`해킹피해에 암호화폐 거래소도 책임` 첫 손해배상 판결 나왔다

[이데일리 이정훈 기자] 해킹을 당해 전자지갑에서 암호화폐를 탈취 당한 이용자에 대해 암호화폐 거래소가 직접 고객 손실을 배상해야 한다는 법원 판결이 나왔다. 이는 해킹 피해자 손실에 대한 암호화폐 거래소의 책임을 인정한 첫 판결이라는 점에서 여타 소송에도 영향을 미칠 것으로 보인다.

27일 법조계에 따르면 서울남부지방법원은 지난 25일 해킹으로 인해 암호화폐 거래소 전자지갑에 보유하고 있던 9종의 암호화폐와 현금을 잃어버린 A씨가 해당 C거래소를 상대로 제기한 5886만원 상당의 손해배상 소송에서 “거래소는 2500만원을 지급하라”며 원고 일부 승소 판결을 내렸다.

지난 2017년 4월 C 암호화폐 거래소에 계좌를 튼 A씨는 지난해 11월 거래소 본인 계정에 현금 4795만원과 전자지갑에 2718여개의 이오스(EOS) 등 9종의 암호화폐를 보유하고 있었다. 그러다 그 해 12월23일 새벽 0시30분쯤 네덜란드 VPN서버에 있는 IP로 접속한 해커가 계정 비밀번호와 A씨가 개별적으로 발급받은 구글 OTP로 임시번호를 생성해 9종 암호화폐를 모두 팔아 비트코인을 산 뒤 이 비트코인을 다른 곳으로 송금해 버렸다.

특히 이 과정에서 암호화폐 거래소의 정책에 따라 정해져 있는 1일 출금한도인 2000만원보다 훨씬 많은 암호화폐가 송금됐는데도 출금 제한이 이뤄지지 않았다.

A씨는 C거래소를 상대로 손해배상 청구 소송을 제기하면서 “거래소가 이용자 접속 IP와 다른 해외 IP 접속 차단과 같은 최소한의 안전장치도 설정하지 않았고 1일 출금한도 이상이 송금됐는데도 이를 차단하지 못했다”고 주장했다.

이에 대해 C거래소는 “이 사건의 거래는 거래소 과실로 인해 고객의 개인정보가 유출되거나 탈취된 경우에 한해 채무불이행에 해당한다고 적시한 이용약관에 해당하지 않으며 출금한도 제한도 정부의 별도 정책 목적에 따라 이뤄진 것인 만큼 거래소 의무 위반이라고 볼 수 없다”고 반박했다.

재판부는 “이 사건 거래가 C거래소가 보유하거나 관리하는 A씨 계정 등에 대한 정보를 제3자가 취득해 이뤄졌다고 인정할 증거가 없으며 해외 IP 차단 의무도 일반적인 관행으로 자리 잡았다는 입증도 없다”며 거래소 시스템의 해킹을 확정하지 않으면서도 1일 출금한도 제한을 지키지 못한 것은 거래소의 잘못이라고 인정했다. 재판부는 “금융사고 예방을 위해 C거래소가 자기 제도의 일환으로 출금한도를 소개했던 만큼 제한하지 못한 책임을 부담해야 한다”고 지적했다.

다만 거래소가 출금한도 제한조치를 했어도 2000만원까지의 암호화폐는 출금이 가능했고 거래에 쓰인 정보 유출도 A씨에게서 비롯된 만큼 거래소가 부담해야할 손해배상액을 2500만원으로 제한했다.

한 법조계 관계자는 “이는 국내에서 암호화폐 거래소를 상대로 한 이용자의 손해배상 청구가 인용된 사실상 최초의 사건”이라며 “암호화폐 거래에는 일반적인 거래보다 중한 보호조치가 갖춰져야 한다는 취지로 암호화폐 거래소의 법적 책임을 명확히 했다는 점에서 의미가 있다”고 해석했다. 또 “특히 법적 근거도 없고 논의도 미흡했던 암호화폐 거래소의 법률상 지위와 책임에 대해 하나의 판단기준을 제시했다는 점에서 업계에도 시사점이 있을 것”이라고 내다봤다.