2018. 12. 24. 서울중앙지방법원은 거래소와 이용자간의 민사소송에서 판결을 내렸습니다.
이에 대해 언론사가 낸 기사 제목들을 보면 마치 거래소가 해킹을 당해도 이용자에게 배상할 책임이 없다는 것처럼 오인하기 쉽습니다.
구체적으로 무슨 내용인지 체크해 보겠습니다.
(글이 좀 깁니다. 시간이 없으신 분들은 맨 하단의 총정리 요약을 읽으시면 됩니다.)
판결의 내용을 파악할 때 가장 기초가 되는 자료는 그 판결문입니다. 하지만, 현재 판결문이 공개되어 있지 않아 입수할 수가 없으므로 차선책으로 뉴스 기사들을 종합하여 판단하겠습니다.
아래는 한겨레 신문 기사 전문입니다.
http://www.hani.co.kr/arti/society/society_general/875596.html
“해킹 사건으로 개인정보를 유출당해 빗썸 계좌에 있던 가상화폐를 도난당했다”며 이용자가 빗썸 운영사를 상대로 손해배상 소송을 냈지만 패소했다.
서울중앙지법 민사30부(재판장 이상현)는 비트코인 거래자 박아무개씨가 온라인 가상화폐거래소 빗썸을 운영하는 비티씨(BTC)코리아닷컴을 상대로 낸 손해배상 소송에서 원고 패소 판결했다고 24일 밝혔다.
지난해 11월30일 박씨는 빗썸에서 보유하고 있던 가상화폐를 매도하려 계정에 접속했다. 당시 박씨 계정엔 4억7800여만원 상당의 원화(KRW) 포인트가 남아 있었다. 그러나 불과 2시간 뒤 박씨의 계정은 해킹을 당했고 박씨가 보유하고 있던 포인트는 가상화폐인 이더리움으로 교환돼 빗썸 직원의 승인을 받아 출금됐다. 박씨 계정에 남은 돈은 121원 상당의 원화 포인트와 0.7794185 이더리움뿐이었다. 이에 박씨는 ‘빗썸 측이 전자금융거래법에 따라 금융기관과 비슷한 고도의 보안조치를 해야 했다’며 4억7800여만원의 손해배상 소송을 냈다.
재판부는 빗썸 쪽 손을 들어줬다. “금융위원회 허가 없이 가상화폐 거래를 중개하는 빗썸에게 전자금융업자에 준해 전자금융거래법을 적용하는 것은 타당하지 않다”고 본 것이다. 재판부는 빗썸이 전자금융거래법이 정한 ‘금융회사’나 ‘전자금융업자’에 해당하지 않는다고 판단했다. 빗썸과 같은 가상화폐 또한 △재화나 용역을 구입할 수 없고 △가치 변동이 커 현금·예금으로 교환할 수 없으며 △투기 수단으로 주로 이용되고 있다는 점에서 전자금융거래법이 정한 ‘전자화폐’에 해당하지 않는다고 봤다.
박씨는 지난해 빗썸에서 발생한 대규모 개인정보 유출 사건을 언급하면서 빗썸이 ‘선관주의 의무’(선량한 관리자로서 주의 의무)를 다하지 않았다고 주장했다. 지난해 4월 빗썸 관계사가 악성코드 공격을 받아 빗썸 회원 3100여명의 개인정보가 유출된 바 있다. 그해 4월부터 석달 가까이 이어진 해킹 공격으로 5천여개의 계정(아이디, 비밀번호)이 해커에 의해 탈취당하기도 했다.
하지만 재판부는 박씨가 본 피해와 빗썸이 당한 해킹 공격 사이에 인과관계가 있다고 판단하기 어렵다고 봤다. 재판부는 “박씨가 해킹 피해를 입었을 당시 해커가 어떤 방법을 이용해 로그인했는지 알 수 없고 해킹 공격으로 유출된 정보에 박씨의 정보가 포함됐다고 볼 만한 증거도 없다”고 설명했다. 또한 “컴퓨터, 스마트폰 등을 통해 접속하면 위치나 시간에 따라 아이피 주소가 변경될 수 있다. 박씨가 주로 사용하는 아이피 주소와 다른 주소로 접속한 것을 막지 못했다 해서 빗썸이 주의 의무를 다하지 못한 것으로 보기는 어렵다”고 밝혔다.
