MBK Partners, the majority shareholder of Lotte Card, has reduced intangible investments in the card issuer, including cybersecurity expenditures. This decision has drawn criticism that the private equity fund is prioritizing profitability over cybersecurity, potentially exposing millions of customers' personal information and damaging its brand reputation, according to market analysts.
The backlash coincides with ongoing government investigations into a significant data breach at Lotte Card and unauthorized transactions at a telecommunications firm.
Financial regulators are expressing concerns that the private equity firm may have intentionally decreased IT and security investments in Lotte Card following its acquisition in 2019, aiming to enhance profit margins in anticipation of a future sale.
Data from the Financial Supervisory Service (FSS) indicates that investment in Lotte Card's intangible assets—such as software, digital infrastructure, and IT system maintenance—fell to 140.5 billion won ($100 million) in the first half of this year, down from 217.3 billion won in 2019.
This decline contrasts with competitors like Shinhan, Hyundai, and KB Kookmin cards, which increased their spending in these areas by as much as 40 billion won during the same timeframe.
Additionally, Lotte Card's sustainability report revealed that its IT security spending dropped to 8 percent of total expenses in 2023, down from 12 percent in 2021.
FSS Governor Lee Chan-jin recently emphasized the need for card firms to reconsider the practice of prioritizing short-term gains at the expense of long-term infrastructure during a meeting with industry CEOs. He stated, “Investment in consumer data protection is not optional. It goes to the foundation and sustainability of financial business.”
MBK Partners maintains a majority stake in Lotte Card, while Lotte Shopping holds a 20 percent stake without managerial control.
In a recent announcement, Lotte Card disclosed that the personal data of nearly 3 million customers, approximately one-third of its user base, had been compromised in a hacking incident.
Lotte Card CEO Cho Jwa-jin has offered to resign, taking full responsibility for the breach and pledging to implement immediate reform measures, including enhanced cybersecurity protocols.
MBK파트너스는 롯데카드의 대주주로서 사이버 보안 지출을 포함한 카드 발급사의 무형 자산 투자를 줄여, 수익성을 우선시하고 고객 수백만 명의 개인 정보를 노출시키며 브랜드 신뢰성을 저해했다고 시장 전문가들이 비판하고 있다.
이 비판은 롯데카드의 대규모 데이터 유출 및 KT의 무단 거래와 관련한 전 정부 차원의 조사 가운데 제기되고 있다.
금융 규제 당국은 MBK파트너스가 2019년 롯데카드를 인수한 후 IT 및 보안 투자 규모를 의도적으로 줄여 이익률을 높이려 했다며 우려를 표명하고 있다.
금융감독원(FSS) 자료에 따르면 롯데카드의 무형 자산 투자—소프트웨어, 디지털 인프라 및 IT 시스템 유지 보수를 포함해—는 올해 상반기 1,405억 원(약 1억 달러)으로 2019년의 2,173억 원에서 감소했다.
반면 신한, 현대 및 KB국민 카드는 같은 기간 동안 해당 분야에 최대 400억 원까지 지출을 늘렸다.
롯데카드의 지속 가능성 보고서에 따르면 2023년 IT 보안 지출은 전체 비용의 8%로, 2021년의 12%에서 감소했다.
이채진 금융감독원장은 최근 카드 회사 CEO들과의 회의에서 장기적인 인프라를 희생하면서 단기 이익을 우선시하는 기업 관행을 재고해야 한다고 강조했다.
“소비자 데이터 보호에 대한 투자는 선택적이지 않다”고 이 원장은 회의에서 말했다. “이는 금융 사업의 기초와 지속 가능성에 관련된다.”
MBK파트너스는 롯데카드의 대주주로, 롯데쇼핑의 지분은 20%에 그치며 경영권을 갖고 있지 않다.
롯데카드는 목요일에 약 300만 고객의 개인 데이터가 해킹으로 유출되었다고 발표했다.
롯데카드 CEO 조재진은 모든 책임을 지고 사퇴하겠다고 제안하며, 보안 유지 강화를 포함한 신속한 개혁 조치를 약속했다.