뉴스Q

[크립토 법률상담소] Case #46

암호화폐 거래소에서 내 개인정보가 유출됐다면?

2019. 08. 19 by 황재영

크립토 법률상담소. 이미지=금혜지

 

질문:


최근 해외 거래소 바이낸스 가입용으로 추정되는 ‘여권 인증샷’이 유출됐습니다. 이중 한국인 여권, 운전면허증 등도 포함됐는데요. 이런 일이 발생하면 피해자는 어떻게 해야 하나요?

 

 

황재영 변호사(AMO Labs/펜타시큐리티)의 답변:


황재영 변호사

 

 

국내 거래소라면 우선 정보통신망법에 따른 손해배상청구를 고려할 수 있습니다. 다만 거래소의 고의 또는 과실로 정보통신망법상 개인정보보호 의무를 위반한 경우여야 합니다. 민법상 손해배상청구 또한 가능하나, 거래소의 고의 또는 과실 입증에 있어 정보통신망법상 손해배상청구가 편리할 수 있습니다.

다만 국내에 아무런 기반이 없는 해외 거래소라면 현실적으로 관할 및 집행 문제가 발생해 배상을 받는 것이 쉽지는 않습니다.

 

 

상세 답변:


대부분의 암호화폐 거래소는 자금세탁방지를 위해 여권을 활용한 신원인증 절차를 진행하기에, 거래소는 개인정보보호 의무를 지는 중요한 주체입니다. 국내법상 거래소는 정보통신망법상 정보통신서비스 제공자에 해당한다는 것이 법조계의 일반적인 시각으로 보입니다. 정보통신망법 제5조는 개인정보보호와 관련해 정보통신망법이 개인정보보호법보다 우선 적용된다고 규정하고 있으므로, 정보통신망법의 개인정보보호 관련 내용을 살펴보면 되겠습니다.

정보통신망법 제32조는 정보통신서비스 제공자가 해당 법을 위반한 경우의 손해배상의무를 포괄적으로 규정하며, 제32조의2는 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손된 경우의 특별한 배상방안을 규정하고 있습니다. 제32조의 경우 손해의 발생을 피해자가 입증해야 하지만 제32조의2를 활용하면 개인정보 유출 등의 경우 300만원 이하의 상당한 금액을 손해배상액으로 청구할 수 있게 됩니다.

즉, 개인정보 유출 사고가 발생한 경우 거래소에 정보통신망법상 보호의무 위반이 있었다면 피해자는 300만원 이하의 범위에서 적절한 금액을 손해배상으로 청구할 수 있고, 거래소의 의무 위반으로 발생한 손해액을 직접 입증 및 산정해 배상을 청구할 수도 있습니다. 이 때 거래소가 책임을 피하기 위해서는 ‘정보통신망법상 의무 위반에 고의나 과실이 없었음’을 스스로 입증해야 합니다. 민법상 손해배상청구도 가능하나, ‘거래소의 고의나 과실을 피해자가 입증해야 한다’는 추가적인 어려움이 있습니다.

 

바이낸스 KYC용으로 추정되는 유출 사진.
바이낸스 KYC용으로 추정되는 유출 사진.

 

거래소의 의무 위반은 대부분 ‘법령상의 기술적, 관리적 보호조치를 다하지 않은 경우’가 될 것으로 보입니다. 다만 현실적으로 피해자가 그러한 위반사실을 확인하기는 어려울 수 있습니다. 하지만 법원은 법령에 기재된 내용만이 아니라 ‘실질적으로’ 안전한 보호조치를 취했는지 판단하여 피해자를 최대한 보호하고자 하는 입장입니다.

한편, 정보통신망법은 ‘개인정보 보호책임자의 업무, 정보유출에 따른 통지 및 신고, 법 위반사항과 관련한 물품 및 서류의 제출’에 대한 역외적용규정을 두고 있기도 합니다. 이에 따르면 일정 규모 이상의 해외 기업은 국내에 사업장이나 법적 주체가 전혀 없더라도 국내에 해당 업무와 관련한 대리인을 지정해야 합니다. 하지만 개인정보 유출에 따른 실제 손해배상 청구에 있어서는 여전히 관할 논란이 생길 수 있고, 집행에도 현실적인 문제가 발생할 가능성이 높습니다.

거래소에 대해 개인정보 유출 손해배상청구가 이루어진 사례는 아직 없습니다. 거래소가 규제 안으로 들어오는 과정에서 다양한 사례들이 생겨나겠지요. 소모적인 분쟁이 아닌 기반 다지기를 통해 하루빨리 안정적인 시스템이 형성되기를 기원해 봅니다.
 

 

개인정보보호 트렌드


개인정보보호는 국가와 업계를 가리지 않고 점점 더 중요한 이슈가 되는 추세입니다. EU의 GDPR(일반정보보호규정)이나 중국의 네트워크안전법은 강화된 개인정보보호 규정을 가지고 있으며, 미국에서도 개별 영역이나 특정 주의 법률이 아닌 일반적인 개인정보보호법 제정이 필요하다는 목소리가 높아지고 있다고 합니다.

국내의 경우 대형 금융사와 인터넷 서비스사의 잇따른 개인정보 유출 사고 이후, 산재되어 있던 규정들을 통합할 수 있는 개인정보보호법이 2011년 제정되었습니다. 한편 온라인 서비스 전반에 적용되는 정보통신망법 또한 개인정보보호 관련 규정을 가지고 있습니다.

 

 

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?

기사 댓글

댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.