재판부는 박씨의 핸드폰이나 컴퓨터가 해킹당해 개인정보가 탈취됐을 가능성도 있다고 봤다. 해킹 발생 당시 빗썸이 10차례에 걸쳐 출금 인증코드 문자메시지를 박씨의 휴대폰으로 전송해 이더리움 출금 절차가 진행되고 있다는 사실을 알렸지만, 박씨가 이 메시지를 수신하지 못한 사실에 비춰봤을 때 “박씨의 휴대폰이 해킹당하거나 복제당했을 가능성도 있다”고 재판부는 밝혔다.
비교적 사실관계와 판결내용이 자세하게 담긴 위 기사를 읽더라도 아래와 같이 오인하기 쉽습니다.
1. 가상화폐는 전자화폐가 아니므로 전자금융거래법이 보호하지 않는다. 따라서 거래소가 해킹을 당하더라도 법은 사용자를 보호하지 않는다.
2. 거래소는 해킹에 대하여 선관주의의무가 없다. 실제 해킹이 발생해도 거래소는 책임이 없다.
먼저, 기사내용을 통해 드러난 사실관계를 간략히 정리해보죠.
<박씨의 입장>
2017년 11월 30일 박씨는 빗썸계좌에 4억8천여만원의 원화를 보유함.
-> 누군가 박씨가 사용하지 않는 아이피 주소로 접속함. 아이디와 비밀번호를 입력함.
-> 약 4억8천만원 어치의 이더리움을 구입함.
-> 이더리움을 외부 주소로 4회 전송 출금함. 이 때 그 누군가는 출금인증코드 SMS를 받고, 박씨는 SMS를 못 받음.
-> 박씨의 빗썸계좌에는 원화 121원, 0.7 ETH만 남음.
<빗썸의 입장>
2017년 11월 30일 박씨의 아이디와 비밀번호로 로그인함. 아이피 주소가 평소와 다르지만 정상임. 아이피가 다른 핸드폰이나 다른 컴퓨터에서도 로그인할 수 있는 것이 당연하기 때문.
-> 빗썸 계좌의 원화로 이더리움을 구입함
-> 외부 이더리움 주소로 4회 출금함. 출금인증코드를 SMS로 10회 보냈고 입력한 코드가 정확하므로 출금에 문제없음.
박씨는 법원에 다음과 같이 주장합니다.
1. 전자금융거래법을 유추적용해야 한다.
암호화폐는 전자금융거래법의 전자화폐에 해당하고 거래소는 전자금융거래업자와 유사하므로, 전자금융거래법을 유추하여 적용하여야 한다. 그렇다면 거래소는 은행과 같은 보안조치(각종 보안프로그램들)를 해야 하는데, 그렇게 하지 않은 책임이 있으니 피해액을 배상해야 한다.
2. 1번이 안된다고 해도, 선관주의의무를 적용하여 배상책임을 물어야 한다.
2017년 4월부터 3개월간 빗썸은 해커의 공격으로. 약 5천개의 계정 아이디와 비밀번호를 탈취당했다. 아이피 주소가 평소와 다른 것으로 나타났는데도 차단하지 않은 것은 관리를 제대로 하지 않은 것이다. 거래소는 책임이 있다.
이에 대한 법원 판결의 의미를 살펴보겠습니다.
1. 전자금융거래법을 유추적용할 수 없다
먼저, 암호화폐(정부나 법원은 가상화폐라는 용어를 사용함)는 전자금융거래법의 전자화폐인가의 문제입니다.
전자화폐라는 용어를 우리가 흔히 생각하는 막연한 의미로 착각해서는 안됩니다. 여기서 전자화폐란 법률이 딱 정해 놓은 특정한 것을 말하는 것이고 일반적인 개념으로 두루 쓰이는 단어가 전혀 아닙니다.
전자금융거래법
제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다.
15. "전자화폐"라 함은 이전 가능한 금전적 가치가 전자적 방법으로 저장되어 발행된 증표 또는 그 증표에 관한 정보로서 다음 각 목의 요건을 모두 갖춘 것을 말한다.
가. 대통령령이 정하는 기준 이상의 지역 및 가맹점에서 이용될 것
나. 제14호 가목의 요건을 충족할 것
다. 구입할 수 있는 재화 또는 용역의 범위가 5개 이상으로서 대통령령이 정하는 업종 수 이상일 것
라. 현금 또는 예금과 동일한 가치로 교환되어 발행될 것
마. 발행자에 의하여 현금 또는 예금으로 교환이 보장될 것
딱 봐도 전자화폐는 일반적인 용어가 아님을 알 수 있죠? 이 정의에 따르면 이더리움이나 비트코인이나 우리가 알고 있는 암호화폐는 그 어떤 것도 ‘전자화폐’가 아닙니다. 전자화폐에 해당하는 것은 ‘K-Cash’라는 듣도보도 못한 이상한 결제수단 딱 하나 뿐입니다.
