암호화폐 거래소 해킹으로 인한 피해가 눈덩이처럼 불어나고 있다. 지난달 코인레일과 빗썸이 잇따라 해킹사고를 당하면서 750억원 가량의 암호화폐가 유출됐다. 경찰청 등 관련 기관이 국회에 제출한 자료에 의하면 ‘최근 3년 동안 총 7건의 해킹사고로 1,288억원 상당의 암호화폐가 도난 당했다’고 한다. 해킹사고는 계속 일어나고 사고가 나면 피해규모도 크다. 그럼에도 불구하고 피해자를 구제할 수 있는 ‘암호화폐 거래와 거래소에 대한 법령의 정비와 제도화’는 요원한 상황이다.
물론 정부의 움직임이 전혀 없는 것은 아니다. 지난 2016년 암호화폐 태스크포스팀(TFF)을 꾸리고 암호화폐의 법적 성격과 ICO(암호화폐공개), 거래소 등에 대한 논의를 시작했다. 그러나 아직 이렇다 할 결론을 내지 못하고 있다. 법적 공백이 길어지면서 거래소는 일단 전자상거래법에 따른 통신판매업자로 등록하고 서비스를 제공했다. 그런데 지난 4월 공정거래위원회가 “암호화폐 거래소는 통신판매업자로 볼 수 없다”며 각 지방자치단체에 “신고된 거래소의 통신판매업 등록을 말소 하라”는 내용의 공문을 보내면서 혼란은 더 커졌다.
해킹 피해자에 대한 구제는 더 큰 문제다. 해킹 피해에 대한 1차 책임은 당연히 해커가 져야 한다. 그러나 해커를 잡기 힘든 상황에서는 해킹 방지를 위해 제대로 된 보안조치를 취하지 않은 거래소에 대한 책임을 물을 수 밖에 없다. 이 과정에서 치열한 다툼이 예상된다.
블록체인을 기반으로 한 암호화폐는 해킹이 불가능할까?
본격적으로 해킹 책임 문제를 따지기에 앞서 블록체인 기술과 암호화폐 거래소에 대한 설명이 필요하다.
암호화폐 연구와 분석은 지난해 암호화폐 거래가 크게 늘면서 많아졌다. 당시 “블록체인, 분산원장 시스템을 기반으로 한 암호화폐는 기술적 특성상 해킹이나 위·변조가 사실상 불가능하다”는 점이 강조됐다.
틀린 말은 아니다. 블록체인 기술은 저장하려는 데이터를 체인처럼 엮어 모든 참여자가 공유한다. 그래서 특정시점의 특정 정보를 바꾸기 위해선 △해당 데이터 뿐만 아니라 그 시점 이후의 모든 데이터를 바꾸고 △합의 알고리즘이 정한 바에 따라 일정 비율(가령 과반수) 이상의 장부에 적힌 내용도 모두 바꿔줘야 한다. 이런 이유로 데이터 변경은 불가능에 가깝다고 말한다.
문제는 블록체인 시스템이 아니라 암호화폐를 주고받는 전자지갑이다. 암호화폐 거래 과정에서 비밀번호 역할을 하는 ‘프라이빗 키’의 경우 해킹에 취약하다고 할 수 있다. 비유하자면 은행을 해킹해서 A 계좌에 있는 100만원을 1,000만원으로 바꾸는 것은 어렵다. 그러나 A 계좌의 비밀번호가 저장된 컴퓨터를 해킹한 후 A 계좌에 있는 100만원을 B 계좌로 이체하는 것은 상대적으로 쉽다. 이 외에 거래소 이용자들의 개인정보, 비밀번호 등도 블록체인 기술의 높은 보안성과는 별개로 해킹 등에 취약하다고 볼 수 있다.
이와 같이 ‘블록체인, 분산원장 시스템’, 그 자체에 대한 보안성 문제와 ‘암호화폐 탈취’, ‘거래소 개인정보, 이용자 비밀번호’와 관련된 해킹 문제는 분리해서 접근해야 한다. 그런데도 ‘블록체인 기술은 해킹이 불가능하거나 어렵다’는 인식으로 인해 암호화폐 탈취와 해킹방지를 위한 기술 개발이나 거래소들의 보안조치 마련은 상당히 미흡했던 것이 현실이다.
암호화폐 거래소에 해커들의 공격이 집중되는 이유는 뭘까?
