- 금융ㆍ투자ㆍ외국환
- 핀테크ㆍ가상자산
- 75. [사례분석] 가상자산 거래소 해킹 사고의 법적 책임: 채무불이행에 따른 거래소의 귀책사유 및 손해배상액 산정 기준
이 페이지의 전문가를
소개합니다.
75.[사례분석] 가상자산 거래소 해킹 사고의 법적 책임: 채무불이행에 따른 거래소의 귀책사유 및 손해배상액 산정 기준
[사례분석] 가상자산 거래소 해킹 사고의 법적 책임: 채무불이행에 따른 거래소의 귀책사유 및 손해배상액 산정 기준
![[사례분석] 가상자산 거래소 해킹 사고의 법적 책임: 채무불이행에 따른 거래소의 귀책사유 및 손해배상액 산정 기준](https://api.nepla.ai/api/v1/image/1758772295120-U6bhzr0D64VXk9ek.png)
<핵심 요약>
법원은 가상자산 거래소의 관리 영역 내에서 발생한 해킹을 민법상 채무불이행으로 보고, 외부 보안 점검의 이유만으로는 귀책사유를 면할 수 없다고 판단한다. 손해배상액은 ‘개장 당시 시가’를 기준으로 삼은 선행 확정판결을 따르며, 가상자산 거래소가 선량한 관리자로서의 주의의무를 다했음을 스스로 입증해야 한다. 이는 해킹 사고의 법적 책임을 이용자가 아닌 거래소에 지워, 향후 동일한 소송에서 확립된 판례가 결정적 증거로 작용하는 선례를 만들기 위함이다.
자세한 기본 법리는 아래 위키들을 참고하십시오.
1. 사건 개요
가상자산 거래소 OO의 이용자들(원고)은 2018년 발생한 해킹 사고로 자신들이 예치한 비트코인(BTC) 등 가상자산의 상당 부분을 외부로 유출당하는 피해를 입었다. 가상자산 거래소(피고) 측이 제시한 자체 보상안이 실질적인 피해 복구에 이르지 못하자, 이용자들은 거래소의 가상자산 반환의무 불이행을 원인으로 하여 채무불이행(이행불능·이행지체)에 따른 손해배상 청구 소송을 제기하였다.
2. 핵심 법률 쟁점
본 사건은 가상자산 거래소의 해킹 책임이라는 기존 쟁점에서 더 나아가, 구체적인 책임의 범위와 입증 방법을 다루었다는 점에서 특징적이다.
Q: 가상자산 거래소가 외부 보안 점검을 받았다는 사실만으로 해킹에 대한 귀책사유를 면할 수 있을까?
피고인 가상자산 거래소는 외부 보안 컨설팅과 KISA(한국인터넷진흥원) 점검 등을 근거로 해킹이 불가항력이었다고 주장하며 귀책사유가 없다고 항변했다. 반면 원고들은 해킹이 가상자산 거래소의 관리 영역 내에서 발생한 이상, 사전 보안 조치만으로는 관리 소홀의 책임을 면할 수 없다고 반박하였다.
Q: 가상자산 해킹으로 인한 손해배상액은 어느 시점의 시가를 기준으로 산정해야 할까?
손해배상액 산정의 기준이 되는 시점을 두고 양측의 주장이 대립했다. 원고들은 ‘해킹 발생일 또는 서비스 재개일의 개장 당시 시가’를 주장한 반면, 피고는 특정 시세 정보 사이트의 ‘일일 평균가’를 적용해야 한다고 맞섰다.
Q: 동일한 해킹 사고에 대한 선행 확정판결은 후속 소송에 어떤 영향을 미치는가?
본 사건 이전에 동일한 해킹 사고에 대해 피고의 책임을 인정한 선행 확정판결(서울고등법원 2022. 10. 20. 선고 2021나2047876 판결)이 존재했다. 이에 따라 선행 판결에서 확립된 법리가 후속 소송에도 동일하게 적용되어야 하는지가 중요한 쟁점이 되었다.
3. 법원의 판단 및 법리적 분석
법원은 원고들의 주장을 받아들여 피고인 가상자산 거래소의 손해배상 책임을 인정했다.
법원은 해킹 사고가 피고의 관리 영역 내에서 발생한 이상, 특별한 사정이 없는 한 피고의 귀책사유를 부정하기 어렵다고 판단했다. 이는 가상자산 거래소가 이용자에 대해 전자금융거래법상 선량한 관리자로서의 주의의무를 부담하며, 사고 발생 시 자신의 과실이 없었음을 스스로 증명하지 못하면 책임을 져야 한다는 법리를 확인한 것이다.
또한, 손해액 산정 기준 역시 위 명시된 선행 확정판결(서울고등법원 2022. 10. 20. 선고 2021나2047876 판결)에서 인정된 기준(개장 당시 시가)을 따르는 것이 타당하다고 보아 피고의 주장을 배척하였다. 이는 동일한 사실관계에 대한 법원의 판단이 일관되게 유지되어야 한다는 원칙을 따른 것으로, 선행 확정판결이 후속 사건에서 중요한 판단 근거로 작용했음을 보여준다.
