암호화폐 또는 가상화폐와 관련한 법제도가 정비되지 않은 상황에서 최근 해킹과 관련한 암호화폐 거래소의 책임에 대한 의미있는 1심 판결이 두 건 나왔다.
지난해 12월 서울중앙지방법원은 주요 암호화폐 거래소인 빗썸 계좌가 해킹당한 2건의 사건에서 빗썸을 운영하는 회사의 책임을 모두 부인하는 판결을 선고했다.
첫 번째는 빗썸 계정에 약 4억7800만원의 원화(KRW) 포인트를 갖고 있던 이용자 A씨의 사례다. A씨 계좌에 누군가 다른 아이피(IP) 주소로 로그인해 이더리움을 구매한 후 빗썸 측에 그가 지정하는 계좌로 이체를 신청해 유출한 사건이었다.
A씨는 암호화폐 거래소가 사실상 금융기관에 대해 요구되는 정도의 보안조치가 필요하다는 이유로 전자금융거래법상 금융회사 등의 책임에 관한 규정을 유추적용해야 한다고 주장했다.
전자금융거래법 제9조 제1항 제3호는 해킹으로 인해 발생한 사고로 이용자에게 손해가 발생한 경우 원칙적으로 금융회사 또는 전자금융업자가 그 책임을 부담하도록 한 규정이다(다만, 동법 제9조 제2항은 이용자에게 해킹 사고에 대한 귀책 사유가 있는 경우로서 책임의 전부 또는 일부를 이용자가 부담할 수 있다는 취지의 약관 규정이 있거나, 법인인 이용자에게 손해가 발생한 경우로서 금융회사 등이 사고방지를 위한 보안절차를 수립하는 등의 충분한 주의의무를 다한 경우 금융회사 등의 책임을 감경하도록 규정하고 있다).
하지만 재판부는 암호화폐의 경우 일반적으로 재화나 용역을 구입하는 데 이용될 수 없고, 가치의 변동폭이 커서 현금 또는 예금으로의 교환이 보장되지 않으며, 주로 투기적 수단으로 이용되고 있다는 이유로 암호화폐를 전자금융거래법에서 규정한 ‘전자화폐’에 해당한다고 볼 수 없다고 판시했다. 나아가 전자금융거래법 제9조 제1항 제3호는 해킹사고에 대한 금융회사 등의 원칙적 책임을 인정하는 등 무거운 책임을 부과하는데, 명문의 규정 없이 전자금융거래법상 책임을 암호화폐 거래소에 물을 수 없고, 위 전자금융거래법 관련 규정은 엄격하게 해석·적용할 필요가 있다고 판시하면서 A씨의 주장을 배척했다.
한편, A씨는 2017년 6월경 발생한 빗썸의 계정정보 유출 사고도 이 사건 해킹과 관련이 있다고 주장했다. 자신이 주로 사용하는 아이피 주소가 아닌 주소로 접속한 것을 막지 못한 것도 유상임치계약상 선관주의의무를 다하지 않은 것이라고 주장했으나, 재판부는 위 주장을 모두 배척했다. 결과적으로 빗썸은 A씨 계정의 해킹으로 인한 사고에 대한 책임을 지지 않는다는 판결이 선고됐다.
두 번째 사례는 해커로 추정되는 자가 2016년 2월경 빗썸 이용자 B씨의 아이디와 비밀번호를 도용해 B씨가 보유한 계정상의 100 BTC를 유출하자, B씨가 빗썸의 운영사를 상대로 100 BTC에 대한 당시 시가 상당액의 손해배상을 청구한 사건이다.
위 사건에서는 B씨가 자신의 아이디 등을 도용한 자를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반죄로 고소했으나, 서울중앙지방검찰청은 해커로 추정되는 자의 신원을 확인할 수 없다는 이유로 기소 중지 결정되기도 했다.
재판부는 빗썸 운영사(금융회사 등이 아닌)가 비트코인의 거래를 중개하는 사업자에게 요구되는 계약상의 주의의무를 위반했다고 보기 어렵고, B씨의 아이디 등 유출에 대한 책임이 있다고 인정할 증거가 없다며 B씨의 주장을 배척했다.
특히 재판부는 빗썸 운영사가 휴대전화 문자메시지로 발송하는 인증 숫자에 대한 기술적 보호조치를 취하지 않았다고 볼 수 없다고 판단했다.
위 두 사건에서 결국 어떠한 경로에 의해서든 자신의 아이디와 비밀번호가 해킹되어 자신의 계정에 있던 현금포인트 내지 암호화폐를 도난당한 암호화폐 거래소 이용자들은 그 손해를 고스란히 자신이 부담하게 된 셈이다.
최근 위 판결 이외에도 암호화폐 거래소와 그 이용자들 사이의 법적인 분쟁이 증가하고 있고, 그 청구원인도 매우 다양하다. 더구나 암호화폐 거래소에 대해 아무런 제도가 갖춰지지 않은 상태에서 수많은 암호화폐 거래소가 우후죽순 생겨났다. 일부 거래소는 하루 아침에 폐쇄되는 경우도 있다. 암호화폐 거래소에 대한 법제화가 이뤄지지 않은 상태에서 피해를 보거나 법적 분쟁에 휘말리는 이용자들도 속출할 수밖에 없는 실정이다. 이러한 상태에서 위 판결들에 의하면, 암호화폐 거래소 이용자들은 해킹이나 아이디 등 도용으로 인한 손해를 자신들이 부담해야 한다.
암호화폐를 ‘화폐’로 인정하는 수준까지는 아니어도 암호화폐 거래소에 대한 적절한 규제와 피해자 보호조치 등에 대해서는 법제화를 하루빨리 해야 하지 않을까 한다.
※ 외부 필자의 원고는 IT조선의 편집 방향과 일치하지 않을 수 있습니다.
정재훈 리인 대표 변호사는 고려대 법대를 졸업했으며 제41회 사법시험 합격 및 31기 사법연수원을 수료했습니다. 법무법인(유)태평양(2005~2011)에 재직했으며, 플로리다 대학교 SJD in Taxation 과정을 수료하고 현재는 법무법인 리인 대표 변호사로 활동하고 있습니다. 또한 대한변호사협회 스타트업규제특별위원회 위원, 한국원자력환경공단, 한국교통안전공단 등의 고문변호사를 맡고 있습니다. 4차 산업혁명 시대에 접어든 지금, 법률(legal)과 기술(technology)의 조화를 고민하며 기술을 통해 효과적인 법률서비스를 제공하고자 합니다.