(https://ko.wikipedia.org/wiki/%EC%BC%80%EC%9D%B4%EC%BA%90%EC%89%AC
암호화폐가 전자화폐가 아니라는 법원의 판결은 살펴보니 당연한 것이었습니다.
그럼에도 불구하고 암호화폐는 전자화폐처럼 두루 쓰일 수 있고 전자적인 것이니 거래소에게 전자화폐업자의 책임을 물을 수 있지 않을까요?
이에 대해서도 법원은 ‘아니오’라고 했습니다.
왜 그런지 먼저 관련법령을 보겠습니다.
전자금융거래법
제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다.
4. "전자금융업자"라 함은 제28조의 규정에 따라 허가를 받거나 등록을 한 자(금융회사는 제외한다)를 말한다.
…생략…
제28조(전자금융업의 허가와 등록) ①전자화폐의 발행 및 관리업무를 행하고자 하는 자는 금융위원회의 허가를 받아야 한다. 다만, 「은행법」에 따른 은행 그 밖에 대통령령이 정하는 금융회사는 그러하지 아니하다. …이하생략…
전자금융업자가 되려면 위 법률규정에 따라 요건을 갖춰 금융위의 허가를 얻어야 합니다. ‘신고’도 아니고 ‘허가’입니다. 즉, 엄격한 요건을 갖추고 금융위원회의 심사를 통과해서 ‘허가’를 얻어야만 전자금융업자가 될 수 있습니다. 아무렇게나 비슷하게 만든다고 전자금융거래법상의 ‘전자금융업자’가 되는 것이 아닙니다. K-Cash가 국내 유일한 전자화폐인 이유를 알겠네요.
까다로운 요건과 금융위의 허가가 있어야만 전자금융업자가 되고 전자금융거래법상의 책임을 지게 되는데, 이 법의 책임을 거래소에게 물을 수 있을까요? 법원 입장에선 당연히 부인할 수 밖에 없습니다. 법률상 명확하게 존재하지 않는 책임을 법원이 함부로 유추해서 부과할 수는 없으니까요.
법률 규정을 들여다보니 법원이 내린 결정에 대해 이해가 갑니다. 법원은 그저 법률대로 했을 뿐이네요.
기사를 읽고 오인할 수 있는 [가상화폐는 전자화폐가 아니므로 전자금융거래법이 보호하지 않는다. 따라서 거래소가 해킹을 당하더라도 법은 사용자를 보호하지 않는다]는 해결이 되었습니다. 이번 법원의 판결은 거래소가 해킹당해도 사용자를 보호하지 않겠다는 취지가 아니라, 단순히 거래소가 ‘전자금융거래업자’가 아니어서 ‘전자금융거래법’의 책임을 물을 수는 없다는 의미였습니다.
2. 선관주의의무를 다하지 못한 것으로 보기 어렵다.
선관주의의무를 다하지 못해서 거래소가 책임을 지는 경우를 해석해 보겠습니다.
(1) 거래소는 선관주의의무가 있다. (선관주의의무의 존재)
(2) 거래소가 선관주의의무를 다하지 못했다. (선관주의의무를 위반했다)
(3) 그 의무를 다하지 못해서 피해가 발생했다. (인과관계가 있다)
위의 세가지 모두 해당해야 거래소는 배상책임을 집니다. 어느 하나라도 없으면 책임이 없습니다.
기사 내용을 살펴본 결과 법원이 배상책임을 부인한 이유는 주로 1번과 3번 입니다.
(1)번 선관주의의무 범위가 어디까지인지?
거래소가 아이피 주소를 체크하여 평상시와 다른 아이피에서 접속하는 것까지 차단해야 하는가? 거래소에게 그런 의무가 있는가? 법원은 거래소에 이런 의무까지는 필요없다고 봤습니다. 핸드폰으로 거래를 하는 경우 내가 위치한 기지국에 따라 수시로 아이피가 변경될 텐데 이 아이피를 모두 차단하면 실제로는 크게 불편할 것 같습니다. 당연히 거래소에서 이런 식으로 아이피를 차단하지도 않고, 대다수 사용자도 원하지 않을 것 같습니다.
