가상화폐 거래소 빗썸이 관리를 소홀히 해 수억원에 달하는 현금 포인트를 해커에게 도난당했다며 이용자가 소송을 냈지만 1심에 이어 항소심에서도 패소했다.
27일 법조계에 따르면 서울고법 민사35부(배형원 조광국 하태헌 부장판사)는 A씨가 “손해배상금 4억7,000여만원을 지급하라”며 빗썸 운영사인 빗썸코리아를 상대로 낸 소송에서 1심과 마찬가지로 원고 패소 판결했다.
A씨는 2017년 11월 빗썸 계정에 로그인했다가 자신이 보유하고 있던 4억7,000여만원어치 포인트가 자신도 모르는 사이 사라진 것을 발견했다. 거래 이력을 확인한 결과 해커로 추정되는 인물이 A씨의 계좌에 있던 포인트로 가상화폐의 일종인 이더리움을 구매한 뒤 4차례에 걸쳐 모두 현금화한 것으로 나타났다. 해커는 출금 과정에서 A씨의 휴대전화로 인증번호를 받아 입력했다. 이 과정에서 출금 인증코드 문자 메시지가 A씨 휴대전화로 전송됐으나 정작 A씨는 메시지를 받지 못한 것으로 드러났다. A씨는 “빗썸이 2017년 4∼6월 개인정보를 일일이 맞춰보는 방식의 사전대입 공격을 받아 개인정보가 유출됐다”며 “이듬해도 해킹 피해를 보는 등 선량한 관리자의 주의 의무를 다하지 못해 사고가 발생했다”며 소송을 냈다.
빗썸은 2017년 12월 3만6,000여건의 개인정보 유출 등의 이유로 방송통신위원회로부터 과징금과 과태료 처분을 받았다. 국내에서 가상화폐 거래소가 제재를 받은 첫 사례다.
1심 재판부는 “사전대입 공격에 의해 유출된 빗썸의 개인정보에 A씨의 개인정보가 포함됐다고 인정할 증거가 없다”며 빗썸의 손을 들어줬다. A씨는 항소심에서 “빗썸이 (해커에게) 이더리움을 인출하도록 승인한 것은 정당한 권리자에게 권리를 이행해준 것이 아니다”며 “빗썸과 이용자 사이 관계에서는 효력이 없다”는 논리를 폈다.
항소심 재판부는 “해커가 돈을 인출할 당시 채권을 행사할 정당한 권한을 가진 것처럼 믿을 만한 외관을 가진 사람이라고 할 수 있다”며 1심 판단을 유지했다. 재판부는 “해커가 A씨 아이디와 비밀번호, 보안 비밀번호를 입력해 로그인해 포인트로 이더리움을 샀고, 이후 A씨 휴대전화로 인증번호까지 받아 출금을 요청했다”며 “빗썸은 해커가 정당한 권한을 가진 것이라 믿었고 그렇게 믿은 데 과실이 없는 것으로 평가할 수 있다”고 설명했다. /이희조기자 love@
- 이희조 기자
- love@sedaily.com