결론적으로 법원은 가상자산 반환의무를 특정 종류와 수량의 암호화폐를 반환해야 하는 종류채무의 성격으로 보고, 해킹으로 인한 반환 불능 및 지체에 대해 민법 제390조에 따른 채무불이행 책임을 명확히 인정하였다.
※ 관련 법률 인사이트
관련 사례에 대한 변호사의 실제 사건 수행 전략은 아래 법률 인사이트에서 더 깊이 있게 확인할 수 있습니다.
4. 관련 법규 및 판례
민법 제390조(채무불이행과 손해배상) 1. 접근매체의 위조나 변조로 발생한 사고 2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고 3. 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고 |
| 서울고등법원 2022. 10. 20. 선고 2021나2047876 판결 이유 3. 판단 가. 손해배상책임의 성립 2) 원고의 제2주장에 대한 판단 가) 유출 가상화폐에 관한 판단 (중략) 가상화폐는 재산적 가치가 있는 무형의 재산으로 그 자체에 고유한 값이나 번호가 부여되어 있지 않아 그 개성이 중요시되지 않고, 원고들이 이 사건 거래소의 각 계정에 보유하였던 가상화폐는 펀디엑스, 비트코인, 엔퍼 등 여러 종류가 있다. 그렇다면 원고들의 요청이 있을 경우 피고가 부담하는 가상화폐 반환의무는 한정 종류채무와 유사한 성질을 갖는다고 할 것인데, (중략) 그렇다면 원고들이 출금을 요구하면 즉시 가상화폐를 반환할 의무를 비롯하여 이 사건 거래소 이용계약에 따라 피고가 원고들에게 부담하는 의무 중 유출 가상화폐에 관한 부분은 이 사건 해킹사고 시점인 2018. 6. 10.에 이행불능이 되었다고 봄이 타당하므로, 피고는 원고들에게 이로 인한 손해를 배상할 의무가 있다. 나) 보유 가상화폐에 관한 판단 ② 이행지체로 인한 손해 발생 여부 보유 가상화폐에 관하여, 이 사건 해킹사고로 인해 이 사건 거래소의 서비스가 제공되지 않았던 2018. 6. 10.부터 2018. 7. 15.까지 사이의 기간 동안, 원고들이 가상화폐출금을 희망하더라도 피고가 그 반환의무를 즉시 이행할 수 없었던 상태에 있었음이 충분히 인정되고, (중략) 특별한 사정이 없는 한 이 사건 거래소 운영이 중단되었던 2018. 6. 10.부터 2018. 7. 15.까지의 기간 동안 원고들이 그 보유의 가상화폐를 자유롭게 거래하지 못함에 따라 원래 얻을 수 있었던 혹은 얻을 수 있으리라고 합리적으로 기대하였던 시세차익 등의 이익을 얻지 못하는 손해를 입었음을 인정할 수 있고, 이는 피고의 이행지체로 인한 것으로 봄이 타당하다. 3) 귀책사유가 없다는 취지의 피고 주장에 대한 판단 ① 일반적으로 채무불이행으로 인한 손해배상청구에 있어서 그 불이행의 귀책사유에 관한 증명책임은 채무자에게 있다(대법원 2010. 8. 19. 선고 2010다26745, 26752 판결 등 참조). (중략) ③ 그러나 한편, ㉮ 이 사건 해킹사고는, 피고가 관리하는 서버의 DB에 저장되어 있고, 피고가 관리하는 전자지갑들인 이용자 연결 전자지갑 또는 출금전용 전자지갑에 보관되어 있었던 '원고들이 예치한 가상화폐' 중 일부가 해킹으로 외부로 유출된 사고로 전적으로 피고 회사가 관리하는 영역에서 발생한 사고인 점, ㉯ 일반적으로 가상화폐를 보관하는 전자지갑 시스템의 보안강도 등에 비추어 보면, 어떤 형식으로든 피고의 전자지갑 접근수단에 대한 보안관리 소홀이 위 해킹사고의 원인이었을 가능성을 배제할 수 없는 점 등에 비추어 보면, 앞서 인정된 ②항의 사실 및 피고가 제출한 증거들만으로는 피고에게 앞서 살펴 본 이행불능 또는 이행지체에 관한 귀책사유가 없다고 인정하기에 부족하고, 달리 이를 인정할 증거가 없으므로, 피고의 위 주장은 이유 없다. 4) 소결 따라서 피고는 특별한 사정이 없는 한 원고들에게, 유출 가상화폐에 관한 이행불능에 따른 손해(원고들 전부에 대하여) 및 보유 가상화폐에 관한 이행지체에 따른 손해(원고 H, J은 그 보유 가상화폐 중 펀디엑스에 대하여, 나머지 원고들은 그 보유 가상화폐 전부에 대하여)를 각 배상할 책임이 있다. |
