법원 "코인원, 2500만원 배상하라"

입력 2019.09.27 14:51 | 수정 2019.09.27 14:58

암호화폐 거래소 상대 첫 해킹 피해 손해배상 청구 인용
일부 잘못 인정, 피해자에게 2500만원 배상 판결

암호화폐 거래소를 상대로 해킹 피해자 손해배상 청구가 인용된 최초 사례가 나왔다.

27일 암호화폐 및 법조계에 따르면 서울남부지방법원은 A씨가 암호화폐 거래소 코인원을 상대로 제기한 5886만원 상당의 손해배상 소송에서 "피고(거래소)는 원고(A씨)에게 2500만원을 지급하라"고 판결했다. 앞서 A씨는 암호화폐 거래소 지갑에 보유하고 있던 9종의 암호화폐와 현금을 외부 해커로부터 탈취당했다.

./픽사베이 갈무리
판결문에 따르면 A씨는 2017년 4월 코인원에 가입한 후 2018년 11월까지 거래소 본인 계정에 4795만원의 현금과 2만7100여개의 이오스(EOS) 등 9종의 암호화폐를 보유했다.

2018년 12월 23일 새벽 0시30분쯤 네덜란드 VPN서버 IP로 접속한 해커는 A씨 계정 비밀번호와 개별적으로 발급받은 구글 OTP 임시번호를 활용해 계정에 들어있던 암호화폐를 처분한 뒤 비트코인을 매수했다. 이 과정에서 코인원 정책에 따라 1일 출금한도(2000만원)보다 훨씬 많은 암호화폐가 송금됐는데도 거래소는 출금 제한을 하지 않았다.

A씨는 코인원을 상대로 손해배상 청구 소송을 제기하면서 "거래소가 이용자 접속 IP와 다른 해외 IP 접속 차단과 같은 최소한의 안전장치도 설정하지 않았다"며 "1일 출금한도 이상이 송금됐는데도 이를 차단하지 못한 것은 거래소의 채무불이행이나 마찬가지다"라고 주장했다.

코인원 측은 반박했다. 거래소 과실로 인해 개인정보가 유출되거나 탈취된 경우가 아니라고 주장했다. 아울러 출금한도 제한도 정부 별도 정책 목적에 따라 이뤄진 것인 만큼 거래소 의무 위반이라고 볼 수 없다고 반박했다.

재판부는 코인원이 개인정보를 관리하지 못했다는 점은 인용하지 않았다. 특정 거래 안전장치가 일반적인 거래 관행으로 자리잡았다는 입증도 없을 뿐더러 거래소가 사전에 불법과 관련된 IP라는 사실을 인지한 경우가 아니라면 차단 의무가 있다고 볼 수 없다고 해석했다.

법원은 출금한도 조치와 관련해서만 원고 손을 들어줬다. 재판부는 "거래소 시스템 해킹을 확정하지 않으면서도 1일 출금한도 제한을 지키지 못한 것은 거래소 잘못이다"라며 "금융사고 예방을 위해 거래소가 자기 제도 일환으로 출금한도를 소개했던 만큼 제한하지 못한 책임을 부담해야 한다"고 밝혔다.

다만 거래소가 출금한도 제한조치를 했어도 2000만원까지의 암호화폐는 출금이 가능했고 거래에 쓰인 정보 유출도 A씨에게서 비롯된 만큼 거래소가 부담해야할 손해배상액을 2500만원으로 제한했다.

이 사건을 담당한 변호사는 "암호화폐 거래소 보안이 문제돼 피해를 입고 있는 사례가 점차 늘어가고 있는데도 거래소 지위와 책임에 대한 법적 근거가 부족한 것이 사실이다"라며 "본 판결을 기화로 향후 암호화폐 거래소 이용자 및 투자자에 대한 보호조치가 충분히 이뤄지기를 희망한다"고 밝혔다.

키워드