27일 법조계에 따르면 서울고법 민사35부(부장판사 배형원)는 이용자 A씨가 "손해배상금 4억 7000여만원을 지급하라"며 빗썸 운영사인 빗썸코리아를 상대로 낸 소송에서 1심과 마찬가지로 원고 패소 판결했다.
A씨는 2017년 11월 빗썸 계정에 로그인했다가 4억 7000여만원어치 포인트가 자신도 모르는 새 사라진 것을 발견했다. 거래 이력을 확인해보니 해커로 추정되는 인물이 A씨의 계좌에 있던 포인트로 가상화폐의 일종인 이더리움을 구매한 뒤 네 차례에 걸쳐 모두 현금화한 것으로 나타났다. 해커는 출금 과정에서 A씨의 휴대전화로 인증번호를 받아 입력했는데 이 과정에서 인증코드 문자 메시지가 A씨 휴대전화로 전송됐으나 정작 A씨는 메시지를 받지 못한 것으로 드러났다.
A씨는 "빗썸이 2017년 4∼6월 개인정보를 일일이 맞춰보는 식의 사전대입 공격을 받아 개인정보가 유출됐고 이듬해에도 해킹 피해를 보는 등 선관주의 의무(선량한 관리자의 주의 의무)를 다하지 못해 사고가 발생했다"며 소송을 냈다.
빗썸은 실제 2017년 12월 3만 6000여건의 개인정보 유출 등으로 방송통신위원회로부터 과징금과 과태료 처분을 받았다.
1심은 빗썸의 손을 들어줬다. 당시 재판부는 "사전대입 공격으로 유출된 개인정보에 A씨의 개인정보가 포함됐다고 인정할 증거가 없다"고 판단했다. 이에 A씨는 2심에서 "빗썸이 해커에게 이더리움을 인출할 수 있도록 승인한 것은 정당한 권리를 이행해준 것이 아니다"는 논리를 폈다.
하지만 항소심도 재차 빗썸의 손을 들어줬다. 재판부는 "해커가 A씨 아이디와 비밀번호, 보안 비밀번호를 입력해 이더리움을 샀고, 이후 A씨 휴대전화로 인증번호까지 받아 출금을 요청했다"며 "빗썸은 해커가 정당한 권한을 가진 것이라 믿었고 그렇게 믿은 데 과실이 없다"고 설명했다.
남정민 기자 peux@hankyung.com