해킹으로 암호화폐 4억원어치 도난…법원 “거래소 배상책임 없다”

"암호화폐 거래소는 전자금융거래법 적용대상 아냐"

등록 : 2018년 12월 24일 16:53 | 수정 : 2018년 12월 26일 18:04

사진=박근모 기자

 

해킹으로 개인정보가 유출돼 4억원 상당의 암호화폐를 도난당한 피해자가 빗썸을 상대로 손해배상 소송을 제기했지만 패소했다.

서울중앙지법 민사30부(재판장 이상현)는 지난 20일 빗썸 회원 박아무개씨가 국내 암호화폐 거래소 빗썸을 운영하는 비티씨코리아닷컴을 상대로 4억7800여만원을 지급하라며 낸 손해배상 소송에서 원고 패소 판결했다.

판결문에 따르면 박씨는 지난해 11월 30일 오전 9시경 자신의 빗썸 계정에 보유하고 있던 암호화폐를 매도해 4억7800여만원 상당의 원화(KRW) 포인트를 보관 중이었다. 빗썸의 원화 포인트는 빗썸 내에서 암호화폐 구입에 사용할 수 있으며, 1원화 포인트는 원화 1원과 동등한 가치를 갖는다. 그로부터 2시간 후인 오전 11시 27분경 해커로 추정되는 자가 박 씨 계정에 로그인 해 보유중인 원화 포인트를 모두 이더리움으로 교환했다. 이후 같은 날 오후 8시 6분경 빗썸 직원의 승인을 받아 총 4회에 걸쳐 외부 지갑으로 출금됐다. 그 결과 박씨 계정에 남은 돈은 121원 상당의 원화 포인트와 0.7794185 이더리움뿐이었다.

이에 박 씨는 “빗썸이 금융업과 유사한 서비스를 제공하는 점을 고려할 때 사실상 금융기관에 요구되는 고도의 보안조치가 요구된다”며 전자금융거래법에 따라 손해배상책임이 있다고 주장했다. 또 지난해 4월 빗썸에서 발생한 대규모 개인정보 유출 사건을 언급하며, 빗썸 측이 선관주의의무(선량한 관리자의 주의의무, 일반적·객관적 기준에 의해 요구되는 수준의 주의의무를 의미한다)를 다하지 않았다고 주장했다.

지난해 4월 악성코드로 인해 빗썸 임직원 PC에 저장된 빗썸 회원 3만1506명의 개인정보가 유출된 바 있다. 당시 방송통신위원회와 한국인터넷진흥원(KISA)은 추가적인 조사를 통해서 해커가 사전대입공격(공격자가 사전에 확보한 아이디와 비밀번호를 대입하는 방식)으로 4981개 계정을 탈취, 그 중 266개 계정은 암호화폐 출금까지 이뤄진 것으로 확인됐다. 그 결과 빗썸 운영사인 비티씨코리아닷컴은 과징금 4350만원, 과태료 1500만원 등 행정처분을 받았다.

반면, 빗썸 측은 “전자금융거래법에 따라 빗썸은 금융회사, 전자금융업자, 전자금융보조업자에 해당되지 않아 배상책임이 없다”고 항변했다. 또 “개인정보 유출 사건 이후 보안정책을 강화했으므로, 선관주의의무를 다했다”고 덧붙였다.

먼저, 재판부는 빗썸의 전자금융거래법 유추적용 여부에 대해 타당하지 않다고 판단했다. 재판부는 “전자금융거래법은 금융위원회로부터 허가, 등록을 받거나 지정된 자만을 대상으로 한다”라며 “빗썸은 전자금융업자가 아닌만큼 전자금융거래법 유추적용하는 것은 타당하지 않다”고 설명했다. 또 “전자화폐(암호화폐)는 주로 투기적 수단으로 이용되고 있는만큼 전자지급수단에 해당된다고 볼 수 없다”고 덧붙였다.

지난해 4월 해커에게 유출된 개인정보에 박 씨의 개인정보가 포함됐다고 인정할 근거도 없다고 재판부는 판단했다. 재판부는 “현재까지도 해커로 추정되는 자가 어떤 방법으로 원고의 개인정보를 취득해 빗썸 계정에 로그인했는지 알 수 없다”라며 “박 씨가 빗썸과 무관하게 해커가 만들어 둔 파밍(Pharming)페이지에 접속하면서 개인정보가 탈취당했을 가능성이 존재한다”고 설명했다.

끝으로 빗썸이 선관주의의무를 다하지 않았다는 박 씨의 주장에 대해서는 “빗썸에서 암호화폐를 외부로 전송하기 위해서는 관리자가 수동으로 승인해야 하는데, 이 과정에서 빗썸 직원은 박 씨 계정이 비정상적이라는 징후를 발견할 수 없었을 것으로 보이므로, 선관주의의무를 다하지 못한 것으로 볼 수 없다”고 판단했다. 또 “빗썸은 10회에 걸쳐 출금 인증 코드 문자메시지를 박 씨에게 보내는 등 출금절차를 알렸음에도 박 씨가 확인하지 못했다는 점을 비춰 볼 때, 빗썸 관리와 무관하게 박 씨의 핸드폰이 해킹당했을 가능성도 배제하기 어렵다”고 덧붙였다.

빗썸 측은 “빗썸은 회원들의 보안과 자산보호에 최선을 다하고 있다”며 “안전한 암호화폐 거래를 위해서 개인 PC가 외부로부터 공격에 침해받지 않도록 회원들 스스로도 보안에 각별한 주의가 필요하다”고 밝혔다.

각종 제보 및 보도자료는 contact@coindeskkorea.com 으로 보내주세요.