가상화폐 거래소 빗썸 이용자가 거래소가 개인정보 보호를 위한 의무를 다하지 않아 4억원 상당의 가상화폐를 해커에게 도난당했다며 거래소를 상대로 소송을 냈지만 패소했다.
서울중앙지법 민사30부(재판장 이상현 부장판사)는 A씨가 빗썸 운영사인 BTC코리아닷컴을 상대로 "4억7800여만원을 달라"며 낸 손해배상 청구소송(2017가합585293)에서 최근 원고패소 판결했다.
지난해 11월 해커로 추정되는 사람이 4억7800여만원 상당의 원화 포인트를 갖고 있던 A씨 빗썸 계정에 접속했다. 해커는 A씨 포인트 대부분으로 가상화폐 이더리움을 사들인 다음 4차례에 걸쳐 빗썸의 승인을 받아 이더리움 대부분을 외부로 빼돌렸다. 결국 A씨 계정에 남은 121원의 원화 포인트와 당시 시세로 약 40만원어치에 불과한 0.7794185이더리움만 남았다.
A씨는 "빗썸 측에 사실상 금융기관에 요구되는 정도와 같은 고도의 보안 조치가 요구되는 만큼 전자금융거래법을 유추 적용할 수 있다"며 소송을 냈고, 빗썸 측은 자신들은 전자금융거래법상의 금융회사 등에 해당하지 않는다고 맞섰다.
전자금융거래법이 적용되면 빗썸은 전자금융거래가 안전하게 처리될 수 있도록 선관주의의무(選管主意義務, 일반인·평균인에게 요구되는 정도의 주의의무)를 다해야 하고, 정보통신망에 침입해 거짓이나 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고로 인해 이용자에게 손해가 발생할 경우 그 손해를 배상할 책임을 진다.
재판부는 빗썸 측 손을 들어줬다. 재판부는 "금융위원회의 허가 없이 가상화폐거래를 중개하는 빗썸에 전자금융업자에 준해 전자금융거래법을 유추 적용하는 것은 타당하지 않다"며 "가상화폐는 일반적으로 재화 등을 사는 데 이용될 수 없고, 가치의 변동 폭도 커 현금 또는 예금으로 교환이 보장될 수 없으며 주로 투기적 수단으로 이용되고 있어 전자금융거래법에서 정한 전자화폐에 해당한다고 볼 수 없다"고 판단했다.
A씨는 지난해 스피어피싱 등을 통해 빗썸 웹사이트 계정정보 등 3만6000여건이 해커에게 유출된 사고를 거론하면서 빗썸 측이 선관주의의무를 다하지 않았고 주장했으나, 재판부는 "당시 해커에게 유출된 개인정보에 A씨의 개인정보가 포함됐다고 인정할 증거가 존재하지 않는다"며 A씨 주장을 받아들이지 않았다.
재판부는 "성명불상자가 원고가 주로 사용하는 아이피 주소가 아닌 주소로 접속한 것으로 보이기는 하지만, 스마트폰 등은 접속 위치나 시간에 따라 아이피 주소가 변경될 수 있는 것이 현실이므로 빗썸이 이런 접속을 막지 않았다고 해 선관주의의무를 다하지 못한 것으로 보기는 어렵다"며 "10회에 걸쳐 빗썸이 출금인증코드 문자메시지를 A씨 휴대전화로 보내 이더리움 출금 절차 진행을 알렸음에도 이를 A씨가 수신하지 못한 점에 비춰 빗썸의 관리와 무관하게 A씨의 휴대전화가 해킹 또는 복제 당했을 가능성도 배제하기 어렵다"고 설명했다.