거래소는 해커의 주요 타겟이 됐고, 번번이 뚫렸다. 해킹에 뚫린 것은 거래소의 보안조치 미흡도 한 몫을 했지만, 거래구조 자체에도 빈틈이 있기 때문이다. 현재 암호화폐는 약간의 OTC(장외거래시장), 블록딜(대량매매)을 제외하고는 대부분 중앙화된 거래소를 통해 거래된다.
문제는 중앙화된 거래소가 고객이 암호화폐를 거래할 때마다 블록체인 시스템에 거래를 기록하지 않는다는 것이다. 이유는 비용도 비싸고 시간도 많이 걸리기 때문이다. 대신 거래소가 암호화폐를 통합해서 보관, 관리하면서 이용자들이 거래할 때마다 장부에 매수, 매도를 숫자로 기록한다. 그리고 이용자들이 암호화폐를 거래소에 입금하거나, 출금할 때만 해당 암호화폐 블록체인 시스템 위에서 거래를 일으킨다. 대부분 이용자들은 암호화폐 거래를 위해 입금과 출금을 반복하지 않는다. 결국 대다수는 자신의 암호화폐를 거래소 전자지갑에 보관하고 있다는 것이다.
이로 인해 거래소가 관리하고 있는 전자지갑이 해커들의 주요 타겟이 되고 있다. 또 거래소 내부의 관리 조치가 미흡하면, 내부 임직원들이 거래소 보유 암호화폐를 쉽게 외부로 대량 유출할 가능성도 있다.
더 큰 문제는 거래소가 이용자 소유의 암호화폐를 혼합해서 보관(混蔣任置)하고 있기 때문에 거래소 지갑에 있는 암호화폐가 외부로 유출되거나 도난당했을 때, 어떤 이용자의 암호화폐가 유출됐는지 특정하기 어렵다는 점이다. 그 결과 해당 암호화폐를 보유한 이용자 모두가 피해를 보게 될 가능성이 높다. 실제로 지난해 야피존은 55억원 상당의 비트코인을 도난당하자, 회원들의 보유자산을 동일한 비율만큼 차감했다. 이와 같은 이유로 거래소 해킹 피해는 보이스 피싱 등 다른 금융사고에 비해 파장이 훨씬 크다.
실제 거래소의 전가지갑을 모교로 한 해킹 시도는 빈번하게 이뤄지고 있다. 최근 발생한 코인레일 해킹 사건도 관리하던 전자지갑의 프라이빗 키를 해킹당해 펀디엑스(NPXS), 엔퍼(NPER), 애스톤(XTM) 등 이더리움 기반의 토큰을 도난당했다. 빗썸도 인터넷과 연결된 핫 월렛에 보관 중이던 350억원 규모의 거래소 보유분 암호화폐가 탈취된 것으로 알려졌다.
해외 거래소도 상황은 별반 다르지 않다. 2014년 일본 마운트곡스사는 4,800억원, 지난 1월 코인체크는 5,700억원 상당의 암호화폐를 해킹당했는데, 두 거래소 모두 핫 월렛에 보관 중이던 암호화폐를 도난당했다.
그렇다면 해킹 사고가 발생했을 때 원상회복 방안은 있을까?
가장 먼저 생각할 수 있는 손실 보전 방안은 해킹당한 암호화폐의 블록체인 시스템 자체에서 원상복구를 하는 것이다. 은행 계좌를 동결하는 것과 비슷한 조치다. 그러나 중앙화된 관리기관이 없는 블록체인 시스템의 특성상 현실적으로 실행하기는 어렵다. 또 다른 방안은 해커를 찾아내 암호화폐 돌려받거나 손해배상을 청구하는 것이다. 이 역시 해커를 찾기 어렵다는 이유로 현실적 방안은 아니다.
결국 거래소 이용자 입장에서는 “거래소가 해킹 방지를 위한 제대로 된 보안조치를 취하지 않았다”는 이유로 거래소에 손해배상 책임을 묻는 것 외에는 현실적 대안이 없는 것으로 생각된다. 결국 거래소가 해킹 사고에 대해 어떤 그리고 얼마 만큼의 법적 책임을 지는지가 중요해진다.
해킹 사고가 발생했을 때 거래소의 법적 책임은 어떻게 물을 수 있을까?
일단 해킹 사고를 크게 두 가지 유형으로 나눠볼 수 있다. 하나는 개인정보가 유출된 경우, 다른 하나는 프라이빗 키가 유출된 경우다.
