"비밀번호 바꿔라"..빗썸의 한통 이메일이 결론 갈라

사건속으로
회원들 개인정보 3만1506건 유출
현금 2억원이 한순간에 242원으로
"빗썸은 주의의무 다한것" 원고 패소

온라인 암호화폐 거래소 ‘빗썸(사진)’의 회원 3만여명의 개인정보 유출에서 시작된 손해배상 소송은 ‘비밀번호를 바꾸라’며 빗썸이 보낸 이메일로 결론이 엇갈린 사건으로 평가받는다. 암호화폐 거래소는 금융기관과 동일한 수준의 보안 유지 의무를 기대할 수 없다는 기준도 제시됐다.

사건의 발단은 2017년 4월, 빗썸의 업무총괄 A씨가 ‘이력서.hwp’란 파일을 이메일로 수신하면서였다. 파일을 열자 A씨의 컴퓨터는 악성코드에 감염됐고, 빗썸 회원들의 개인정보 3만1506건이 외부로 유출됐다.

같은 해 7월 B씨의 빗썸 계정에 로그인한 해커는 B씨의 전자지갑에 있던 약 57.2BTC(비트코인)를 환전한 돈과 전자지갑에 있던 2억1395여만원을 모두 다른 곳으로 옮겼다. B씨가 빗썸에 접속했을 때 전자지갑에 남아 있던 돈은 242원 뿐이었다. B씨는 “본인 확인 절차를 제대로 거치지 않고 가상화폐 등을 이전했고, 개인정보 유출사건이 그 원인”이라며 손해배상 소송을 냈다.

하지만 1심은 빗썸에게 손해배상 책임이 없다고 판단했다. 재판부는 해커가 B씨의 계정에 접속한 것과, 빗썸이 이전에 유출당한 개인정보와는 관련이 없다고 봤다. B씨 계정에 다른 사람이 로그인하는 과정에서 단 한 차례의 비밀번호 입력으로 로그인이 됐고, 빗썸이 유출당한 개인정보엔 이를 가능하게 한 정보가 포함되지 않았다는 것이다.

또한 재판부는 빗썸이 회원들에게 보낸 ‘회원님께 요청 드리는 조치 방안’이란 이메일에 주목했다. 빗썸이 개인정보 유출을 당한 회원들에게 이미 비밀번호 변경이 필요하다는 고지를 해, 나름의 의무를 다했단 것이다. 빗썸은 사건 발생 전인 2019년 6월 29일 무렵 B씨를 비롯한 개인정보가 유출된 회원들에게 ‘회원님께 요청 드리는 조치 방안 : 비밀번호 변경, 빗썸 서비스 출금 제한 조치 확인 등. *회원님의 요청에 따라 본인 확인 후 출금이 가능합니다’라는 내용이 포함된 이메일을 전송했다.

재판부는 “B씨는 이 사건과 관련해 B씨의 빗썸 계정 내 자산을 보호하기 위한 대응조치를 취할 기회를 제공받았다”며 “이와 함께 빗썸 회원들의 개인정보 중 전자우편주소와 휴대전화 번호가 유출된 사실, 유출 발생 시점, 회원들이 취할 수 있는 조치, 담당 부서 및 연락처 등을 전자우편으로 통지한 사실을 인정할 수 있다”고 판단했다.

아울러 재판부는 빗썸과 같은 온라인 가상화폐 거래소는 금융기관에 해당하지 않아, 전자금융감독규정 등 엄격한 보안규정의 적용 의무는 없다고 판단했다. 비트코인 등 가상화폐는 일반적으로 재화 또는 용역을 구입하는데 이용될 수 없고, 그 가치의 변동 폭도 커 통상적인 화폐와 동등한 가치를 지닌다고 평가하기 어렵다는 논리였다. 항소심 판단도 같았다. 서울고법 민사16부(부장 차문호)는 지난달 25일 B씨가 주식회사 빗썸코리아를 상대로 낸 손해배상 소송 항소심에서 원심과 마찬가지로 원고 패소 판결했다.

빗썸을 대리한 법무법인 창천의 윤제선 변호사는 “온라인 가상화폐 거래소에 엄청난 주의 의무를 부과할 수 없고, 오히려 빗썸은 다른 사람이 로그인 했을 때 문자도 보내주고 비밀번호도 바꾸라고 재촉을 해 나름의 지위에서 최선의 의무, 최대한의 조치를 했다는 취지”라며 “다른 회사 입장에서도 이 정도 최소한의 조치를 취해야 문제가 생겼을 때 책임을 면할 수 있는 조건들이 될 것”이라고 말했다. 박상현 기자

pooh@heraldcorp.com