가상화폐 거래소 해킹에 비상이 걸렸다. 최근 빗썸 사태 등을 통해서 우리나라에서도 본격적으로 이슈가 되었지만, 거래소 해킹은 항상 문제가 되어 왔다. 대표적으로 마운트곡스 거래소도 해킹에 의하여 파산한 것으로 알려져 있다.

거래소는 아니지만 ICO(initial coin offering) 과정에서 해킹이 자주 발생하고 있다. 대표적으로 다오(DAO)의 경우도 ICO 과정에서 해킹이 된 사실은 너무나 유명하다.

단순한 개인정보 유출 사건과 달리 거래소 해킹은 비트코인이나 이더리움 등의 가상화폐를 유출하고 있어 사회적 문제가 심각하다. 파밍 등의 해킹 기술을 통하여 은행 계좌에서 예금을 유출해 가는 것만큼 심각한 문제라 생각된다.

피해자들은 단순한 개인정보 유출 문제보다는, 자신의 지갑에 보관하고 있던 가상화폐가 하룻밤 사이 사라졌다는 점에 분개하고 있다.

하지만 은행 계좌에서 돈이 빠져나가는 것과 달리 거래소 해킹을 통한 가상화폐 유출은, 가상화폐의 익명성 때문에 누구에게 빠져 나갔는지를 도저히 확인할 수 없어 수사나 피해자의 구제는 더욱 어려운 상황이다. 반대로 해커들은 은행계좌에 대한 파밍 보다는 추적을 따돌릴 수 있는 가상화폐의 해킹이 훨씬 더 매력적이라 할 수 있다.

한편 빗썸 거래소 해킹으로 인한 가상화폐 유출의 경로를 언론기사를 중심으로 살펴보면 2가지 정도로 '추측'할 수 있다.

하나는 이메일 피싱 등으로 인하여 빗썸 직원의 PC 등이 해킹되고 악성코드에 감염되어 그로 인하여 이용자의 가상화폐가 유출되었을 경우이고(제1경로), 또 하나는 이용자의 개인정보를 습득한 해커가 이를 통하여 빗썸 계정이나 지갑 등을 해킹하였고 이를 통하여 이용자의 가상화폐가 유출되었을 경우(제2경로)이다.

이용자 입장에서 보면, 두 가지 경로는 법적으로 확연히 구분된다. 제1경로는 빗썸의 과실로 인해 가상화폐가 유출되었다고 주장할 여지가 크지만, 제2경로는 기본적으로 이용자의 과실로부터 시작되었기 때문에 빗썸에게 그 책임을 묻기가 쉽지 않은 구조이다.

법적으로 보면, 빗썸은 전자금융거래법상의 전자금융업자가 아닌 정보통신망법상의 정보통신서비스제공자이다. 따라서 금융기관에게 요구되는 고도의 보안조치가 필요하지 않고, 일반적인 IT 업체로서 갖추어야 할 보안조치만 갖추면 면책될 수 있는 것이다.

빗썸에게 요구되는 보안조치 수준은 방송통신위원회의 '개인정보의 기술적ㆍ관리적 보호조치 기준'에 규정되어 있다. 따라서 피해자는 이 방통위 고시의 위반 여부를 주장ㆍ입증하는 것이 중요하고, 빗썸 입장에서는 이 방통위 고시가 요구하는 수준의 보안조치를 잘 이행했다는 것을 설명하는 것이 중요하다.

제1경로와 관련된 방통위 고시 조항을 살펴보면, 일단 이메일 피싱으로 직원 PC 등이 감염된 것에 대하여 규정하고 있는 고시 조항은 없다. 이메일 피싱으로 인한 감염 이후 해커가 어떻게 피해자의 계정이나 지갑 등에 접근할 수 있었는지 등이 규명되어야 한다. 이 과정에서 최대 접속시간 제한 조치 미이행 등의 내부 관리자의 과실이 문제되면 피해자는 손해배상을 받을 확률이 올라간다.

제2경로는 제1경로와 달리 기본적으로 피해자의 PC 등에서 해킹이 1차적으로 발생한 것이고 이를 통해 해커가 빗썸 사이트에 접근한 경우이기 때문에, 빗썸 사이트가 본인 확인 조치를 다 했는지 등이 문제된다. 하지만 금융기관에 적용되는 전자금융감독규정과 달리 방통위 고시는 본인 확인 조치에 대한 규정을 갖추고 있지 않다. 결국 민법상의 주의의무 위반 등에 의존해야 하는 경우도 있을 수 있다.

만일 빗썸의 보안조치가 방통위 고시 위반에 해당하면, 빗썸에게는 민사적으로는 손해배상, 형사적으로는 정보통신망법 위반죄, 행정적으로는 과징금 부과 등의 법적 책임이 발생할 수 있다.

이상의 내용을 정리하면, 빗썸과 같은 가상화폐 거래소는 은행과 같이 막대한 현금 가치를 보유ㆍ관리하고 있음에도 불구하고 법령상의 미비로 인하여 약한 수준의 보안조치만 취하면 면책될 수 있다는 것이 피해자 입장에서 구조적으로 불리하게 작용할 것으로 보인다.

* 법무법인 민후 김경환 대표변호사 작성, IT조선(2017. 9. 1.) 기고.