-가상화폐 해킹 관련 법적 책임

가상화폐 시장이 급성장하면서 해킹 및 보안 사고도 빈번하게 발생하고 있다. 작년에도 전 세계적으로 수십억 달러 규모의 가상화폐가 해킹으로 유출되었고, 우리나라에서도 다수의 가상화폐 거래소 해킹 및 개인 지갑 탈취 사건이 보고되었다. 본 칼럼에서는 가상화폐 해킹 관련 법적 책임을 살펴보겠다.

가상화폐 거래소는 대량의 가상화폐를 보유하고 있어 해커들의 주요 표적이 된다. 세계 최초의 가상화폐 거래소였던 마운트 곡스(Mt. Gox)는 2014년 해킹으로 인해 파산하기도 했다. 최근에는 세계적인 규모의 가상화폐 거래소인 바이비트(Bybit)가 약 2조원대의 해킹을 당했고, 북한의 해킹 조직인 라자루스가 해킹했다는 의혹이 제기되기도 했다.

주요 해킹 방식은 가상화폐 거래소 내부 시스템의 취약점을 이용한 해킹, 내부자의 공모 및 유출, 피싱 공격 등이 있다. 가상화폐 거래소의 보안 관리 부실로 인해 이용자의 자산이 탈취된 경우, 이용자는 거래소를 상대로 손해배상을 청구할 수 있다. 가상화폐 거래소 이용자는 가상화폐 거래소가 보안 조치를 소홀히 한 것을 이용약관 위반 사유로 주장할 수 있다. 우리나라 하급심 판례들은 가상화폐 거래소 시스템 자체에 대한 해킹의 경우에는 손해배상 책임을 인정하였으나, 이용자의 아이디 관리 부실 등 이용자의 관리영역에서 발생한 해킹에 대해서는 이를 인정하지 않기도 했다.

만약 가상화폐 거래소가 해킹과 관련하여 전회 칼럼에서 살펴본 가상자산법 및 특금법상 의무나 필요한 조치를 다하지 않은 경우, 가상자산법 및 특금법에 따라 형사처벌이나 과태료 처분을 받을 수 있다. 이 경우 이용자는 가상화폐 거래소가 취약한 보안 시스템을 운영하거나, 해킹 발생 후 필요한 조치를 취하지 않은 것에 대하여 주의 의무 위반을 주장하여 불법행위에 기한 손해배상 책임을 물을 수 있다.

드물지만 가상화폐 거래소 내부자의 공모나 고의적인 보안 조치 미이행이 드러날 경우, 가상화폐 거래소는 업무상 배임 또는 사기 등의 혐의로 형사 처벌을 받을 수 있다. 이 경우에는 불법행위에 기한 손해배상 책임이 넉넉하게 인정될 것이다.

개인이 보유한 가상화폐 지갑도 해커들의 표적이 된다. 개인이 보관하는 프라이빗 키(개인 키)가 유출되면 해커가 해당 지갑의 가상화폐를 마음대로 이동시킬 수 있다. 개인 이용자도 본인의 자산 보호를 위해 보안 조치를 취할 의무가 있다. 따라서 개인 이용자가 프라이빗 키를 안전하게 보관하지 않아 해킹 피해를 입은 경우, 법적으로 거래소나 제3자에게 책임을 물을 수 없다.

디파이(DeFi) 프로젝트 및 블록체인 기반의 스마트 컨트랙트(smart contract)가 해커에 의해 악용되는 사례도 빈번하다. 코드의 보안 취약점을 이용한 공격으로 대규모 가상화폐 유출이 발생할 수 있다. 가상화폐 관련 계정 정보를 탈취하는 방식으로는 가짜 거래소 웹사이트, 피싱 이메일, 악성 애플리케이션 등을 이용하는 방식이 있다. 디파이 프로젝트 운영자들이 스마트 컨트랙트 보안 취약점으로 인해 이용자들에게 손해를 입혔다면, 민사상 손해배상 책임을 부담한다. 물론 개인 이용자는 해커를 상대로 민형사상 법적 책임을 물을 수 있으나, 해커를 찾는 것은 기술적으로 매우 어렵다.

가상화폐 해킹은 가상화폐 시장의 신뢰성을 저해하는 주요 요인이다. 거래소 및 디파이 프로젝트 운영자는 보안 강화를 위한 적극적인 노력이 필요하며, 개인 이용자 역시 가상화폐 해킹 피해를 막기 위한 예방 조치를 강화해야 할 것이다. 글 /이권호 변호사


이권호 변호사

법무법인(유한) 강남 구성원 변호사

법제처 법령해석심의위원

대한상사중재원 중재인

중기&창업팀

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지