[아시아경제 김대현 기자] 국내 가상자산 거래소 '빗썸'을 운영하는 빗썸코리아가 2017년 해킹 피해를 본 이용자들의 손해를 일부 배상해야 한다고 법원이 판단했다.
25일 법원에 따르면 서울중앙지법 민사30부(재판장 정찬우 부장판사)는 A씨 등 130여명이 빗썸코리아와 이정훈 전 빗썸코리아 의장을 상대로 낸 2억원 규모의 손해배상 청구소송 1심에서 "피고들은 공동으로 원고 중 118명에게 총 1억7741만여원을 지급해야 한다"고 판결했다.
앞서 빗썸은 2017년 4월28일 직원 채용 기간 중 이 소송과 관련된 '1차 해킹 공격'을 받았다. 해커는 당시 이력서로 위장된 한글 파일 '이력서.hwp'를 메일로 실어 이 의장에게 보냈다. 여기엔 파일 탐색과 업로드 및 다운로드, 정보 수집 등이 가능한 악성프로그램이 숨겨져 있었다.
개인용 컴퓨터에 회원들의 이름과 이메일, 전화번호, 거래량 등 암호화폐 거래정보 3만1506건이 기재된 파일을 보관했던 이 의장은 해커가 보낸 메일의 파일을 실행했고, 결국 회원정보 기재 파일이 해커에게 유출됐다.
2017년 4~6월 '2차 해킹 공격'도 발생했다. 해커는 아이디와 비밀번호를 반복적으로 조합·입력하는 방식으로 계정 4981개에 접속하는 데 성공했다.
빗썸 측은 2017년 5~10월 회원들로부터 92건의 해킹 피해 신고를 받고도 피해자의 부주의로 발생한 문제로 인식하고, 인증 절차 강화 외엔 대책을 마련하지 않았던 것으로 조사됐다.
빗썸 측은 2017년 6월29일 '보유한 비트코인 중 10%를 주지 않으면, 언론에 회원 정보를 모두 유출하겠다'는 협박 메일을 받고, 이튿날 홈페이지에 '개인정보 등 유출로 의심되는 사고가 났다. 회원들의 원화 및 암호화폐 예치금은 안전하게 보관 중'이라고 공지글을 올렸다.
A씨 등은 해킹에 따른 가상자산 탈취 등 손해를 배상하라며 민사 소송을 제기했다. 재판부는 1·2차 해킹에 대한 빗썸 측 과실을 인정하면서도, 2차 해킹에 대해서만 손해 발생의 인과관계를 인정했다.
비밀번호가 유출되지 않은 1차 해킹의 해커와 2차 해킹의 해커가 동일하다고 인정할 증거가 없고, 2차 해킹은 다른 경로로 수집한 이메일 주소와 전화번호를 이용해 시도됐을 가능성이 있다는 판단에서다.
재판부는 1차 해킹과 관련, "빗썸코리아는 저장된 개인정보를 보호할 정보서비스 이용 계약 또는 정보통신망법 등 법령상 의무를 위반했고, 이 의장은 개인정보 유출의 위험이 있다는 점을 예견할 수 있었음에도 보안 수준이 낮은 개인용 PC에서 다량의 개인정보가 포함된 파일을 이용한 업무를 해 해킹을 방조한 과실이 있다"고 지적했다.
하지만 "원고들 증거만으론, 피고들의 위법행위와 원고들의 손해 사이에 인과관계가 인정된다고 보기 어렵다"고 판시했다. 회원 계정의 주된 보안장치는 이메일 주소, 전화번호가 아니라 비밀번호이므로, 파일 유출과 가상자산 탈취 사이의 가정적인 개연성만으로 인과관계를 인정할 수 없다는 취지다.
2차 해킹에 대해선 가상자산 탈취 피해의 인과관계를 인정했다. 그러면서 "빗썸코리아는 당시 다수의 신고를 받는 등 대응할 기회가 충분했지만, 합리적으로 기대되는 수준의 보안시스템을 운영하지 않았다"며 "시스템 보안을 전담하는 별도 조직 없이 개발팀 또는 외주 인력에게 이를 맡긴 것으로 보이고, 접수된 해킹 사고를 1차 해킹 사고의 원인이 됐던 피고들 판단에 따라 이용자의 과실에 의한 사고로 만연히 결론 지었다"고 말했다.
한편 방송통신위원회는 2017년 12월 빗썸 측에 시정명령과 과징금 4350만원, 과태료 1350만원을 부과했다. 또한 빗썸코리아와 이 전 의장은 정보통신망법 위반 혐의로 형사 재판에 넘겨져 1심에서 각각 벌금 3000만원을 선고받았다.
김대현 기자 kdh@asiae.co.kr
꼭 봐야할 주요뉴스
"비트코인 500원일 때 5000만원 투자한 남친"…현... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>