계정이 해킹돼 보유하고 있던 가상화폐(암호화폐)를 도난당했다고 해도, 가상화폐 거래소에 배상 책임을 물을 수는 없다.
사실관계
2014년부터 빗썸에서 비트코인을 거래해 온 A씨는 2016년 2월 정체를 알 수 없는 해커에 의해 아이디(ID)와 비밀번호를 해킹당해 약 30분 사이에 100BTC(비트코인의 단위)를 도난 당했다. 이는 당시 시가 약 5200만원에 해당하는 액수였다. 검찰은 이 해킹 사건을 수사했으나 단서를 확보하지 못해 기소중지 결정을 했다.
판결내용
서울중앙지법 민사35단독 김수정 부장판사는 판결문에서 BTC코리아닷컴이 비트코인의 거래를 중개하는 사업자에게 요구되는 계약상 주의의무를 위반해 개인정보 관리를 소홀히 했다고 인정하기 어렵다.
BTC코리아닷컴이 이무렵 비트코인 인출을 위한 인증체계를 4단계에서 1단계로 간소화한 사실을 인정하면서도, 이로 인해 해커가 A씨의 ID와 비밀번호, OTP(일회용 비밀번호) 등을 입수할 수 있었다고 인정할 증거가 없다.
또 BTC코리아닷컴이 휴대전화 문자메시지로 발송하는 인증 숫자는 법적인 '비밀번호'라고 볼 수 없으므로, 이를 암호화하지 않아 기술적 보호조치를 하지 않았다는 A씨의 주장도 받아들이지 않았다.
그러면서 BTC코리아닷컴이 고객 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장했다가 방송통신위에서 적발된 적이 있긴 하지만, A씨의 정보를 그렇게 보관하지는 않았으므로 마찬가지로 책임이 없다고 판단, A씨가 가상화폐 거래소 '빗썸'을 운영하는 BTC코리아닷컴을 상대로 5200여만원을 배상하라며 낸 손해배상청구소송(서울중앙지방법원 2017가단5016023)에서 원고패소 판결했다.
서울중앙지방법원 2018. 12. 18. 선고 2017가단5016023 판결 손해배상(기)
【원고】 임AA,
소송대리인 법무법인 천고 (담당변호사 최호동, 서정찬, 손영현)
【피고】 주식회사 ○○○코리아닷컴,
소송대리인 최대열, 이안나
【변론종결】 2018. 10. 16.
【판결선고】 2018. 12. 18.
【주문】
1. 원고의 청구를 기각한다.
2. 소송비용은 원고가 부담한다.
【청구취지】
피고는 원고에게 52,100,000원과 이에 대하여 2016. 2. 20.부터 이 사건 소장부본 송달일까지 연 6%, 그 다음날부터 다 갚는 날까지 연 15%의 각 비율로 계산한 돈을 지급하라.
【이유】
1. 기초사실
가. 피고는 인터넷 온라인상의 전자상거래 등에서 화폐와 유사하게 사용 및 거래되는 일종의 가상전자화폐인 비트코인(bitcoin) 전자거래소 웹사이트인 ◇◇(https://www.◇◇◇◇◇◇◇◇.com)을 운영하는 정보통신서비스 제공자이고, 원고는 2014. 8. 5.경 jh○○○***@gmail.com을 아이디로 하여 ◇◇에 가입한 회원으로서 피고와 정보통신 서비스 이용계약을 체결한 사람이다.
나. 원고는 2014. 8. 5.부터 ◇◇을 통하여 비트코인을 거래해오던 중 2015. 12. 18. 그 소유의 147BTC(비트코인) 중 10BTC를 매도한 후 BTC당 가격이 하락하자 BTC당 가격이 특정 금액 이상이 되면 자동으로 매도가 이루어지도록 설정해 두었다.
다. 그런데 성명불상자가 IP주소 ‘5*.**.**.**.’을 할당받은 정보통신기기를 이용하여 2016. 2. 20.경 ◇◇ 사이트에 접속할 수 있는 원고의 아이디와 비밀번호를 알 수 없는 방법으로 알아내어 2016. 2. 20. 03:20:25경 로그인한 후 같은 날 03:31:18경 30BTC, 같은 날 03:49:26경 30BTC, 같은 날 03:53:06경 30BTC, 같은 날 03:58:22경 10BTC을 자신이 지정한 비트코인 주소로 이동시켜 합계 100BTC 시가 52,100,000원 상당을 인출하였다. 그 후 성명불상자는 같은 날 04:19:39경 다시 로그인하여 원고에게 거래발생 사실이 통보되도록 하는 이메일알림 설정을 같은 날 04:21:34경에 해제하고 같은 날 04:29:12경 로그아웃하였다.
라. 원고는 2016. 2. 20. 오전에 비밀번호를 변경하였고, 그 후 성명불상자가 IP주소 ‘12*.***.***.*.’의 주소로 같은 날 14:23:50에, IP주소 ‘12*.**.***.***.’의 주소로 2016. 2. 21. 00:43:00에 로그인 시도하였으나 실패하였다.
마. 원고는 정보통신망이용촉진및정보보호등에관한법률위반(정보통신망침해등) 혐의로 서울중앙지방검찰청에 고소하였으나, 검찰은 2016. 9. 23. 정보통신망을 침입한 피의자에 대한 인적사항을 특정하거나 검거할 만한 단서가 확인되지 않았음을 이유로 기소중지 결정을 하였다.
[인정근거] 갑 제1 내지 6호증의 각 기재, 변론 전체의 취지.
