 점에서 자본시장법상 중요 사항 기재 의무 위반 논란이 일고 있다.
25일 금융투자 업계에 따르면 롯데카드는 이달 16일 총 1700억 원 규모의 무보증사채(회사채) 투자설명서를 공시하고 이튿날인 17일 증권사 대상 공모 청약과 납입을 진행했다. 해당 문서에는 “현재까지 고객 정보 등 주요 정보의 외부 유출이나 랜섬웨어와 같은 심각한 악성코드 감염은 확인되지 않았다”고 명시됐다.
문제는 회사채 청약이 진행된 17일 롯데카드가 고객 정보 유출 확인 작업을 완료했다는 점이다. 롯데카드는 지난달 31일 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도한 흔적을 발견하고 이달 1일 금융 당국에 침해 사고 사실을 보고했다. 이후 금융 당국은 개인신용정보 유출 확인 작업에 착수해 17일 최종 검증을 완료했고 롯데카드는 다음 날인 18일 297만 명의 고객 정보가 유출됐다는 내용의 대국민 사과를 진행했다. 이런 일정을 고려하면 롯데카드는 16일 투자설명서 공시 시점에 고객 정보 유출 사실을 인지했을 가능성을 배제할 수 없다.
만약 롯데카드가 이 같은 사실을 알고도 회사채 발행을 진행했다면 자본시장법 위반에 해당할 수 있다는 지적도 나온다. 신용카드사가 발행하는 회사채는 자본시장법 제4조 제2항에서 정한 채무증권에 해당해 자본시장법의 적용을 받는다. 롯데카드가 이번 해킹 피해를 이미 알고도 축소하거나 기재하지 않았다면 ‘중요 사항에 관한 거짓의 기재’에 해당해 투자자 보호 의무 위반에 해당된다. 신용카드사의 고객 정보 유출은 수백억 원대 과징금 부과와 대규모 고객 이탈로 이어질 수 있는 투자 위험 요인이기 때문이다.
이에 대해 롯데카드 관계자는 “이달 1일부터 금융 당국의 현장 검사가 진행됐고 17일 일부 고객 정보가 유출된 사실을 최종적으로 확인했다”며 “회사채 발행을 요청한 기관투자가들에도 구두로 이번 사태 전반에 대해 설명했다”고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
jseop@sedaily.com