다만, 아쉬운 점은 아이피 차단과 무관하게 이중인증(2FA)을 통하여 좀 더 보안에 신경쓰라고 판시할 수도 있지 않았나 하는 것입니다. 구글이나 네이버의 경우 사용자의 접속기기와 브라우저를 체크하여 새로운 기기에서 접속하는 경우 이중인증을 사용하도록 설정할 수 있습니다. 거래소는 이용자들이 로그인할 때 이중인증을 사용하도록 강제하고, 비밀번호를 어렵게 설정하고 안전하게 보관하는 방법 등을 얼마든지 계도할 수 있습니다. 특히 거래소는 자신들이 해킹을 당한 경험도 있고, 일반 이용자에 비해 보안에 관해 좀 더 우월적인 지위의 정보를 갖고 있습니다. 큰 돈이 오가는 사이트를 관리하는 거래소가 자신들이 보안에 관해 지식과 정보가 있다면 이 정도는 신경써야 하지 않을까요? 그래야 남의 돈거래를 관리하는 ‘선량한 관리자’라고 할 수 있겠죠.
(참고 : 선관주의의무에서 ‘선량한 관리자’란 마음씨 좋은 착한 관리자를 의미하는 것이 전혀 아닙니다. 그 업종과 분야에서 일을 아주 잘하는 이상적인 롤모델을 말하는 겁니다. 가령 의사가 약을 처방할 때의 선관주의의무를 생각해 본다면, 환자의 병력, 알레르기 반응, 현재 투약중인 다른 약물과의 부작용 등을 모두 고려하는 이상적인 의사를 기준으로 삼는 것입니다.)
(3)번 인과관계가 있다고 판단하기 어렵다.
박씨는 자신의 계정에 누군가 접속했고, 이는 2017년 거래소가 아이디 5천여개를 탈취당한 것과 관련있다고 주장했으나 직접 증명하지는 못한 것으로 보입니다. 여기에 출금인증 문자를 본인이 받지 못했다고 하였습니다.
아이디와 비밀번호, 핸드폰 관리(출금인증)에 대한 책임은 누구의 영역에 두어야 할까요?
먼저 개인의 영역을 보겠습니다.
나의 아이디와 비밀번호, 핸드폰 관리에 대한 책임은 ‘나’에게 있다고 할 것입니다. 내가 지인들에게 내 비밀번호와 핸드폰 인증정보 등을 뿌려대면 사이트가 세계최고의 보안툴을 제공해도 무용지물이기 때문입니다. 남에게 함부로 내 아이디와 비밀번호를 알려주는 일이 없어야 하고, 핸드폰도 남이 무단사용하지 못하도록 잘 관리해야 합니다.
이번에는 거래소 영역을 살펴보죠.
거래소등의 사이트 운영자는 통신보안(https등 보안연결사용)을 제공하여야 하고, 중요한 거래에는 핸드폰을 통한 인증, 2FA 등을 통해 해킹방지에 신경을 써야합니다. 거래소 내의 이용자 정보가 해킹 당하지 않도록 하는 것은 당연한 것이고, 자신들에게 보고된 사례를 통해 이용자들에게 해킹 방지방법도 계속 알려야겠죠.
(참고 : http 프로토콜의 경우, 내가 입력한 아이디와 비밀번호가 암호화과정 없이 그대로 텍스트 형태로 서버측에 전달됩니다. 그래서 https 보안 프로토콜을 사용하는 것은 매우!!! 중요합니다)
만일, 박씨의 아이디와 비밀번호가 거래소가 탈취당한 정보에 해당하고, 해커가 그것으로 문자인증을 위한 핸드폰 번호도 변경하여 재산을 탈취했다면 법원도 당연히 인과관계를 인정했을 것입니다.
그러나 이번 사례에서는 해킹이 누구의 책임영역에서 발생했는지 불명확해 보입니다. 즉 박씨가 자신의 아이디와 비밀번호가 거래소 서버가 해킹당하여 악용되었다는 인과관계를 입증하지 못한 것이죠. (혹시 박씨의 가까운 주변인이 계정과 비밀번호를 훔쳐보고 핸드폰 유심까지 복사했다면 그 책임을 거래소에 물을 수 있을까요? 소송과정에서 당사자는 당연히 자신에게 불리한 사실을 진술하지 않을 것이니 판사는 속으로 이런 의심도 해 볼 수 있을 겁니다)
당사자들이 주장한 사실들에 대하여, 법원은 박씨의 아이디와 비밀번호가 거래소 해킹으로 탈취당한 것도 아니고, 핸드폰 유심도 누군가 복제한 것 같으니 거래소가 거기에까지 책임지게 할 수는 없다고 판단한 것입니다.
