현재 다수의 국내외 암호화폐 거래소들이 설립되어 운영되고, 많은 일반 고객들이 거래소를 통하여 암호화폐를 거래하고 있으며, 그 거래규모는 하루 수조원에 이를 정도입니다. 그런데 수년간 국내외 암호화폐 거래소를 상대로 한 해킹 사고가 끊이지 않고 있으며, 최근 국내 유수의 거래소에서도 해킹으로 큰 피해가 발생하였습니다. 이러한 피해는 수많은 고객에게 돌아올 수밖에 없는데, 아래에서는 선의의 고객들이 그 피해를 최소화하거나 이를 회복할 수 있는 법률적 방안에 대하여 알아보도록 하겠습니다.

[1] 고객 계좌의 암호화폐 유출로 인한 피해

​외부 해킹에 의하여 거래소가 관리하는 고객 계좌에서 암호화폐가 유출된 경우입니다. 고객의 피해가 직접적으로 가장 크게 발생한 경우라 하겠습니다.

실제 국내외 상당수의 거래소에서 해킹에 의해 고객 계좌에서 암호화폐가 인출되는 사태가 발생하였는데, 최근의 해킹 사례들은 블록체인 기술의 특성상 블록체인 자체에 대한 해킹이 아니라 거래소 서버에 대한 해킹인 것으로 분석되고 있습니다. 이는 다시 말해 고객 계좌 정보의 암호화 관리 또는 서버 관리 수준이 문제될 수 있다는 지적입니다.

해커들의 식별이 사실상 불가능한 상황으로 볼 때, 거래소 운영자에 대하여 고객이 암호화폐 인출로 인한 피해를 보전 받을 수 있을지가 문제입니다. 좀더 나아가면, i) 고객의 암호화폐의 유출 또는 회수 불가능한 상황이 재산적인 손해라고 볼 수 있는지, ii) 그 재산적인 손해에 대하여 거래소의 책임이 있는지 등이 검토되어야 합니다.

우선, 재산적인 손해인지 여부를 검토해 보겠습니다.

관련하여, 일본에서는 마운트곡스의 해킹 피해자들이 마운트곡스를 상대로 인출된 암호화폐의 반환을 청구하는 소송을 제기한 바 있으며, 일본의 법원은 해당 암호화폐가 재물이 아니라는 이유로 피해자들의 반환청구를 기각하는 판결을 하였습니다. 그러나 이는 암호화폐 그 자체의 반환을 청구했기 때문에 나온 결론으로, 암호화폐 유출로 인한 손해배상청구가 불가능하다는 판단을 포함하고 있지는 않습니다.

오히려 암호화폐의 법률적 성질을 두고, 화폐인지, 물건인지, 증권인지 등에 대하여 논란은 있으나, 현재 국내외에서 암호화폐가 재산적 가치가 있다는 점에 대하여는 거의 의견이 일치하고 있으며, 우리나라 법원 역시 암호화폐의 재물적인 성격을 인정하고 있으므로, 암호화폐의 유출로 인하여 재산적인 손해가 발생하였다는 점은 충분히 인정될 것입니다.

다음으로 암호화폐 거래소의 책임을 물을 수 있는지를 검토하겠습니다.

현재 국내 암호화폐 거래소를 직접적으로 규제하는 법령은 존재하지 않으며, 거래소가 어떠한 정도로 고객정보 암호화 또는 보안 체계를 구축해야 하는지 역시 법적으로 명확하게 되어 있지 않습니다.

그렇다고 거래소가 아무런 의무를 부담하지 않는 것은 아닙니다. 고객이 거래소에 계좌를 개설하고, 암호화폐를 거래하는 행위 자체는 거래소와 고객 간의 ‘정보통신망 혹은 통신판매서비스를 이용한다’는 계약을 체결하는 것을 의미합니다. 그렇기 때문에 거래소는 고객 계좌의 정보 또는 그 계좌로 들어온 암호화폐가 유출되거나 분실되지 않도록 안전성 확보에 필요한 보호조치, 보안조치를 취해야 할 계약상 의무를 부담한다고 보는 것이 타당합니다.

더 나아가, 고객과의 계약상 거래소가 부담하는 보호조치, 보안조치의 수준이 어느 정도인지는 계속적으로 이슈가 될 것으로 보이며, 거래의 대상이 상당한 정도의 재산적 가치를 가지는 암호화폐인 점, 그 거래 규모와 금액이 상당한 점, 다수의 고객이 동시에 이용하고 있는 점 등에 비추어 거래소는 기존 금융기관이 부담하는 정도 또는 그 이상의 수준으로 보호조치, 보안조치를 유지해야 할 의무를 부담한다고 볼 가능성이 높습니다.