우선 해킹으로 개인정보가 유출된 경우, 거래소를 상대로 ‘정보통신망법에 따라 손해배상 청구’가 가능하다. 정보통신망법은 정보통신서비스제공자인 거래소가 개인정보 보호조치를 취해야 하고, 손해가 발생하면 배상하도록 하고 있다. 이때 정보통신서비스제공자가 고의·과실 여부를 증명해야 한다. 피해자는 손해액의 3배를 한도로 징벌적 손해배상을 요구할 수 있다. 손해배상 규모는 거래소가 기술적, 관리적 조치를 얼마나 이행했는지가 관건이다. 그래서 거래소는 “조치를 잘 이행했다”는 사실을 설명해야 하고, 이용자는 “조치가 미흡했다”는 사실을 주장하고 입증해야 한다.
예를 들어 거래소가 임직원들에 대한 보안 교육을 철저히 시행하고, 실제 컴퓨터를 이용할 때 일정 시간이 지나면 자동으로 로그아웃되도록 설정하고, 화면보호기 설치·망 분리·주요 정보 접근 권한 분리 등의 조치를 취했다면 거래소에 대한 법적 책임이 인정될 가능성은 낮아진다고 볼 수 있다.
그런데 개인정보가 아닌 전자지갑의 프라이빗 키를 해킹 당한 경우 상황은 복잡해진다. 프라이빗 키는 어느 특정한 개인을 식별하는 개인정보라 보기 어렵기 때문이다. 그래서 암호화폐 유출을 이유로 “개인정보 보호조치 위반으로 손해가 발생했다”고 보기 어렵고, ‘정보통신망법에 따른 손해배상책임’을 추궁하기도 쉽지 않다.
다만 거래소가 보호의무, 안전의무를 위반했다는 이유로 민법상 채무불이행 책임을 묻거나, 거래소의 고의·과실을 이유로 불법행위책임을 물을 수 있을 것으로 생각된다.
물론 ‘암호화폐 탈취’ 그 자체가 ‘손해’인지에 대한 법적 논란도 있을 수 있다. 암호화폐는 무형의 전자기록으로서 재산적 가치가 없다고 주장할 수 있기 때문이다. 이 부분과 관련해서는 지난 5월 30일 대법원이 ‘비트코인은 재산적 가치가 있는 무형 재산’임을 인정하면서 일단락된 것으로 생각한다. 비트코인과 같이 거래소에 상장, 유통되고 있는 암호화폐는 시세가 있기 때문에 재산적 가치를 인정받을 수 있고, 탈취로 인한 손해도 인정될 가능성이 높을 것으로 사료된다.
물론 해킹으로 인한 암호화폐 탈취에 대한 배상 사례나 판례는 아직 없어 예단은 힘들다. 그러나 이러한 소송의 핵심은 결국 거래소가 해킹 방지를 위한 기술적, 관리적 조치를 제대로 했는지 여부가 될 것으로 보인다. 특히 암호화폐 거래소는 포털이나 전자상거래 사이트에 비해 △금전적 가치를 지닌 암호화폐가 대규모로 거래, 유통되고 △이용자들이 암호화폐를 보관, 관리한다는 점 등을 고려하면 금융회사에 비견할 만한 높은 수준의 주의의무, 보안수준을 요구할 수 있을 것으로 예상된다.
좀 더 구체적으로 살펴보면, 거래소의 과실 정도는 우선 해커들의 해킹 수법이나 방식에 따라 달라질 수 있다. 예컨대 해킹 수법은 비교적 간단한데, 거래소가 해킹 방지를 위한 일련의 조치, 가령 콜드 월렛 보관이나 내부 직원 보안 교육 및 접근 권한 분리, 망 분리 등을 제대로 취하지 않았다면 피해자들은 ‘거래소의 손해배상 책임이 인정된다’는 법원의 판결을 받을 수도 있다.
거래중단으로 인한 2차 피해는 구제받을 수 있을까?
거래소들은 해킹을 당하면 사실관계 확인 및 추가 피해 방지를 위해 거래를 중단한다. 거래 중단으로 매매가 불가능해지면 2차 피해도 발생하고, 그로 인한 손해배상 이슈도 제기된다. 코인레일과 빗썸도 해킹 후 거래를 중단시켰고, 중단에 따른 2차 피해가 발생했다. 그러나 2차 피해에 대한 구제는 현실적으로 받기 쉽지 않을 듯하다.
통상 거래소는 이용약관에 이런 사태에 대비한 내용을 적어놨다. 예컨대 코인레일은 △회원 외의 제 3자 해킹 또는 이에 준하는 상황이 발생하면 그 이후 발생한 모든 거래 내역의 취소 및 원상회복 조치를 취할 수 있다 △해킹, 사기 사고가 발생하면 그 사유, 일시 및 기간을 정해 회원에게 전자우편, SMS 등의 방법으로 통지하고 서비스 이용을 제한할 수 있다고 돼 있다. ‘약관’은 계약의 일방 당사자가 다수의 상대방과 계약을 체결하기 위해 일정한 형식에 의해 미리 마련한 것이다. 그래서 위와 같은 내용이 약관에 있는 이상, 그 약관이 무효로 인정되지 않는 이상 거래소를 상대로 계약책임을 묻기는 어렵다.
