암호화폐 거래소가 해커 공격을 받아 코인 투자자가 손실을 보았을 경우, 거래소가 배상 책임을 져야 할까. 결론부터 말하자면 거래소는 투자자에게 피해액을 돌려줘야 한다.
국내 암호화폐 거래소인 코인레일(법무법인 비트 대리)은 2018년 6월 펀디엑스(PUNDIX)·애스톤(ATX)·엔퍼(NPER) 등 400억원 규모의 암호화폐를 도둑맞았다. 코인레일은 해킹 직후 거래소를 폐쇄했고, 서비스 점검에 들어가면서 모든 거래를 동결했다. 코인레일을 이용했던 투자자들은 “서비스 중단으로 코인을 시장가에 매도하지 못했다”고 주장했다. 거래소가 한국인터넷진흥원으로부터 보안점검을 받는 등 해킹 방지를 위해 노력해왔더라도, 투자자들이 맡긴 돈을 돌려달라고 했을 때 돌려주지 않은 책임이 있다는 재판부 판단이 나왔다. 재판부는 거래소가 투자자 9명에게 총 3억8300여만원을 지급하라고 선고했다.
투자자들은 소송을 제기하기 전 여러 로펌의 변호사들을 찾아다녔다. 코인 투자자가 거래소를 상대로 승소한 사례를 찾기 힘들었기 때문이다. 이들은 법무법인 바른의 ‘4차 산업 대응팀’ 변호사들의 손을 잡았다. 블록체인과 NFT(Non Fungible Token·대체 불가 토큰) 등 신산업에 관한 이해도가 높은 바른의 변호사들은 한데 모여 승소할 수 있는 ‘한 방’을 찾았다. 바른은 이들의 믿음을 저버리지 않았다. 바른은 해킹당한 암호화폐 거래소의 투자자가 낸 손해배상 소송 중 처음으로 투자자가 승소한 판결을 끌어냈다.
해킹으로 400억원 피해, ‘거래소 책임’ 입증
서울중앙지법 민사합의17부(김성원 부장판사)는 지난해 10월 A씨 등 코인레일 해킹 피해자 9명이 코인레일 운영사인 주식회사 리너스에 제기한 손해배상 청구 소송에서 원고 일부 승소 판결을 했다.
코인레일은 투자자가 예치한 암호화폐 중 상당 부분을 ‘전자지갑’에, 나머지는 ‘출금 전용 전자지갑’에 보관한 상태에서 투자자 사이의 거래를 중개했다. 투자자가 코인레일의 해당 계정에 예치된 현금이나 암호화폐의 인출을 요청하면 코인레일은 투자자가 지정한 전자지갑이나 예금계좌 등으로 이체해 주는 방식으로 운영했다. 문제는 2018년 6월 10일 터졌다. 코인레일이 해킹 범죄로 손해를 입었고, 그로 인해 코인레일이 관리하는 전자지갑에 보관돼 있던 투자자들의 암호화폐 중 일부가 외부로 유출된 것이다. 피해 규모는 이더리움(ETH) 1927개 등 가상자산 10종, 약 400억원어치에 달했다. 이에 코인레일은 즉각 거래를 중단하고, 거래소를 폐쇄했다.
소송을 제기한 9명은 해킹 사고 소식을 듣고 각 계정에 예치된 암호화폐의 매도를 시도했지만, 거래 중단 및 거래소 폐쇄 조치로 인해 매도하지 못했다. 이들은 2018년 6월 13일부터 같은 해 6월 21일까지 내용 증명을 통해 코인레일 측에 “계정에 예치된 암호화폐 등을 반환해 달라”고 요구했다. 이들은 해킹 사고가 발생한 6월 10일과 내용 증명을 마지막으로 보낸 6월 21일을 기준으로 피해액을 산정했다. 암호화폐 거래소 시장에서 암호화폐 1개당 달러화 거래 가격의 시가와 종가의 중간값을 기준으로 당일 환율을 적용해 가격을 정했다. 이후 가격이 더 오르거나 내리더라도 반환을 주장한 시점의 가격으로 반환을 요구한 셈이다.
