업비트 해킹으로 코인 1천억 증발… 법원이 보는 가상자산 해킹의 책임 소재

지난달 말, 국내 1위 가상자산 거래소 업비트가 해킹 공격을 받았다. 솔라나 계열 코인 24종, 약 1억 개가 순식간에 탈취당했다. 피해액은 당시 시세로 약 1천억 원, 현재 가치로는 450억 원에 달한다.

이번 사건은 '코인 1천억 증발'이라는 충격적인 타이틀로 세간의 이목을 집중시켰다. 하지만 정작 이용자들의 반응은 의외로 차분하다. 8일 SBS 라디오 '김태현의 정치쇼'에 출연한 고란 경제 전문 기자는 이 '이상한 안도감'의 배경을 법적인 시각에서 풀어냈다.

이용자 피해 '0원'의 비밀

가장 큰 의문은 누가 책임을 지느냐다. 해킹으로 인한 피해를 이용자가 고스란히 떠안아야 하는 건 아닐까?

고란 기자는 단호하게 "아니다"라고 말했다. 그는 "국내 대형 거래소의 경우 해킹 사고가 발생하면 고객 피해는 0원"이라며 "회사가 자기 돈으로 다 물어준다"고 설명했다.

가상자산 거래소는 현행 전자금융거래법상 금융회사나 전자금융업자에 해당하지 않아 해킹 사고 발생 시 배상 책임이 법적으로 명확히 규정되어 있지는 않다.

그러나 가상자산 거래소가 해킹으로 이용자 자산을 반환하지 못하게 되면 민법상 채무불이행 책임을 지게 된다. 거래소가 불가항력적인 사고였음을 입증하지 못하는 한, 원칙적으로 손해를 배상해야 하는 것이다.

특히 업비트와 같은 대형 거래소는 금융정보분석원(FIU)의 규제를 받는다. 고 기자는 "국내 거래소는 분기마다 감사를 받고, 고객 자산의 80% 이상을 인터넷과 분리된 '콜드월렛'에 보관해야 하는 규정을 준수해야 한다"며 "업비트는 이를 90% 이상으로 유지하고 있어 피해 규모를 줄일 수 있었다"고 분석했다.

1천억 손실, 소송전 대신 '신뢰' 택한 업비트

업비트는 이번 사건 직후 "회사가 전액 보상하겠다"고 밝혔다. 450억 원이라는 거금을 선뜻 내놓은 배경에는 단순한 법적 의무를 넘어선 신뢰 회복이라는 경영적 판단이 깔려있다.

고 기자는 "안 물어주면 어디 발붙이고 장사하겠느냐"며 "업비트가 버는 돈에 비하면 450억 원은 큰돈이 아니다"라고 꼬집었다. 실제로 업비트 운영사 두나무의 지난해 영업이익은 6천억 원이 넘는다. 450억 원은 신뢰 유지 비용으로 충분히 감내할 만한 수준이라는 것이다.

해외 거래소였다면? "피해 구제 막막했을 것"

이번 사건은 역설적으로 국내 가상자산 거래소의 안정성을 보여주는 계기가 됐다. 해외 거래소의 경우 해킹 피해 보상이 쉽지 않기 때문이다.

고 기자는 "해외 거래소는 조세 피난처에 등록된 경우가 많고, 고객 자산 관리가 불투명하다"며 "올해 2월 세계적인 거래소 바이비트가 해킹으로 2조 1천억 원을 탈취당했을 때와 비교하면 국내 거래소는 상대적으로 안전하다"고 평가했다.

물론 100% 안전한 곳은 없다. 업비트 역시 '콜드월렛' 비중을 90%까지 높였지만, 입출금 편의를 위해 '핫월렛'(인터넷에 연결된 지갑)에 보관하던 1% 내외의 자산이 이번 해킹의 타깃이 됐다.

고 기자는 "콜드월렛 보관 비율이 너무 높으면 고객이 코인을 인출할 때마다 수수료가 발생하고 시간이 지체된다"며 "보안과 편의성 사이에서 균형을 맞추는 것이 거래소의 과제"라고 지적했다.

한편, 업비트 측은 이번 사태와 관련해 "고객 자산을 보관하는 회사로서 기업 실수로 고객 자산에 피해가 생겼을 시에는 회사가 전액 보전하는 것은 당연하다"는 입장을 밝혔다. 이어 "업비트는 '회원 보호'를 최우선 가치로 두고 있으며, 해당 기조 아래 2019년부터 침해사고 발생 시 고객 자산을 회사가 전액 보존해오고 있다"고 강조했다.