이용하는 거래소가 해킹되어 자산을 잃어버렸는데 보상 받을 수 있나요?

안녕하세요? 아하(Aha) 법률 분야 전문가 이승환변호사입니다.
질문하신 내용에 대하여 아래와 같이 답변 드립니다.

암호화폐 거래소의 해킹과 관련하여 최근 판결들이 일부 나오고 있습니다.

우선 최근 기사를 보면 인정한 판결이 있는 것으로 보입니다.

https://www.edaily.co.kr/news/read?newsId=01354646622624384&mediaCodeNo=257

그리고 작년에 선고된 서울중앙지방법원 2018. 12. 18. 선고 2017가단5016023 판결을 보면 아래와 같이 판단한 판결도 있습니다. 쟁점은 결국 거래소의 의무위반이 있었는지 입니다.

나. 판단

(1) 인증단계의 간소화

피고는 2014. 8.경부터 2016. 2.경까지 비트코인 인출을 하기 위해서는 ① 아이디와 비밀번호를 입력하여 로그인하는 단계, ② 출금신청시 이용자가 사전에 설정해 놓은 출금비밀번호 입력, ③ 이용자의 이메일주소로 피고 회사가 발송하는 인증코드를 입력함으로써 이루어지는 이메일 인증, ④ 피고 회사로부터 이용자의 핸드폰 단문메세지로 전송되는 SMS 일회용 인증번호 또는 구글 OTP를 활용한 일회용 비밀번호 입력까지 순차적으로 모두 입력해야 하는 4단계의 절차를 거치도록 되어 있었으나, 2016. 2. 17. SMS(OTP)만으로 출금 인증하도록 변경한 사실은 당사자 사이에 다툼이 없다.

그러나 위와 같은 인증단계의 간소화로 인하여 성명불상자에게 ◇◇ 사이트에 접속할 수 있는 원고의 아이디와 비밀번호 또는 OTP가 알려졌는지에 관하여는 갑 제11 내지 23호증의 각 기재만으로는 이를 인정하기 부족하고 달리 이를 인정할 증거가 없으므로, 원고의 위 주장은 이유 없다.

2) 기술적 보호조치 의무 위반

이 사건 발생 당시 적용되던 개인정보의 안전성 확보조치 기준(행정자치부고시 제 2014-7호) 제6조 제3항은 ‘개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다’라고 규정하고 있고, 제2조는 ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고, ‘비밀번호’라 함은 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다고 규정하고 있다. 따라서 원고가 주장하는 문자메세지로 발송된 인증숫자는 위 고시가 정의하는 비밀번호라고 보기 어려울 뿐만 아니라, 이 법원의 □□뱅크 주식회사 대표이사에 대한 사실조회회신에 의하면, □□뱅크 주식회사는 피고로부터 메시지 전송에 필요한 수신번호를 제공받아 피고가 자체 DB에 문자메시지 전송에 대한 필수 정보를 넣으면 피고 자체 서버에 설치되어 있는 □□뱅크 주식회사의 EMMA프로그램을 통해 □□뱅크 주식회사의 GW 시스템으로 데이터를 전송하고, □□뱅크 주식회사는 그 데이터를 통신사로 전송하는 형식으로 서비스하는 사실, 피고에 설치되어 있는 EMMA가 기본 설정인 경우라면 DB에 메시지 Log가 남게 되므로 시스템 접근 가능한 관계자라면 메시지 내역 확인이 어느 정도 가능할 것으로 예상된다고 답변한 사실을 인정할 수 있을 뿐이므로, 위 사실만으로 피고가 기술적 보호조치의무를 위반하였다고 인정하기 부족하고 달리 이를 인정할 증거가 없다. 따라서 이 부분 주장 역시 이유 없다.

(3) 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자의 주의의무를 위반

원고는 피고로부터 비트코인 매매 알림 이메일을 받지 못하였으므로, 피고가 정보통신망을 통하여 영업하는 자로서의 주의의무를 위반하였다고 주장하나, 이를 인정할 아무런 증거가 없으므로, 이 부분 주장은 이유 없다.

(4) 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관

갑 제19, 20호증의 각 기재에 의하면, 피고가 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 사실이 적발되어 방송통신위원회로부터 위반행위의 중지 및 재발방지대책 수립 시정명령 등의 행정처분을 받은 사실은 인정되나, 원고의 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관되고 있지 않았음은 피고가 자인하고 있으므로, 이 부분 주장 역시 이유 없다.

결국 민사소송은 피해를 주장하는 원고가 무엇을 청구원인으로 하여 어느 정도 입증했는지가 관건입니다.

따라서 해당 거래소의 상황 및 해킹이 이루어지게 된 경위 등 제반 사실을 명확히 특정 한 후 어떤 법리로 전개를 하는지에 따라 승소를 할 수도, 패소를 할 수도 있을 것으로 판단됩니다.

안녕하세요? 아하(Aha) 법률 분야 전문가 이변호사입니다.
질문하신 내용에 대하여 아래와 같이 답변 드립니다.

거래소는 암호화폐의 중개 수수료를 지급 받고 이를 보관하는 역할도 합니다. 그러므로 질문자의 자산인 암호화폐를 안전하게 보관해야 할 보관자의 지위를 거래소 이용계약(대개는 사이트 가입과 동시에 약관의 동의 절차를 통해 계약이 성립 됩니다.)을 통해 지게 됩니다. 그러므로 계약상 고객의 자산을 안전하게 보관할 의무를 위반한 것으로 이로 인한 손해를 배상해야 합니다. 다만 거래소의 자산 자체가 없고 해킹으로 인하여 변제의 자력이 없는 경우에는 실질적으로 법적으로 소송 등으로 집행을 할 수 있다고 하더라도 실제 집행할 자산이 없으면 자산을 배상 받기 어려울 수 있습니다. 그러므로 적정선에서 조기에 합의를 보시는 것도 적극 고려해 보셔야 할 것으로 보여집니다.

자산 회복에 참고가 되길 바랍니다.

이변호사 드림