2. 당사자의 주장에 대한 판단
가. 당사자의 주장의 요지
(1) 원고
피고 회사는 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자에게 요구되는 법령상 계약상의 주의의무를 아래와 같이 현저하게 위반하여 원고의 개인정보 관리를 소홀히 함으로써 외부인인 성명불상의 해커가 피고 전산시스템에 침입하여 원고의 아이디와 비밀번호를 알아낸 다음, 피고 전산시스템에 원고 아이디로 접속하였고, 피고 전산시스템을 해킹하여 OTP(송금용 비밀번호)를 알아냈으며, 이를 통해 원고의 비트코인을 인출하는 사고가 발생하였으므로, 피고는 불법행위 손해배상책임 또는 원고에 대한 정보통신망 이용계약상의 채무불이행에 기한 손해를 배상할 책임이 있다.
(가) 피고는 3단계 인증체계를 유지하였으나, 2016. 2. 17. 보안정책을 대폭 완화하여 1단계로 간소화하였고 이러한 조치를 원고 등 이용자들에게 개별적으로 통지하지도 않았다.
(나) 피고는 원고에게 문자메세지로 발송된 인증숫자를 암호화 해두지 않음으로써 개인정보보호조치 고시 제6조 제1항에 규정된 기술적 보호조치 의무를 위반하였다.
(다) 원고는 100BTC가 원고의 아무런 관여 없이 인출되는 동안 전혀 알림 이메일을 받지 못하였으므로, 피고 회사는 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자에게 일반적으로 요구되는 주의의무를 현저하게 위반하였다.
(라) 원고의 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관되어 있었다.
(2) 피고
이 사건 사고는 피고가 관리하는 시스템의 해킹이나 전산장애, 기술적 오류 등으로 인해 발생한 것이 아니라 부정한 방법으로 획득한 원고의 정보를 이용하여 권한 없이 거래를 지시하여 발생한 것이므로, 피고의 관리소홀로 인하여 발생한 사고에 해당한다고 할 수 없다.
나. 판단
(1) 인증단계의 간소화
피고는 2014. 8.경부터 2016. 2.경까지 비트코인 인출을 하기 위해서는 ① 아이디와 비밀번호를 입력하여 로그인하는 단계, ② 출금신청시 이용자가 사전에 설정해 놓은 출금비밀번호 입력, ③ 이용자의 이메일주소로 피고 회사가 발송하는 인증코드를 입력함으로써 이루어지는 이메일 인증, ④ 피고 회사로부터 이용자의 핸드폰 단문메세지로 전송되는 SMS 일회용 인증번호 또는 구글 OTP를 활용한 일회용 비밀번호 입력까지 순차적으로 모두 입력해야 하는 4단계의 절차를 거치도록 되어 있었으나, 2016. 2. 17. SMS(OTP)만으로 출금 인증하도록 변경한 사실은 당사자 사이에 다툼이 없다.
그러나 위와 같은 인증단계의 간소화로 인하여 성명불상자에게 ◇◇ 사이트에 접속할 수 있는 원고의 아이디와 비밀번호 또는 OTP가 알려졌는지에 관하여는 갑 제11 내지 23호증의 각 기재만으로는 이를 인정하기 부족하고 달리 이를 인정할 증거가 없으므로, 원고의 위 주장은 이유 없다.
(2) 기술적 보호조치 의무 위반
이 사건 발생 당시 적용되던 개인정보의 안전성 확보조치 기준(행정자치부고시 제 2014-7호) 제6조 제3항은 ‘개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다’라고 규정하고 있고, 제2조는 ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고, ‘비밀번호’라 함은 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다고 규정하고 있다.
따라서 원고가 주장하는 문자메세지로 발송된 인증숫자는 위 고시가 정의하는 비밀번호라고 보기 어려울 뿐만 아니라, 이 법원의 □□뱅크 주식회사 대표이사에 대한 사실조회회신에 의하면, □□뱅크 주식회사는 피고로부터 메시지 전송에 필요한 수신번호를 제공받아 피고가 자체 DB에 문자메시지 전송에 대한 필수 정보를 넣으면 피고 자체 서버에 설치되어 있는 □□뱅크 주식회사의 EMMA프로그램을 통해 □□뱅크 주식회사의 GW 시스템으로 데이터를 전송하고, □□뱅크 주식회사는 그 데이터를 통신사로 전송하는 형식으로 서비스하는 사실, 피고에 설치되어 있는 EMMA가 기본 설정인 경우라면 DB에 메시지 Log가 남게 되므로 시스템 접근 가능한 관계자라면 메시지 내역 확인이 어느 정도 가능할 것으로 예상된다고 답변한 사실을 인정할 수 있을 뿐이므로, 위 사실만으로 피고가 기술적 보호조치의무를 위반하였다고 인정하기 부족하고 달리 이를 인정할 증거가 없다. 따라서 이 부분 주장 역시 이유 없다.
(3) 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자의 주의의무를 위반
원고는 피고로부터 비트코인 매매 알림 이메일을 받지 못하였으므로, 피고가 정보통신망을 통하여 영업하는 자로서의 주의의무를 위반하였다고 주장하나, 이를 인정할 아무런 증거가 없으므로, 이 부분 주장은 이유 없다.
(4) 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관
갑 제19, 20호증의 각 기재에 의하면, 피고가 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 사실이 적발되어 방송통신위원회로부터 위반행위의 중지 및 재발방지대책 수립 시정명령 등의 행정처분을 받은 사실은 인정되나, 원고의 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관되고 있지 않았음은 피고가 자인하고 있으므로, 이 부분 주장 역시 이유 없다.
(5) 소결론
따라서 피고가 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자에게 요구되는 법령상 계약상의 주의의무를 위반하여 원고의 개인정보 관리를 소홀히 하였다고 인정하기 어려우므로 원고의 주장은 이유 없다.
