암호화폐 거래소가 해킹을 당해 개인 투자자의 암호화폐를 도난 당했지만 거래소는 배상책임이 없다는 판결이 나왔다.
이 사건은 2017년 11월로 거슬러 올라간다. 당시 원고 A씨는 빗썸 계정에 4억7800여만원 상당의 원화(KRW) 포인트를 갖고 있었다. 하지만 11월 30일 해커로 추정되는 자가 A씨 계정으로 접속했고 A씨가 보유한 포인트로 이더리움을 사들인 다음 이를 4차례에 걸쳐 빗썸 직원 승인을 받아 외부로 빼냈다.
A씨는 소송에서 "빗썸 측은 사실상 금융기관에 요구되는 정도와 같은 고도의 보안 조치가 요구된다"며 "전자금융거래법을 유추 적용해야 한다"고 배상책임을 물었다.
빗썸 측은 "거래소는 전자금융거래법상 금융회사 등에 해당하지 않는다"고 맞섰다.
법원은 빗썸 측 손을 들었다. 법원은 "금융위원회 허가없이 가상화폐거래를 중개하는 피고에게 전자금융업자에 준해 전자금융거래법을 유추 적용하는 것은 타당하지 않다"고 판단했다.
이어 "가상화폐는 일반적으로 재화 등을 사는 데 이용될 수 없고, 가치 변동폭도 크기 때문에 현금 또는 예금으로 교환이 보장될 수 없다"며 "주로 투기적 수단으로 이용되고 있어 전자금융거래법에서 정한 전자화폐에 해당한다고 볼 수 없다"고 밝혔다. 또한 무거운 책임을 부과하는 전자금융거래법 규정은 엄격하게 해석·적용할 필요가 있다고 덧붙였다.
A씨는 2017년 스피어피싱 등을 빗썸 웹사이트 계정정보 등 3만6000여건이 해커에게 유출된 사고도 거론했다. 빗썸 측이 선관주의의무를 다하지 않았다는 주장이다. 하지만 이에 대한 법원 판단은 달랐다.
법원은 당시 해커에게 유출된 개인정보에 A씨 개인정보가 포함됐다고 인정할 증거가 존재하지 않는다고 봤다. 또 해커는 원고가 주로 사용하는 아이피 주소가 아닌 주소로 접속한 것으로 보이기는 하지만, 스마트폰 등은 접속 위치나 시간에 따라 아이피 주소가 변경될 수 있기 때문에 피고가 이런 접속을 막지 않았다고 해서 선관주의의무를 다하지 못한 것으로 보기는 어렵다고 판단했다.
아울러 10회에 걸쳐 피고가 출금인증코드 문자메시지를 A씨의 휴대전화로 보내 이더리움 출금 절차 진행을 알렸음에도 이를 A씨가 수신하지 못한 점에 비춰 빗썸 관리와 무관하게 A씨 휴대전화가 해킹 또는 복제 당했을 가능성도 배제하기 어렵다고 판단했다.