이로써 우리는 오인 2번[거래소는 해킹에 대하여 선관주의의무가 없다. 실제 해킹이 발생해도 거래소는 책임이 없다]에서 벗어날 수 있었습니다.
일반적으로 거래소는 자신의 영역에서 일어난 해킹사고에 관해 당연히 책임이 있습니다. 특히 해킹으로 거래소 서버에서 고객 아이디와 비밀번호가 빠져나가고 그로 인해 고객에게 금전적인 피해가 발생한다면 거래소는 당연히 배상책임을 집니다. 전자금융거래법이 적용되지 않아도, 민법, 상법, 개인정보 보호법 등 다른 법률을 통해 법률상 책임이 인정됩니다.
이번 판결은 거래소의 선관주의의무에 대하여 다음 사항을 확인하였습니다.
첫째, 거래소가 사용자의 주사용 아이피를 체크하고 이외의 아이피에서 접속을 차단해야 하는 선관주의의무는 없다는 것과
둘째, 이번 해당 사건에서는 거래소 영역 밖에서 아이디와 비밀번호를 해킹당하여 고객의 자산이 빼돌려진 것으로 보이므로 인과관계가 없다는 점 입니다.
총정리 요약하겠습니다.
기사를 읽고 오해하기 쉬운 2가지와 이에 대한 팩트체크.
오해 1. 가상화폐는 전자화폐가 아니므로 전자금융거래법이 보호하지 않는다. 따라서 거래소가 해킹을 당하더라도 법은 사용자를 보호하지 않는다.
팩트 1. ‘전자화폐’는 특수하게 법이 정한 절차에 따라 금융위의 허가를 얻어 발행한 것을 지칭한다. 국내유일의 전자화폐는 K-Cash 밖에 없다. 전자화폐에 적용되는 전자금융거래법은 당연히 가상화폐에 적용되지 않는다.
한편, 거래소가 자신의 과실로 해킹을 당하여 사용자가 피해를 입으면 민법, 상법 등의 관련법령을 적용되고 거래소가 그 피해를 배상해야 한다. 가상화폐에 전자금융거래법이 적용되지 않는다고 해도 다른 관련 법령이 적용된다.
오해 2. 거래소는 해킹에 대하여 선관주의의무가 없다. 실제 해킹이 발생해도 거래소는 책임이 없다.
팩트 2. 거래소는 자신의 영역 내에서만 보안에 대해 선관주의의무가 있다. 가령 거래소 서버가 해킹당한 정보가 고객의 피해로 이어지면 당연히 책임을 진다. 다만, 이 사건에서는 거래소의 서버에서 아이디와 비밀번호가 탈취당한 것이 아니고 사용자 개인의 영역에서 잃어버린 것으로 보이며, 거래소의 출금인증sms에 대해 정확한 값이 입력되어서 출금되었다. 따라서 거래소의 책임영역 밖에서 해킹이 일어났다고 보여지고 이 때문에 법원은 인과관계를 인정하기 어려워 거래소의 책임을 부인하였다.
사견 : 거래소는 돈을 다루는 곳이다 보니 보통의 사이트보다 더 보안에 엄격해야 합니다. 또한 해킹에 관한 정보도 사용자보다 훨씬 많이 축적되어 있습니다. 그러니, 거래소는 사용자 로그인시 이중인증을 채택하고 해킹방지방법 공지를 지속적으로 띄우는 등 해킹사고를 미연에 방지하도록 자신들이 충분히 할 수 있는 조치를 취했어야 합니다. 이런 의미에서 최소한 여기까지는 법원이 선관주의의무의 범위를 설정해 주고, 이를 이행하지 않은 거래소에 대해 일정부분 과실을 인정하는 것이 타당하다고 생각합니다.
(참고기사 https://www.ajunews.com/view/20181224110700678
http://www.fnnews.com/news/201812240846341816
http://www.seoulfn.com/news/articleView.html?idxno=328876
https://www.lawtimes.co.kr/Legal-News/Legal-News-View?serial=149446)
Congratulations @kellog! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :
Click here to view your Board
If you no longer want to receive notifications, reply to this comment with the word
STOP
Do not miss the last post from @steemitboard: