(정재욱 변호사의 블록체인 법률이슈 진단)암호화폐 거래소 해킹, 방치 아닌 규제 필요

최근 3년간 암호화폐 부정인출액 1300억원 추정
암호화폐 거래소 난립 확대…설립기준 마련 등 필요

2019-04-02 06:00:00 ㅣ 2019-04-02 06:00:00

규제의 공백지대에 암호화폐 거래소 난립이 이어지고 있다.

작년 하반기부터 암호화폐공개(ICO)가 아닌 IEO(암호화폐거래소 공개·Initial Exchange Offering)를 통해 자금을 모집하는 경향이 짙어지고, 거래소가 자체 발행한 암호화폐(거래소 토큰)의 거래가 활발해지면서 암호화폐 거래소가 우후죽순 생겨나고 있다.

정재욱 법무법인(유한) 주원 파트너 변호사

관련 업계 및 언론 보도에 따르면 국내에만 200개가 넘는 암호화폐 거래소가 운영되고 있는 것으로 파악된다. 문제는 수많은 거래소가 설립되면서 암호화폐 거래소 임직원들의 횡령·배임, 장부거래, 내부정보를 이용한 시세조작, 공지사항 미이행 내지 수시 변경, 해킹 사고 등이 끊이지 않고 있다.

특히 해킹사고의 경우 거래소 이용자들에게 직접적인 피해를 야기하고 그 규모도 통상 크기 때문에 문제가 심각한 반면, 제대로 된 피해보상이나 예방책 등은 구비되지 않고 있다.

실제 지난 2017년 4월에는 야피존에서 55억원 규모의 해킹 사고가 발생한 바 있으며 같은해 12월에는 유빗에서 170억 규모, 작년 6월에는 코인레인(400억원), 빗썸(350억원 규모)에서 해킹 사고가 발생한 바 있다. 아울러 지난 3월말 경에도 빗썸에서 140억원 규모의 암호화폐 유출 사고가 발생한 것으로 파악되는 등 최근 3년간 1300억원이 넘는 암호화폐가 부정 인출된 것으로 보인다.

이와 같이 거래소가 난립하고 해킹사고가 끊이지 않고 있음에도 불구하고, 암호화폐 거래 내지 거래소에 대한 법령의 정비 또는 제도화는 거의 이뤄지지 않고 있다. 인가제나 신고제 등 여러 규제 방안이 논의되고, 관련 법안이 발의됐음에도 불구하고 실제 관련 법안이 통과된 바는 없다.

해킹사고, 그 법적 책임은?

물론 암호화폐 거래소에 대한 법적 규율이 미비하다고 해서 거래소가 해킹 사고 발생 시 아무런 책임을 지지 않는 것은 아니다. 해킹에 대한 1차적인 책임은 해커에게 있다고 할 것이나 해킹 방지를 위한 제대로 된 보안 조치를 취하지 않은 거래소의 책임 또한 부인하기는 어렵기 때문이다.

암호화폐 거래소를 상대로 보호의무, 안전의무 위반 등을 이유로 한 민법상 채무불이행 책임을 묻거나, 암호화폐 거래소의 고의, 과실을 이유로 한 불법행위책임 등을 물을 수 있다. 실제 사건도 상당수 진행 중인데, 거래소가 프라이빗 키 관리를 어떻게 했는지, 망 분리 등 보안조치를 제대로 취했는지, 임직원 교육이나 접근권한 관리를 어떻게 했는지 등이 종합적으로 다퉈진다.

이외에 형사고소를 통해 수사기관의 도움을 얻어 해커를 추적하고, 그 해커를 상대로 암호화폐 반환청구를 하거나 그에 상응하는 손해배상을 청구하는 방안도 고려해볼 수 있다. 현실적으로 해커를 추적하기는 쉽지 않으나 '체인널리스 리액터', '클러스터링 기법' 등을 이용한 암호화폐 거래내역 및 암호화폐 거래자 추적이 시도되고 있고, 최근 대검찰청이 암호화폐 주소로 거래소를 식별하는 '암호화폐 거래 주소제'를 추진 중인 것으로 파악되는 등 해커를 추적하기 위한 여러 방법이나 기술이 강구되고 있다.

방치가 아닌 규제가 필요한 때

위와 같이 손해배상청구 내지 반환청구가 가능하다고 하더라도 실제 암호화폐 거래소가 여력이 없어 보상을 하지 못할 가능성이 있다. 최근에도 국내암호화폐 거래소 '코인빈'이 파산을 선언하면서, 300억대의 피해가 우려되는 상황이다. 따라서 사전적으로 암호화폐 거래소에 대한 건전성 규제 등을 통해 피해 발생시 적정한 보상이 이뤄지도록 할 필요가 있다.

'블록체인, 분산원장 시스템 그 자체'에 대한 보안성 문제와 '암호화폐 탈취'와 관련된 해킹 문제는 분리해 접근해야 함에도 불구하고, 블록체인 기술을 활용한 암호화폐는 위·변조가 어렵다는 인식으로 인해암호화폐의 탈취, 해킹 방지를 위한 기술의 개발이나 암호화폐 거래소들의 보안조치는 상당히 미흡하게 이뤄져 왔다. 정부 또한 과도한 암호화폐 투기 열풍에 대해 거래소를 폐쇄하겠다고 하거나 ICO를 엄단하겠다고 했을 뿐, 실질적으로 필요한 △거래소 인적·물적 자격요건 설정 △자전거래·내부자거래·자금세탁 등을 막기 위한 내부거래 등에 대한 규제 △해킹 내지 운영자에 의한 암호화폐 임의 처분 등으로부터 거래소 이용자를 보호하기 위한 방안 등에는 관심을 기울이지 않았다.

암호화폐 시장 규모가 축소되고 국민적 관심이 줄어들었기 때문에 더 이상 어떤 조치가 필요하지 않다고 보는 시각도 다수 있는 것으로 보이나, 암호화폐 거래 내지 거래소의 방치가 블록체인 산업의 발전을 가로막는 것은 차치하더라도 다수의 피해자들을 양산해 왔던 것은 아닌지 되돌아볼 필요가 있다.

국민들에게 피해가 발생하는 것을 막기 위한 차원에서도 암호화폐 거래소를 전자금융거래법상 전자금융업자의 개념에 포섭하거나 특별법을 제정해 손해배상에 대비한 보험가입 내지 준비금 적립을 의무화 할 필요가 있다.

이밖에도 적절한 수준의 자본금 요건 등을 둬 기준을 충족한 자에 한해 거래소를 운영할 수 있도록 하고, 해킹방지·부정유출방지 등과 관련해서는 단순히 거래소의 보안을 높이기 위해 인력과 예산을 더 투입하도록 하는 것을 넘어 전자지갑의 사용이나 프라이빗 키 관리, 보관 방법 등에 대한 기준을 제시하고 이를 준수하도록 할 필요가 있다.

* 정재욱 변호사는 국내 대형로펌 중 하나인 법무법인 세종(SHIN & KIM)을 거쳐 현재 법무법인(유한) 주원의 파트너 변호사로 재직하고 있다. 주원 IT/블록체인 TF 팀장을 맡아 블록체인·암호화폐·핀테크·해외송금·국내외 투자·관련 기업형사 사건 등의 업무를 담당하고 있다. 아울러 서울지방변호사회 법제이사를 거쳐 현재 대한변호사협회 상임이사(교육이사)와 대한변호사협회 IT 블록체인 특별위원회 간사, 사단법인 블록체인법학회 발기인·이사 등으로도 활동하고 있다.