“인증 간소화 탓에 해커 접근했다는 증거 없어…SMS 인증은 ‘비번’ 아냐”

계정 해킹으로 보유하던 가상화폐(암호화폐)를 도난당했다고 해도, 가상화폐 거래소에 배상 책임을 물을 수 없다는 법원 판단이 나왔다.

20일 법조계에 따르면 서울중앙지법 민사35단독 김수정 부장판사는 고객 A씨가 가상화폐 거래소 ‘빗썸’을 운영하는 BTC코리아닷컴을 상대로 “5천200여만원을 배상하라”고 낸 손해배상 청구 소송에서 원고 패소로 판결했다.

2014년부터 빗썸에서 비트코인을 거래해 온 A씨는 2016년 2월 정체를 알 수 없는 해커에 의해 ID와 비밀번호를 해킹당해 약 30분 사이에 100BTC(비트코인의 단위)를 도난당했다.

이는 당시 시가로 약 5천200만원에 해당하는 액수였다.

검찰은 이 해킹 사건을 수사했으나 단서를 확보하지 못해 기소중지 결정을 했다.

A씨가 낸 소송에서 재판부는 “BTC코리아닷컴이 비트코인의 거래를 중개하는 사업자에게 요구되는 계약상 주의의무를 위반해 개인정보 관리를 소홀히 했다고 인정하기 어렵다”며 회사 측의 손을 들어줬다.

재판부는 BTC코리아닷컴이 이 무렵 비트코인 인출을 위한 인증체계를 4단계에서 1단계로 간소화한 사실을 인정하면서도, 이로 인해 해커가 A씨의 ID와 비밀번호, OTP(일회용 비밀번호) 등을 입수할 수 있었다고 인정할 증거가 없다고 밝혔다.

또 BTC코리아닷컴이 휴대전화 문자메시지로 발송하는 인증 숫자는 법적인 ‘비밀번호’라고 볼 수 없으므로, 이를 암호화하지 않아 기술적 보호조치를 하지 않았다는 A씨의 주장도 받아들이지 않았다.

BTC코리아닷컴이 고객 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장했다가 방송통신위에서 적발된 적이 있긴 하지만, 회사가 A씨의 정보를 그렇게 보관하지는 않았으므로 마찬가지로 책임이 없다고 재판부는 판단했다.

연합뉴스