투자자 주장에 코인레일 측은 반발했다. 코인레일은 해킹 사고가 있기 전 IT 보안 컨설팅 업체와 한국인터넷진흥원으로부터 보안을 점검받았고, 이후에도 보안 서비스 계약과 인터넷망 분리 설비 도입 계약 등을 체결했다고 주장했다. 코인레일은 손해를 입은 투자자들에게 ‘자체 발행 암호화폐’로 피해를 보상해주겠다고 했지만, 투자자들은 코인으로 보상받기를 거부했다. 언제 백지수표로 변할지 모르는 코인을 받을 수 없다는 입장이었다.
돈 ‘돌려줄 의무’ 강조…“암호화폐 반환청구권 인정받아”
재판에서 쟁점이 된 것은 거래소가 투자자에게 암호화폐를 돌려줄 의무가 있는지였다. 투자자들은 맡긴 돈을 돌려달라는 입장이었고, 거래소는 보안 점검을 받으면서 피해를 막기 위해 노력했는데도 해킹을 당했기 때문에 귀책사유가 없다고 맞섰다.
법무법인 바른은 소송 전략을 세웠다. 해킹당한 거래소의 책임을 묻는 민법 제750조 조항을 꺼낼 경우 거래소의 불법행위를 투자자 측이 직접 입증해야 했기에, 보관한 돈을 돌려줄 의무가 있다는 점을 강조했다. 변호인들이 내세운 법 조항은 민법 제390조와 민법 제395조였다. 390조는 채무불이행으로 인한 손해배상을, 395조는 기간 내 이행하지 않을 경우 전보배상(塡補賠償)을 청구할 수 있는 조항이다. 최영노(사법연수원 16기) 법무법인 바른 변호사는 “은행에 100만원을 예금했는데, 금고에 있던 돈을 도둑이 훔쳐 갔을지라도 은행이 예금자에게 돈을 돌려주기로 한 약속을 지켜야 하는 것과 똑같은 논리”라고 말했다. 결국 재판부는 바른의 주장을 대부분 받아들였다. 재판부는 코인레일이 암호화폐 반환 의무를 지키지 않았다며 투자자들의 손을 들어줬다. 투자자 9명이 각각 청구했던 피해액들을 코인레일이 반환하라는 판결이 내려지면서 투자자들은 최대 1억8620만원, 최소 1700만원을 돌려받을 수 있게 됐다.
재판부는 “운영사는 자신들의 계정에 예치된 암호화폐 반환을 요구받을 때 이를 따라야 할 의무가 있다”면서 “해킹 사고 발생 직후 거래를 중단하고 거래소를 폐쇄해 피해자들이 자신들이 예치했던 암호화폐를 돌려받지 못했다”고 판시했다. “전적으로 코인레일이 관리하는 영역에서 발생한 사고”라며 “어떤 형식으로든 보안 관리 소홀이 해킹 사고 원인이었을 가능성을 배제할 수 없어 운영사에 귀책사유가 없다고 보기 어렵다”고 판단했다. 코인레일 측이 암호화폐 반환 의무의 이행 거절 또는 이행 불능에 대한 귀책사유가 있다고 본 것이다.
이는 암호화폐 거래소 해킹으로 투자자들이 큰 피해를 본 상황에서, 거래소가 자발적인 피해보상 조치를 하지 않는 이상 투자자들이 보호받지 못하고 있던 상황을 뒤집은 판결이었다. 투자자의 손을 들어준 첫 번째 판례가 나오면서, 향후 비슷한 사건들의 선례가 생긴 것이다. 한서희(사업연수원 39기) 법무법인 바른 변호사는 “가상자산 사업자의 보안 의무에 대한 수준을 제시하고 암호화폐에 대한 반환청구권을 인정받은 사례”라며 “투자자에게 더 좋은 투자 환경을 조성하는 데 도움이 되길 바란다”고 말했다. 코인레일은 여전히 예치금을 반환해줄 수 없다는 입장을 고수하면서 양측의 법리 싸움은 2심으로 이어지게 됐다.