도난당한 가상화폐, 거래소 책임은 어디까지…
얼마 전 일본 코인체크 가상화폐거래소 해킹으로 5000억원이 넘는 가상화폐가 도난당하는 사건이 발생했다. 이 같은 가상화폐거래소 해킹은 국내에서도 심심찮게 벌어진다. 빗썸의 해킹으로 개인 정보가 유출되기도 했고, 170억원에 이르는 가상화폐를 탈취당하고 파산 신청을 한 거래소까지 나왔다.

가상화폐를 징표라고 해야 하는지, 암호화폐인지 가상화폐인지 의견은 분분하지만 누군가의 재산임을 부인할 사람은 없을 것이다. 가상화폐 도난으로 재산상 피해가 발생했다는 사실은 명백하다.

그렇다면 가상화폐를 털린 피해자는 어디에서 구제받을 수 있을까. 물론 도둑 맞은 재산은 도둑질한 자에게 배상 책임을 물어야 한다. 하지만 범죄자에게 손해를 모두 배상받았다는 말은 들어 본 적이 거의 없다. 특히 가상화폐의 경우 그 익명성 때문에 도둑을 찾기란 불가능에 가깝다. 도둑을 잡았다 하더라도 가상화폐의 변동성 탓에 얼마의 가치가 남아 있을지 알 수 없는 노릇이다.

결국 피해자가 배상받을 수 있는 대상은 하나가 남는다. 바로 가상화폐거래소다. 과연 피해자는 거래소로부터 피해를 배상받을 수 있을까.

해킹으로 인한 직접적 재산 피해의 배상 사례는 찾아보기 힘들다. 그래서 비슷한 사례를 살펴볼 수밖에 없다. 기업의 보안 의무와 관련한 ‘개인정보 유출’에 대한 법원의 태도가 참고가 될 수 있다. 그런데 네이트, 싸이월드, 옥션 등 주요 사건에서 피해자들은 모두 한 푼도 배상받지 못했다. 유일하게 1심에서 승소한 KT 개인정보 유출 사건도 최근 항소심에서 “KT의 보호조치 불이행에 따른 과실로 인해 해킹 사고가 발생했다고 보기 어렵다”, “인터넷에서 완벽한 보안은 있을 수 없다” 등의 이유로 배상 의무가 인정되지 않았다.

가상화폐거래소 해킹 역시 나날이 발전하는 해킹 기술과 해킹 수법에 비춰 완벽한 보안은 불가능하다는 점을 들어 거래소의 책임이 부인될 가능성이 없지 않다. 거래소의 약관에는 면책사유가 매우 광범위하게 규정돼 있는데 그 같은 규정의 효력이 전부 인정될 수는 없겠지만 이 또한 주의해서 살펴볼 필요가 있다.

하지만 가상화폐 도난은 직접적인 재산상 피해가 발생했다는 점에서 개인정보 유출과는 그 결론이 달라질 가능성이 크다. 특히나 가상화폐거래소는 직접적인 재산 거래의 장을 제공하고, 재산을 보관한다는 점에서 금융회사에 준하는 보안이 요구될 수 있다.

그럼에도 최근 과학기술정보통신부 조사 결과 국내 가상화폐거래소 대부분이 보안에 취약한 것으로 나타난 것에 비춰 보면 거래소의 과실이 부인되기는 어렵다고 본다. 거래소의 책임이 어느 만큼 인정될지는 경우에 따라 다르겠지만 피해자들은 거래소의 손해배상 책임이 인정된다는 법원의 판결을 받을 수도 있을 것으로 생각한다.

문제는 승소 판결을 받았다 해도 실제 돈을 회수하기까지는 다른 변수가 존재한다는 점이다. 거래소가 임의로 돈을 지급하지 않으면 재산을 찾아내 강제 집행 절차를 밟아야 하는데, 만약 거래소의 자본보다 배상액이 더 커서 도산 절차가 개시된다면 이때는 개별적인 강제 집행이 불가능하다. 피해자들은 우선권 없는 일반 채권자로 도산 절차에 따라 안분 배당받게 되므로 실제 회수하는 금액은 생각보다 작을 수 있다.

박현진 < 미래에셋대우 변호사 hyunjin.park@miraeasset.com >