결국, 현재 관련 법령은 미흡한 상태이지만, 암호화폐 거래소는 고객과의 계약상 암호화폐 거래 또는 보관의 안전성 확보에 필요한 보호조치, 보안조치를 취해야할 계약상 의무를 부담한다고 보이며, 이를 제대로 이행하지 않아 고객 계좌의 암호화폐가 유출되었다면, 고객에게 그에 상당하는 손해배상책임을 부담한다고 보는 것이 맞겠습니다.

[2] 고객 개인정보 유출로 인한 피해

다음으로 암호화폐 거래소가 수집, 보관하는 고객들의 개인정보가 외부 해킹에 의하여 유출된 경우입니다. 이 경우는 일반적인 정보통신서비스 제공자 또는 통신판매업자의 해킹에 의한 회원 개인정보 유출 사고와 개념적으로는 크게 다르지는 않으나, 계좌 정보 유출로 인한 추가 피해 가능성이나 이용자의 익명성이 주요 특징인 블록체인 암호화폐의 속성을 고려하면 그 피해의 정도나 내용에 차이가 상당할 수 있습니다.

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’)은 정보통신서비스 제공자의 개인정보 안전성 확보를 위한 기술적, 관리적 조치 의무를 규정하고, 관련 행정규칙은 그 조치들의 구체적인 사항을 규정하고 있어, 암호화폐 거래소 역시 고객들의 개인정보 보호에 관한 법률적인 의무를 부담한다고 볼 수 있으며, 한편으로 고객과의 계약상으로도 그 개인정보를 보호하기 위한 조치를 취할 의무를 부담한다고 볼 수 있습니다.

이에 관하여 대법원은 “개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스제공자의 업종, 영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다”라고 판결한 바 있습니다(대법원 2013다44003 판결).

즉, 암호화폐 거래소의 경우에도 고객 개인정보의 안정성 확보를 위한 보호조치, 보안조치를 해야 할 법률상, 계약상 의무가 있고, 암호화폐의 경제적 가치, 고객이 입게 될 수 있는 피해의 정도 등을 고려하였을 때 거래소에게 요구되는 해당 조치들의 수준은 상당한 정도로 이해되어야 할 것이며, 거래소가 이를 위반하여 해킹으로 인해 고객의 개인정보가 유출되었다면 위자료 등 그 손해를 배상할 책임이 있겠습니다.

[3] 거래소 거래 중단으로 인한 피해

​암호화폐 거래소가 해킹 또는 거래량 증가로 서버가 다운되거나 자체적으로 서버를 중단시켰고, 이로 인하여 고객들은 거래소 접속을 할 수 없게 되어 스스로 판단한 시점에 거래를 할 수 없게 되는 사태가 발생하였습니다.

위에서 설명한 바와 같이, 현재 국내에 암호화폐 거래소에 대하여 직접적으로 규율하는 법령은 없습니다. 그러나 거래소는 계약상 해킹 또는 기타 운용 과정에서 문제가 발생하지 않도록 안전성 확보에 필요한 기술적, 관리적 조치를 취해야할 계약상 의무를 부담한다고 보는 것이 타당합니다. 그리고 거래소에 요구되어지는 해당 조치의 수준은 암호화폐의 경제적 가치, 거래의 규모 또는 그 내용, 고객의 수 등에 비추어 상당한 정도로 봄이 맞겠습니다.

따라서, 암호화폐 거래소가 상당한 정도의 안전성 확보에 필요한 기술적, 관리적 조치를 다하지 않아 해킹 또는 기타 요인으로 서버가 다운되었거나, 스스로 서버를 중단한 것이라면, 거래소는 고객들이 그러한 서버 중단으로 입은 손해에 대하여 계약상 의무 불이행을 이유로 손해배상을 할 책임이 있습니다.

고객들이 입은 손해의 정도에 관하여, 우리나라 민법상 계약불이행에 의한 손해배상책임의 범위는 그 계약이 그대로 이행되었을 때 통상적으로 얻을 수 있을 것으로 기대되었던 이익과 실제 사이의 차이이므로, 일단은 고객이 실제 거래하려고 했던 시점에 거래하였으면 얻을 수 있었던 이익 상당액이 손해액인 것으로 구성할 수 있을 것입니다. 다만, 실제 거래를 했을 때 얻을 수 있었던 이익 사이에 어느 정도 인과관계가 있는지, 소송상 그 가능성을 어떻게 입증할 수 있을지는 풀어야 할 문제일 수 있습니다.