국내 대형 암호화폐거래소 코인원에서 해킹 공방이 벌어지고 있다. 거래소가 해킹을 당한 것인지, 아니면 이용자의 컴퓨터·휴대폰이 해킹을 당한 것인지, 그것도 아니라면 이용자의 과실로 ID·비밀번호·OTP 코드 등이 유출된 것인지, 논란은 쉽게 가라앉지 않고 있다.

피해자들은 소송을 준비 중인 것으로 파악되고 있는데 거래소에서는 홈페이지 공지글을 통해 거래소가 해킹당했다는 것은 사실이 아니라고 밝혔다. 잘못된 사실이 유포되는 것에 대해 법적 대응을 하겠다는 입장이다. 현재로서는 누구 말이 맞는지 알기 어렵다. 검경 수사가 이루어진 이후에야 개략적으로나마 사건의 내막을 파악할 수 있을 것으로 예상된다. 따라서 거래소가 해킹을 당했다거나 사용자가 해킹을 당했다고 섣불리 단정하기는 어렵다.

이용자에 불리한 법 제도

문제는 암호화폐·가상화폐·가상자산 거래를 하다 이와 같이 해킹·무단출금 등의 사건이 발생할 경우 이용자(피해자)들이 매우 불리한 위치에 놓인다는 점이다. 암호화폐·가상화폐 거래에 대해서는 별다른 규제가 없어 해킹이나 무단출금 등의 사건이 발생하면 이용자가 거래소의 고의·과실 등을 모두 입증해야 한다. 이를 입증하지 못하면 손해를 보전받기 매우 어렵다. 그런데 개인투자자 입장에서는 해킹이나 무단출금이 어떻게 이루어졌는지, 거래소가 보안조치는 어떻게 하고 있었는지, 실제 보안이 뚫린 것이 맞는지 등을 파악하기란 쉽지 않다.

필자도 해당 거래소를 상대로 해킹·무단출금 손해배상 소송을 제기한 바 있다. 필자의 일부 승소로 종결되어 피해자가 2500만원 정도를 보상받기는 했지만, 그 이유는 거래소가 해킹을 당했다는 것이 아니라 거래소의 출금한도 제한조치 소홀에 따른 보상이었다. 피해자 측에서는 해외 IP 접속차단 등 거래 안전장치를 설정하지 않았다는 점 등을 문제 삼았으나, 결과적으로 거래소가 해킹을 당했다고 볼 만한 증거는 없다고 판결이 났다. 다만 이용자의 출금한도(2000만원) 이상으로 출금(6000만원 상당)이 되었으므로, 거래소가 해킹을 당했는지 여부와는 관계없이 출금한도에 대한 제한이 제대로 이루어지지 않은 점에 대해 거래소가 책임을 일부 부담한다는 결론이 났다. ‘1일 암호화폐 출금한도 제한’에 대한 부분을 주장하지 않았더라면 패소로 종결될 사안이었던 셈이다. 이와 같이 해킹이나 무단출금 사태가 발생하면 이용자들이 고통을 모두 짊어져야 하는 것은 규제의 공백 탓이 크다.

물론 암호화폐거래소에 대한 규제, 법 제도가 미흡하다고 해서 거래소가 아무런 책임을 지지 않는 것은 아니다. 해킹이나 무단출금 사고가 발생했을 때 고의·과실이 있었다면 거래소가 법적인 책임을 진다. 해킹이나 무단출금 방지를 위한 보안조치를 제대로 취하지 않았을 경우 그에 따른 민사상 손해배상책임을 부담하기 때문이다. 결국 문제는 규제의 미비로 거래소의 고의·과실을 모두 이용자가 입증해야 한다는 점이다.

은행과 확연한 차이

이는 은행과 비교해보면 확연한 차이가 있다. 은행은 이러한 사고가 발생한 경우 원칙적으로 무과실 책임을 부담한다.

전자금융거래법 제9조에서는 ‘1.접근 매체의 위조나 변조로 발생한 사고, 2.계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고, 3.전자금융거래를 위한 전자적 장치 또는 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고’에 대해 금융회사(은행) 또는 전자금융업자(PG업자) 등이 그 손해를 배상할 책임을 진다고 명시하고 있다. 다만 예외적으로 이용자의 고의 또는 중대한 과실이 있는 경우(사전 약정 필요), 은행 등이 충분한 주의 의무를 다한 경우 이용자에게 책임의 전부 또는 일부를 부담하게 할 수 있다.

바로 이러한 규정으로 인해 은행 등에서 보안사고가 발생하면 이용자에게 고의, 중대한 과실이 있다는 점을 은행이 입증해야 비로소 면책이 된다. 입증 책임이 그리 중요하냐고 생각할 수 있겠지만, 입증 책임이 있는 자가 입증을 못 하면 패소하게 되므로 실제 소송 과정에서는 매우 중요한 이슈가 된다.

또한 전자금융거래법에서는 은행 등으로 하여금 해킹 등으로 인한 손해배상책임을 이행하기 위한 보험 또는 공제에 가입하거나 준비금을 적립하도록 하고 있다.(전자금융거래법 제9조 제4항) 반면 암호화폐거래소에 대하여는 이런 규정이 적용되지 않고 순수하게 암호화폐거래소의 자체적 판단에 따라 보험에 가입하거나 적립금을 적립하고 있는 형편이다.

특금법 시행 이후에도 달라지는 것은 없다

이러한 사정은 특금법 시행 이후에도 달라지지 않고 있다. 특금법 개정 시행으로 인해 가상자산사업자(암호화폐거래소) 신고제가 도입되었다고는 하지만 위와 같은 투자자 보호 규정은 존재하지 않는다.

어떻게 보면 지난 4월 은성수 금융위원장이 발언한 바와 같이 가상화폐 투자자, 투기자에 대한 보호가 과연 필요하냐는 정부의 입장과 현재의 법 제도는 일맥상통한다고 볼 수 있다. 정책의 초점이 국민이나 암호화폐, 가상화폐 투자자 보호에 있지 않기 때문에 자연스럽게 정작 필요한 법 제도, 규제 도입은 요원한 상황이 초래되고 있다.

암호화폐·가상화폐 시장의 거래 규모, 거래소의 중요성 등을 종합적으로 고려해보면, 전자지갑의 사용이나 프라이빗 키 관리, 보관 방법 등에 대한 기준을 제시하고 이를 준수하도록 하는 정도에는 이르지 못하더라도 암호화폐거래소를 전자금융거래법상 전자금융업자의 개념에 포섭하거나 특별법을 제정하여 해킹 등 보안사고에 대한 거래소의 책임을 강화할 필요가 있다. 피해 발생 시 피해 보전을 위한 보험 가입, 준비금 적립 등을 의무화할 필요도 있다. 암호화폐거래소가 공인된 도박장이 될지, 디지털 세계와 현실 세계를 이어주는 매개체가 될지 기로에 놓여 있다. 으름장만 놓고 방치하는 것은 아무 도움도 되지 않는다. 여야 모두 제대로 된 법 제도 마련에 하루빨리 착수할 필요가 있다.