업비트·쿠팡 사고에 당국 '무과실 책임' 검토… 업계, 신중론 격화

[블록미디어 김해원 기자] 개인정보 유출·해킹 사고가 잇따르자 책임을 대폭 강화하는 방향이 논의되고 있지만, 업계와 법조계에서는 무과실 책임이 예외적 제도라는 점을 들어 신중한 접근이 필요하다는 의견도 나온다.

8일 블록미디어 취재를 종합하면 국회와 금융당국이 추진 중인 디지털자산기본법에 개인정보 보안 사고가 일어났을 때 거래소 등이 고의 또는 과실이 없음을 입증하지 못하면, 책임을 면할 수 없도록 하는 ‘무과실 손해배상책임’ 조항이 디지털자산기본법에 포함될 예정이다. 이를 통해 개인정보보호법과 동일하게 매출액의 최대 3%까지 과징금을 부과하는 방안도 법안에 담긴다.

최근 445억원 규모 업비트 해킹과 약 3400만개 쿠팡 개인정보 유출 사고가 잇따르며 이용자 불안이 커지자 나온 대책으로 풀이된다.

업비트 54분 만에 수백억원 털려…200억원 들인 보안 컨설팅도 ‘무용지물’

강민국 국민의힘 의원이 금융감독원으로부터 제출받은 자료에 따르면 지난달 27일 오전 4시42분부터 5시36분까지 약 54분 동안 발생한 해킹 시도로 솔라나 계열 코인 24종 1040억6470만개(약 445억원)가 외부 지갑으로 전송된 것으로 나타났다.

문제는 사고 인지 후 대응 과정이다. 업비트는 해당 이상거래를 알고도 즉시 신고하지 않았고, 금융감독원에 첫 유선보고를 한 시점은 6시간이 지난 오전 10시58분이었다. ‘가상자산 이용자 보호법’ 제12조는 가상자산사업자가 이상거래가 의심되면 지체 없이 금융위와 금감원장에게 통보하도록 규정하고 있다.

업비트는 2019년 이더리움 탈취 사건 이후 다양한 외주 IT 보안 용역을 진행해 왔으며, 여기에만 200억원 이상의 비용이 투입됐다. 그럼에도 불구하고 불과 한 시간도 안 되는 공격에 대비하지 못했다는 비판이 제기된다.

강민국 의원은 “국내 1위 거래소에서 445억원 상당의 코인이 유출됐는데도 6시간 늑장 신고한 만큼, 금융당국은 관련 법 위반 여부를 철저히 확인해야 한다”고 지적했다.

현행 법제도에는 공백도 존재한다. 전자금융거래법은 금융회사와 전자금융업자에게만 무과실 책임을 부과하며, 가상자산사업자는 전자금융업자 범주에 포함되지 않는다.

업비트가 이번 피해액을 자체 자산으로 보전하겠다고 밝힌 것도 법적 의무가 아닌 자율 조치다. 지난해 7월 시행된 가상자산법(1단계) 역시 이용자 보호 중심으로 구성돼 있어 해킹·전산 사고에 대한 제재 규정이 없다.

“고의·과실 없음 입증 못하면 책임”… 당국 ‘무과실 손해배상 책임’ 추진

이에 금융당국과 여당은 대규모 해킹·전산 사고를 막지 못한 사업자에게 더 강한 배상 책임을 부과하는 방안을 논의하고 있다.

디지털자산기본법 제정 과정에서 △사고 발생 시 거래소가 ‘고의 또는 과실이 없음을 입증’하지 못하면 책임을 면할 수 없도록 하고 △매출액의 최대 3%까지 과징금을 부과하는 근거를 마련하며 △취약점 분석·평가 결과의 금융위 제출 의무화 △금융위의 보완 조치 이행 점검 권한 강화 등이 주요 검토 사안이다.

사업자에게 책임을 지우는 ‘무과실 손해배상책임’ 도입도 논의되고 있다. 이는 이용자가 자신의 피해(자산 유출 등)가 사업자의 잘못 때문이라는 점을 완벽히 입증하지 못해도, 사업자가 “보안상 과실이 없었다”는 사실을 스스로 증명하지 못하면 배상 책임을 부담하도록 하는 방식이다. 즉 이용자에게 고의·중대한 과실이 없는 한, 사고 발생 시 사업자는 상당 수준의 책임을 지게 되는 구조다.

다만 무과실 손해배상 책임은 사고 원인을 이용자가 직접 입증하지 않아도 된다는 점에서 업계 부담이 크게 늘어나게 된다. 사업자가 보안상 과실이 없었다는 사실을 스스로 증명하지 못할 경우 책임을 피하기 어렵다. 중대한 과실이 인정되면 손해액의 최대 3배까지 배상하도록 하는 징벌적 손해배상 제도 역시 논의되고 있다.

법조계에서는 신중한 접근이 필요하다는 의견도 제기된다. 한 법조계 관계자는 “무과실 책임은 한국 법 체계에서 극히 예외적으로만 인정되는 방식”이라며 “단순 사고 증가만을 이유로 디지털자산 업계에만 적용하는 것은 타당성 검토가 필요하다”고 지적했다. 그는 “근본적 시스템 개선이 먼저 이뤄져야 한다”고 말했다.

홍푸른 디센트 대표변호사는 “무과실 책임은 과실 입증을 면제해 제재를 강화하는 장치로서 개인정보 보호 측면에서는 긍정적일 수 있다”고 평가하면서도 “표현 자체가 무겁고 업계에 상당한 부담을 초래할 수 있다는 점은 고려해야 한다”고 말했다.

디지털자산 업계 역시 신중한 대응이 필요하다는 입장이다. 한 업계 관계자는 “이용자 보호의 필요성에는 공감하지만, 법리적 정합성과 산업 전반에 미칠 영향을 고려하면 조심스럽게 접근해야 한다”며 “정부와 업계, 관련 주체들이 충분히 논의해 제도를 세밀하게 설계할 필요가 있다”고 말했다.