암호화폐 전자지갑을 해킹당해 비트코인 1,100여만원어치가 인출되는 피해를 입은 가입자가 암호화폐거래소를 상대로 소송을 냈으나 항소심에서도 패소했다.

A씨는 한 암호화폐거래소에 본인 계정과 암호화폐 보관 전자지갑을 생성하여 비트코인(BTC) 등 암호화폐를 보유하고 있었으나, 2019년 4월 18일 오후 11시 3분쯤 이 계정에서 A씨가 보유하고 있던 1.72964646 BTC(원화 11,004,875원)가 해커에 의해 다른 암호화폐 전자지갑으로 송금되는 거래가 발생했다. 이에 A씨가 "주의의무를 게을리해 해커 침입으로 인한 인출 사고가 발생했다"며 이 거래소의 운영업체를 상대로 손해를 배상하라는 소송을 냈으나 1심에서 패소, 항소했다.

항소심을 맡은 울산지법 민사2부(재판장 이준영 부장판사)는 9월 14일 "피고가 암호화폐거래소로서 이를 이용하는 원고의 계정을 해킹 등으로부터 보호할 선관주의의무(민법 제374조) 또는 정보통신망법상 주의의무를 다하지 못하였다고 인정하기 부족하다"며 1심과 마찬가지로 A씨의 청구를 기각했다(2020나10152).

재판부는 "원고의 회원정보 유출이 피고의 개인정보처리시스템 등의 관리 부실로 발생하였다고 인정할만한 증거가 없고, 현재까지도 이 거래 당시 해커로 추정되는 성명불상자가 어떠한 방법으로 원고의 개인정보를 취득하여 원고의 계정에 로그인하였는지 정확하게 알 수 없는바, 피고의 거래소 관리와 무관하게 원고의 휴대폰이 해킹당하거나 복제당하여 원고의 개인정보가 제3자에게 유출되었을 가능성도 배제하기 어렵다"고 지적하고, "피고는 2018. 12. 27. 한국인터넷진흥원으로부터 정보통신망법상 정보보호관리체계가 적합하다는 인증을 받았고, 그 이후로도 2019년, 2020년에 걸쳐 매년 한국인터넷진흥원으로부터 정보보호관리체계(ISMS)를 심사받고 그에 대한 '인증 유지' 결과를 통보받은바, 피고가 정보통신망법상 정보보호조치를 미흡하게 하였다고 볼만한 정황은 확인되지 아니한다"고 밝혔다.

재판부는 또 "(해킹) 거래 당시 성명불상자는 해외에 소재한 IP 주소로 접속한 것으로 보이나, 해외 IP의 접속을 차단하는 것이 이 거래 당시 한국 법률상 보호대상 자산이 아닌 암호화폐 등의 거래를 주선하는 피고의 영업에 대하여 법령상 부과된 의무는 아니고, 해외 IP 접속 차단이 익명의 모든 거래참여자에 의한 거래를 그 근본적 성격으로 하는 암호화폐 거래의 속성에 비추어 피고 측에서 사전에 불법에 관련되어 있다고 구체적으로 인지한 경우가 아닌 한 해외 IP 접속에 대하여 일반적으로 해외 IP 차단의무가 있다고 볼 수도 없으며, 피고의 거래소와 같은 영업에 있어 특정한 거래 안전장치가 일반적 거래관행으로 자리 잡았다는 입증도 없다"며 "따라서 피고가 평소와 해외 IP 주소를 통한 이용자의 접속을 막지 않았다고 하여 보호의무를 다하지 못한 것으로 보기는 어렵다"고 판시했다.

재판부는 "(해킹) 거래 당시 성명불상자는 2019. 4. 18. 22:35경 거래소에 원고 명의로 로그인한 후 실패 없이 출금에 성공하였는데, 이는 성명불상자가 원고의 ID와 비밀번호 및 구글 OTP번호까지 모두 정확하게 입력했다는 것을 의미한다"며 "이러한 상황이라면 피고 측에서도 이 거래 행위를 해킹에 의한 비정상적인 거래로 인지하기는 어려웠을 것으로 보인다"고 밝혔다. 또 "피고가 암호화폐거래소를 운영함에 있어서 고객의 출금요청이 있는 경우 문자메세지를 통하여 거래내역을 통지하는 등의 보안시스템을 갖추어야 한다거나 고객들의 해킹 피해에 대비한 보험에 가입하여야 할 법적 의무가 있다고 볼만한 근거도 없다"고 덧붙였다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)