물론 불법행위로 인한 손해배상책임은 생각해볼 수 있다. 그러나 해킹이 발생한 경우 추가 피해를 막기 위해 거래를 중단하는 게 위법하다고 보기는 어렵기 때문에 거래 중단 행위 자체를 ‘불법행위’라고 하기는 쉽지 않아 보인다. 다만 거래소가 거래만 일시 중단하고 사태 해결을 위한 별다른 조치를 취하지 않거나, 거래 중단이 지나치게 긴 경우에는 사태 해결 지연으로 인한 손해는 청구할 수 있을 것으로 생각된다.
보다 실질적인 피해예방과 구제를 위해선 선제적인 건전성 규제 등이 필요하다.
이론적으로는 손해배상 청구가 가능하더라도 실제로는 암호화폐 거래소가 여력이 없어 보상을 못 받을 가능성이 있다. 거래소가 파산하는 상황이 발생하면 소송에서 승소를 해도 피해를 보전 받기 어렵다. 특히 피해 규모가 클수록 거래소가 파산할 가능성이 높고, 그 여파도 상당할 수 밖에 없다. 실제로 앞서 살펴본 마운트곡스도 해킹 후 파산 절차를 밟았다.
현재 암호화폐 거래소에 대한 특별한 법적 규율이 없고, 사고 발생에 대비해 특별히 준비금을 적립하거나 보험을 가입해야 하는 것도 아니어서 사고가 발생하면 실질적인 피해자 구제 조치가 이뤄지기 어려운 측면이 있다. 은행과 같은 금융회사, PG(전자결제시스템)사와 같은 전자금융업자들은 전자금융거래법에 따라 해킹 등으로 인한 손해배상책임을 이행하기 위한 보험 또는 공제에 가입하거나 준비금을 적립하도록 하고 있다. 그런데 거래소는 전자금융거래법상 전자금융업자에 해당한다고 보기가 어려워 이 규정이 적용되지 않는다. 또 한국블록체인협회에서 ‘자기자본 20억원이 있어야 거래소를 운영할 수 있다’는 자율규제안을 내놓긴 했지만, 강제력도 없고 타당성에 대해서도 일부 논란이 있다.
결국 암호화폐 시장의 거래 규모, 거래소의 중요성과 역할 등을 종합적으로 고려해볼 때 거래소를 전자금융거래법상 전자금융업자의 개념에 포섭하거나 특별법을 제정해 손해배상에 대비한 보험가입 또는 준비금 적립을 의무화해야 한다. 적절한 수준의 자본금 요건 등을 통한 건전성 규제도 부과하는 것이 바람직하다.
아울러 암호화폐, 블록체인 시스템에 적합한 암호화폐 거래, 보관, 관리 방식을 법제화하고 그에 따라 거래소를 관리해야 한다. 단순히 거래소의 보안을 높이기 위해 인력과 예산을 더 투입하도록 하는 것을 넘어, 전자지갑의 사용이나 프라이빗 키 관리, 보관 방법 등에 대한 기준을 명확히 제시하고 이를 준수하도록 서둘러 강제할 필요가 있다. /정재욱 법무법인 주원 파트너 변호사
※ 편집자 주
디센터와 법무법인 디라이트, 법무법인 주원, 법무법인 바른, 법무법인 동인은 오는 24일 오후 3시 서울 서초구 강남대로에 있는 드림플러스 강남에서 ‘끊이지 않은 암호화폐 거래소 해킹, 책임은 누구의 몫인가’를 주제로 ‘제1회 디센터 콜로키움’ 행사를 진행한다.
이번 콜로키움은 정재욱 법무법인 주원 파트너 변호사가 ‘암호화폐 거래소의 법적 지위와 해킹에 대한 손해배상 이슈’라는 제목으로 주제발표를 한다. 이후 조원희 법무법인 디라이트 대표 변호사의 사회로 한서희 법무법인 바른 변호사, 권단 법무법인 동인 파트너 변호사가 주제토론을 이어간다. 참가비는 무료. ‘디센터 밋업’ 홈페이지를 통해 신청하면 된다.
- 우승호 기자
- derrida@sedaily.com