가상화폐거래소의 해킹 피해자가 거래소를 상대로 손해배상 소송을 제기했다가 패소했다. 가상화폐거래소에 금융회사와 같은 보안 의무를 지울 수 없다는 이유에서다. 법원은 가상화폐가 투자 수단에 불과하기 때문에 금전 거래를 기반으로 하는 전자금융거래법을 적용할 수 없다고 봤다. 법조계 안팎에서는 가상화폐거래소와 관련한 보안 규정이 미비해 투자자 피해가 이어질 가능성이 크다고 우려했다.

가상화폐에 전자금융법 적용 무리

서울중앙지방법원 민사합의30부(부장판사 이상현)는 가상화폐 투자자 박모씨가 국내 최대 가상화폐거래소인 빗썸의 운영사 BTC코리아닷컴을 상대로 “4억7800만원을 지급하라”며 낸 손해배상 소송에서 원고 패소 판결했다고 24일 밝혔다.

박씨는 지난해 11월 빗썸에서 발생한 해킹 사건으로 4억7800여만원의 손해를 입었다고 주장했다. 해커는 박씨의 빗썸 포인트를 이용해 가상화폐 이더리움을 사들였고 거래소의 승인을 받아 네 차례에 걸쳐 이더리움을 외부로 빼냈다. 해킹으로 박씨의 계정에는 121원 상당의 포인트와 당시 시세로 40만원 정도인 0.7794185이더리움만 남았다. 박씨는 소송을 시작했다.

재판의 쟁점은 법률상 통신판매중개업체로 등록한 가상화폐거래소에 전자금융거래법상 금융회사와 같은 의무를 지울 수 있느냐였다. 법원은 빗썸의 손을 들어줬다. 가상화폐는 돈이 아니기 때문에 거래소를 금융회사로 볼 수 없다는 논리다.

재판부는 “일반적으로 가상화폐로는 물건을 살 수도 없고 가치의 변동성이 매우 커서 현금 교환을 보장받기 어렵다”며 “주로 투기적 수단으로 이용되고 있어 전자금융거래법에서 정한 전자화폐에 해당한다고 볼 수 없다”고 설명했다. 이어 “금융위원회의 허가 없이 가상화폐 거래를 중개하는 피고에게 전자금융거래법을 적용하는 것은 타당하지 않다”며 “은행처럼 높은 수준의 보안을 강제할 수 없다”고 덧붙였다.

3년간 해킹 피해 최소 1100억원

가상화폐거래소는 보안에 취약해 해커들의 ‘먹잇감’이 돼 왔다. 지난 6월에도 코인레일과 빗썸에서 해킹으로 각각 504억원과 209억원 상당의 가상화폐가 부정 인출됐다. 조원진 대한애국당 의원에 따르면 최근 3년간 7번의 해킹이 발생했고 거래소 이용자들은 1100억원대 피해를 입었다. 지난해 6월 빗썸에서는 회원 3만6000명의 정보가 유출되기도 했다.

인호 한국블록체인학회장(고려대 교수)은 “가상화폐는 거래에 참여하는 사람 모두가 내역을 공유하는 블록체인 기술을 사용해 해킹이 거의 불가능하지만 가상화폐거래소는 그렇지 않다”며 “우후죽순 생겨난 거래소들은 디도스(DDoS·분산서비스 거부) 공격이나 악성코드, 피싱 등을 이용한 해킹 기술에 취약한 모습을 드러내고 있다”고 분석했다.

법조계와 가상화폐업계에서는 허술한 규정으로 투자자 보호의 사각지대가 생겨났다는 지적이 나온다. 가상화폐거래소를 상대로 단체소송을 대리하는 한 변호사는 “가상화폐의 법적 정의와 성격에 대해 국제적으로도 해석이 분분하다”며 “당국도 투자자 보호에 사실상 손을 놓은 상태”라고 말했다.

신연수 기자 sys@hankyung.com