국내 최대 암호화폐(가상화폐) 거래소인 빗썸이 해킹당했다. 추산되는 피해 규모는 무려 350억원. 코인레일이 400억원 규모의 가상화폐를 해킹당한지 불과 열흘만의 일이다. 2017년 4월부터 국내 가상화폐 거래소는 다섯 차례나 해킹을 당했으며, 전체 피해 규모는 1000억원에 이르는 것으로 추산되고 있다.

◇가상화폐의 재산적 가치와 거래규모=

올 1월, 국내 가상화폐 시장의 거래규모는 160조원을 돌파했다. 이는 코스닥(Korea Securities Dealers Automated Quotation) 시장의 거래규모인 302조원의 무려 절반을 상회하는 액수로써. 총액 1조원 미만으로 집계조차 안되던 2017년 3월에 비하여 10개월만에 160배가 넘은 것이다. 이후 여러 사건으로 거래규모가 다소 줄었음에도 여전히 수조원에 달하고 있으며, 그 잠재성은 더욱 무궁무진하다.

대법원에서도 압수한 비트코인(Bitcoin)을 몰수할 수 있다고 판단한 사안에서 “비트코인은 재산적 가치가 있는 무형의 재산”이라고 실제로 판시하여(대법원 2018. 5. 30. 선고 2018도3619 판결), 가상화폐의 재산적 가치를 인정하기도 했다.

이와 같이 가상화폐는 이미 거래규모가 매우 크고, 그 재산적 가치 또한 인정되었기 때문에, 이러한 가상화폐의 거래를 중개하는 가상화폐 거래소의 역할 또한 점점 중요해지고 있다. 실제로 빗썸을 운영하는 비티씨코리아 닷컴은 2017년 매출 3,334억원, 당기순이익 4,271억원을 기록했다.

◇가상화폐 거래소의 지위 및 주의의무=

정부는 2016년부터 TF를 구성해서 가상화폐의 법적 성격 및 ICO, 거래소 등의 허용 여부 등에 관한 논의를 계속해 왔으나, 2018년 6월 현재까지도 이렇다 할 결론이 나지 않아, 가상화폐를 직접 의율하는 법령이 존재하지 않는 이른바 그레이존(grey zone·법적 공백 상태)에 있다.

가상화폐 거래소도 마찬가지로 그 법적 지위와 이를 주관하는 법령이 명확하지 않아, 각 가상화폐 거래소는 전자상거래등에서의 소비자 보호에 관한 법률(이하 “전자상거래법”) 제12조에 따라 소속 지방자치단체에 통신판매업자로 신고하고 그 통신판매업의 일종으로써 가상화폐 거래소와 그 중개업을 영위해왔다. 하지만 올 4월 공정거래위원회는 가상화폐 거래소의 전자상거래법상 영업 형태에 해당하지 않는다는 이유로 통신판매업자로 볼 수 없다며 각 지방자치단체에 신고된 가상화폐 거래소의 통신판매업자 지위를 말소해달라는 내용의 협조 공문을 보냈고, 빗썸·업비트 등 국내 대형 가상화폐 거래소는 이에 통신판매업자 지위를 포기한 상태이다.

아울러 가상화폐가 전자적으로만 존재한다는 점에서, 가상화폐 거래는 인터넷 공간에서 전자적으로 진행되는 정보교환의 형태로 이루어질 수밖에 없고, 이런 점에서 가상화폐 거래소는 정보통신망 이용 및 촉진에 관한 법률(이하 “정보통신망법”)에 따른 정보통신망서비스 제공자에 해당한다. 따라서 가상화폐 거래소는 정보통신망서비스 제공자로서 정보통신서비스 이용자인 거래소 회원들에게 정보통신망법 상 의무를 준수할 주의의무를 부담한다. 특히 정보통신망법 제47조에서는 정보통신서비스 부문 전년도 매출액이 100억원이 넘거나 또는 3개월간 일일평균 이용자 수 100만명 이상인 경우 정보통신망서비스 제공자로 하여금 정보보호관리체계(ISMS) 인증을 받도록 하고, 정보통신망법 제45조의3 제1항에서는 위 정보통신서비스 제공자에게 정보보호최고책임자(CISO)를 지정하고 이를 과학기술정보통신부장관에게 신고하도록 하는데, 업계에서 이른바 “빅4”로 꼽히는 빗썸, 업비트, 코인원, 코빗 등 대형 가상화폐 거래소 중 어느 한 곳도 이러한 인증을 받은 곳이 전무한 실정이다.

정보보호관리체계(ISMS) 인증이란 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 일응의 기준에 적합한지를 심사해 인증을 부여하는 인증 제도다. 과학기술정보통신부가 고시한 기준에 따라 한국인터넷진흥원(KISA)가 운영한다. 정보통신망서비스 제공자의 비즈니스 안정성을 확보하고, 정보보호 분야에서 대외 이미지와 신뢰성을 높인다는 점에서 의미있는 제도다. 다만 인증 의무자가 인증을 받지 않더라도 정보통신망법 제76조에 따라 3,000 만원 이하의 과태료만 부과받을 뿐 별다른 제재가 없어 그 이행을 담보하기 어렵다는 우려가 있다.

◇대책 및 나아갈 길=

위에서 살펴보았듯이, 가상화폐 거래소를 직접적으로 규율하는 법령은 아직 마땅히 정해진 바가 없지만 최소한 통상적인 정보통신망서비스 제공자 수준의 주의의무를 가지고 정보보호관리체계(ISMS) 인증 등 그에 걸맞는 정보보호를 다 해야 한다.

구체적으로 가상화폐 거래소는 물리적·논리적 망분리를 통하여 외부 인터넷망과의 접근이 단절된 별도의 내부 업무망을 구축하여야 하고, 웹 애플리케이션 방화벽(WAF)을 설치하여야 하며, 디도스(DDoS) 대응 솔루션을 설치하는 등 기본적인 정보 보안 솔루션을 구축해야 한다. 나아가 바이오 인증, 내부데이터유출방지(DLP) 솔루션 등 추가적인 솔루션을 통하여 보안 수준을 계속적으로 향상시켜야 한다.

보안 기술 외적으로도 가상화폐 거래소는 해킹으로 인해 회원에게 발생한 손해에 대하여 손해배상 책임을 부담해야 한다. 이 때 그 배상을 담보할 수 있는 보험 등에 가입해 회원의 자산을 보호할 수 있는 담보를 보장하는 것도 중요하다.

가상화폐 거래소의 회원들은 적게는 수백만원에서 많게는 수억원에 이르는 자산을 투자해 가상화폐를 거래하고 있다. 이들의 소중한 자산이 인터넷 상의 해킹 공격으로부터 안전할 수 있도록 가상화폐 거래소가 최선의 주의의무를 기울이고 있다는 점을 확인받는 것은 투자자들의 기본적인 권리다. 가상화폐 거래소는 이를 이용하는 회원이 없이는 하루도 존재할 수 없다.

/이충윤변호사

△이충윤 변호사는

현재 법무법인(유한) 주원의 파트너 변호사이자 IT/블록체인 TF의 공동팀장으로 재직 중이다.

NH투자증권과 SK주식회사에서 내부 컴플라이언스 업무와 금융상품에 대한 손해배상, 정보보호 업무, ICT 기술·4차 산업 혁명 관련 법률 자문 업무 등을 수행했다. 이외에도 현재 대한변호사협회 대의원·서울지방변호사회 이사로 활동 중이다. 서울대학교 물리학부와 서울대 법학전문대학원을 졸업했다.

김흥록 기자

rok@sedaily.com