[김경환 변호사의 IT법]<20>해킹에 대한 가상자산 거래소 법적 책임

[김경환 변호사의 IT법]<20>해킹에 대한 가상자산 거래소 법적 책임

최근 해커들이 가장 많이 노리는 곳이 중소 가상자산 거래소라고 한다. 가상자산의 현금화가 쉽고 보안이 상대적으로 취약하며, 심지어 해킹이 발생해도 인지도 늦고 사후 추적도 제대로 되지 않기 때문에 해커로서는 좋은 사냥터라고 생각한다는 것이다.

가상자산 거래소가 생기고 나서 가상자산 거래소에 대한 해킹 소식은 끊이지 않았다. 지난 2014년 일본의 마운트콕스 거래소에 약 5000억원 규모의 해킹이 발생했고, 2018년 역시 일본의 코인체크 거래소도 약 6000억원 규모의 해킹이 발생했다. 2018년 이탈리아의 비트그레일 거래소에 이어 2019년 뉴질랜드의 크립토피아 거래소, 싱가포르의 드래고넥스 거래소와 바이낸스 거래소, 일본의 비트포인트 거래소가 해킹됐다. 2020년에는 쿠코인 거래소가 해커 공격을 받았다. 2021년에 들어와서는 중국의 폴리네트워크 거래소, 일본의 리퀴드 거래소 등 해킹에 의한 피해는 계속되고 있는 게 현실이다.

우리나라도 만만치 않다. 2017년 코인빈(유빗) 거래소의 해킹 사건은 유명하다. 빗썸 거래소는 2018년에 약 190억원, 2019년에 220억원 정도를 해킹당했다. 업비트 거래소도 약 580억원 규모 해킹 피해가 났다. 이 가운데에서도 2018년에 있은 코인레일 거래소의 해킹 사건을 다뤄 보자.

2018년 6월 11일께 코인레일 거래소는 해킹 공지를 했다. 이더리움, 펀디엑스, 엔퍼, 스톰 등 가상통화 10종 약 36억941만개가 40분에 걸쳐 빠져나간 것으로 확인됐다. 해킹당한 가상통화 시세는 이더리움을 제외하면 대부분 100원 이하이며, 모두 450억원대 규모로 추산된다는 내용이었다.

이후 코인레일 거래소는 코인레일 자체 코인이 레일을 발행해서 교환해 주겠다는 자체 보상안을 마련해서 공지했지만 이에 반발하는 이용자들은 코인레일을 상대로 민사소송을 제기했다. 이 민사소송은 필자가 맡아 처리했다. 그 결과는 최근에 나왔으며, 판결 결과는 1심이기는 하지만 매우 유의미한 내용이 들어 있어서 소개하기로 한다.

이 사건에서 원고들은 두 가지를 주장했다. 임치계약에 기한 코인반환청구 불응(채무불이행 책임)과 관리부실에 따른 해킹 발생으로 인한 피해배상(불법행위 책임)이었다.

불법행위 책임의 경우 단순히 피해 발생 사실로는 거래소의 고의·과실 또는 귀책 사유가 입증됐다고 보기 어려워 실제 해킹 경로나 유출 경로가 어느 정도 특정되면서 그 안에서 과실이 특정돼야 하기 때문에 정보가 전혀 없는 피해자로서는 부담이 큰 청구일 수밖에 없다. 대부분의 가상자산 거래소 소송에서 피해자가 패소하는 이유는 정보 부족 또는 증거 부족 때문인데 이 소송의 경우도 불법행위 책임은 인정되지 않았다.

그러나 이용자와 가상자산 거래소 사이에는 가상자산의 보관을 전제로 하는 거래소 이용에 관한 계약이 성립돼 있고 그 계약 내용을 근거로 이용자가 가상자산 반환을 요청하면 거래소는 이를 반환할 의무가 있으므로 이를 근거로 하는, 즉 임치계약을 근거로 하는 채무불이행 책임이 주된 청구로 주장됐다.

이에 대해 법원은 “피고 회사는 이용자들이 예치한 암호화폐를 이용자 연결 전자지갑 또는 출금전용 전자지갑에 보관하고 있다가 이용자의 요구가 있는 경우 해당 이용자의 계좌에 예치된 것과 동일한 종류 및 수량의 암호화폐를 반환하는 방식으로 위 암호화폐 반환 의무를 이행해 왔기 때문에 피고 회사의 위 암호화폐 반환 의무는 피고가 관리하는 위 전자지갑에 보관돼 있는 암호화폐 가운데 일정한 종류와 수량의 암호화폐를 반환 목적물로 하는 의무로서 한정종류물 인도 의무의 유사한 성질을 띤다고 볼 수 있는 점”을 인정하고, 그에 따라 이용자의 반환 요구에도 반환이 되지 않은 점이 위법하다고 평가했다.

이 판결은 가상자산 거래소의 임치와 그에 기한 가상자산 반환 의무를 인정하고 있고, 나아가 해킹의 경우에도 이러한 채무 관계는 여전히 유지된다는 점을 확인하고 있다. 이 경우 가상자산 거래소는 해킹 사고가 불가항력이라는 점을 입증함으로써 책임을 면할 수 있다. 그러나 대부분의 해킹 사고는 인재적 측면이 항상 내재돼 있기 때문에 불가항력의 주장이 받아들여질 공산은 크지 않다.

비록 1심 판결이기는 하지만 이 판결로 인해 향후 가상자산 거래소의 보안이 강화되고, 나아가 피해자의 보호에도 만전을 기하는 계기가 되기를 바란다.

김경환 법무법인 민후 대표변호사 oalmephaga@minwho.kr