아하
검색 이미지
지식재산권·IT 이미지
지식재산권·IT법률
지식재산권·IT 이미지
지식재산권·IT법률
잠이나
잠이나19.09.27

암호화폐 거래소 해킹으로 인한 피해 발생시 구제방법이 있나요?

암호화폐 거래소에서 해킹으로 인해서 피해가 발생했을때 해킹으로 피해를 입었다는 사실을 피해자가 소명해야하는것인가요?

그리고 이러한 해킹으로 피해가 인정될 경우 어떤 구제방법이 있을까요?

55글자 더 채워주세요.
답변의 개수
1개의 답변이 있어요!
  • 안녕하세요? 아하(Aha) 법률 분야 전문가 이승환변호사입니다.
    질문하신 내용에 대하여 아래와 같이 답변 드립니다.

    암호화폐 거래소의 해킹과 관련하여 최근 판결들이 일부 나오고 있습니다.

    우선 최근 기사를 보면 인정한 판결이 있는 것으로 보입니다.

    https://www.edaily.co.kr/news/read?newsId=01354646622624384&mediaCodeNo=257

    그리고 작년에 선고된 서울중앙지방법원 2018. 12. 18. 선고 2017가단5016023 판결을 보면 아래와 같이 판단한 판결도 있습니다.

    나. 판단

    (1) 인증단계의 간소화

    피고는 2014. 8.경부터 2016. 2.경까지 비트코인 인출을 하기 위해서는 ① 아이디와 비밀번호를 입력하여 로그인하는 단계, ② 출금신청시 이용자가 사전에 설정해 놓은 출금비밀번호 입력, ③ 이용자의 이메일주소로 피고 회사가 발송하는 인증코드를 입력함으로써 이루어지는 이메일 인증, ④ 피고 회사로부터 이용자의 핸드폰 단문메세지로 전송되는 SMS 일회용 인증번호 또는 구글 OTP를 활용한 일회용 비밀번호 입력까지 순차적으로 모두 입력해야 하는 4단계의 절차를 거치도록 되어 있었으나, 2016. 2. 17. SMS(OTP)만으로 출금 인증하도록 변경한 사실은 당사자 사이에 다툼이 없다.

    그러나 위와 같은 인증단계의 간소화로 인하여 성명불상자에게 ◇◇ 사이트에 접속할 수 있는 원고의 아이디와 비밀번호 또는 OTP가 알려졌는지에 관하여는 갑 제11 내지 23호증의 각 기재만으로는 이를 인정하기 부족하고 달리 이를 인정할 증거가 없으므로, 원고의 위 주장은 이유 없다.

    2) 기술적 보호조치 의무 위반

    이 사건 발생 당시 적용되던 개인정보의 안전성 확보조치 기준(행정자치부고시 제 2014-7호) 제6조 제3항은 ‘개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다’라고 규정하고 있고, 제2조는 ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고, ‘비밀번호’라 함은 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다고 규정하고 있다. 따라서 원고가 주장하는 문자메세지로 발송된 인증숫자는 위 고시가 정의하는 비밀번호라고 보기 어려울 뿐만 아니라, 이 법원의 □□뱅크 주식회사 대표이사에 대한 사실조회회신에 의하면, □□뱅크 주식회사는 피고로부터 메시지 전송에 필요한 수신번호를 제공받아 피고가 자체 DB에 문자메시지 전송에 대한 필수 정보를 넣으면 피고 자체 서버에 설치되어 있는 □□뱅크 주식회사의 EMMA프로그램을 통해 □□뱅크 주식회사의 GW 시스템으로 데이터를 전송하고, □□뱅크 주식회사는 그 데이터를 통신사로 전송하는 형식으로 서비스하는 사실, 피고에 설치되어 있는 EMMA가 기본 설정인 경우라면 DB에 메시지 Log가 남게 되므로 시스템 접근 가능한 관계자라면 메시지 내역 확인이 어느 정도 가능할 것으로 예상된다고 답변한 사실을 인정할 수 있을 뿐이므로, 위 사실만으로 피고가 기술적 보호조치의무를 위반하였다고 인정하기 부족하고 달리 이를 인정할 증거가 없다. 따라서 이 부분 주장 역시 이유 없다.

    (3) 정보통신망을 통하여 비트코인의 거래를 중개하는 사업자의 주의의무를 위반

    원고는 피고로부터 비트코인 매매 알림 이메일을 받지 못하였으므로, 피고가 정보통신망을 통하여 영업하는 자로서의 주의의무를 위반하였다고 주장하나, 이를 인정할 아무런 증거가 없으므로, 이 부분 주장은 이유 없다.

    (4) 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관

    갑 제19, 20호증의 각 기재에 의하면, 피고가 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 사실이 적발되어 방송통신위원회로부터 위반행위의 중지 및 재발방지대책 수립 시정명령 등의 행정처분을 받은 사실은 인정되나, 원고의 개인정보가 암호화되지 않은 상태로 피고의 서버 또는 피고 직원의 개인용 컴퓨터에 보관되고 있지 않았음은 피고가 자인하고 있으므로, 이 부분 주장 역시 이유 없다.

    결국 민사소송은 피해를 주장하는 원고가 무엇을 청구원인으로 하여 어느 정도 입증했는지가 관건입니다.

    따라서 해당 거래소의 상황 및 해킹이 이루어지게 된 경위 등 제반 사실을 명확히 특정 한 후 어떤 법리로 전개를 하는지에 따라 승소를 할 수도, 패소를 할 수도 있을 것으로 판단됩니다.

    만족스러운 답변이었나요?간단한 별점을 통해 의견을 알려주세요.