[단독] "빗썸 개인정보 유출 사건, 민사 보상 책임 없다"
[단독] "빗썸 개인정보 유출 사건, 민사 보상 책임 없다"
  • 한민철 기자
  • 승인 2020.06.30 10:35
  • 댓글 0
이 기사를 공유합니다

법원, 피해 회원이 제기한 손해배상 청구 소송서 원고 패소 판결
빗썸코리아의 개인정보 유출 사건으로 인해 회원이 사측에 제기한 손해배상 청구 소송에서 법원이 회원들의 청구를 받아들이지 않았다. 뉴시스
빗썸코리아의 개인정보 유출 사건과 관련해 회원이 사측에 제기한 손해배상 청구 소송을 법원이 받아들이지 않았다.<뉴시스>

[인사이트코리아=한민철 기자] 빗썸코리아의 개인정보 유출 사건과 관련해 회원이 사측에 제기한 손해배상 청구 소송을 법원이 받아들이지 않았다. 사측의 개인정보 유출 책임은 있지만, 이로 인해 차후에 발생한 계정‧금전 탈취에 대해까지 책임을 지지 않아도 된다고 법원은 판결했다.

지난 23일 서울중앙지방법원 제18민사부(부장판사 심재남)는 빗썸코리아(이하 빗썸) 회원 A씨가 회사를 상대로 제기한 손해배상 청구 소송에서 원고 패소 판결을 내렸다.

A씨는 지난 2017년 4월에 벌어진 빗썸 고객 개인정보 유출 사건 피해자로, 이로 인해 수억원의 재산상 피해를 입었다고 주장해왔다.

당시 해커들은 빗썸 운영자인 이 아무개씨의 개인 컴퓨터에 악성코드를 삽입‧감염시켜, 회원들의 개인정보 3만1500여 건 등을 탈취했다. 해커들은 같은 해 4월부터 10월까지 ‘사전대입공격(암호 가능성이 높은 값을 입력해 이를 알아내는 수법)’으로 총 4981개의 계정을 해킹했다.

해커들은해킹한 정보로 회원들 계정에 보관하고 있던 비트코인과 잔액을 탈취했다. 해커들이 도둑질한 비트코인 규모는 70억원에 달한다.

당시 사건으로 이씨와 빗썸 법인은 정보통신망법 위반 혐의로 기소돼 재판에 넘겨졌고, 지난 2월 법원으로부터 벌금형의 유죄 판결이 내려졌다.

법원 판결을 통해 밝혀진 이씨 등의 공소사실에 따르면, 당시 이씨가 해커들이 공격한 자신의 컴퓨터에 고객 개인정보를 암호화하지 않은 채 컴퓨터에 저장해 두고 있었다.

또 악성코드를 방지할 수 있는 백신을 설치하지 않았고, 빗썸에서는 당시 동일 아이피 과다로 인한 비정상적 접속이 이어졌음에도 제대로 된 차단 조치를 하지 않았던 것으로 나타났다.

이에 따라 법원은 개인정보 유출 사건에 대해 빗썸의 과실을 인정하는 판결을 내렸지만, 당시 사건으로 피해를 입은 A씨의 소송 결과는 달랐다.

본지 취재에 따르면, A씨는 사건이 최초로 발생한 지 3개월 뒤인 2017년 7월 중순경 오전 시간대 빗썸 계정에 접속해 일부 비트코인을 환전했다.

그런데 해커들이 A씨의 계정을 탈취해 접속했고, 계정에 남아있던 돈을 비트코인으로 전환한 뒤 다른 곳으로 이전했다. A씨가 같은 날 오후 계정에 다시 접속했을 때는 본래 수억원이 보관됐던 잔액이 200원밖에 남지 않았다.  

A씨는 개인정보 유출 사건으로 인해 성명불상자들에게 자신의 계정이 해킹을 당해 금전적 피해를 봤다고 판단할 수밖에 없었다. A씨는 빗썸을 상대로 손해배상 청구 소송을 제기했다.

법원 "회사 차원의 고의나 방치 없었다"

하지만 재판부는 빗썸이 당시 A씨 계정에 대한 접속과 이 계정에서 이뤄진 환전이 해커가 아닌 A씨 본인이 직접 했다고 판단할 수밖에 없었다고 봤다. 다시 말해 A씨의 피해에 대해 회사 차원의 고의나 방치가 없었다는 의미다.

재판부는 “A씨의 아이디와 비밀번호로 계정 접속이 이뤄졌고, A씨의 휴대전화에 (문자로) 계정 접속사실을 통지했다”며 “빗썸으로서는 A씨의 계정에 접속한 사람이 계정 비밀번호 및 휴대전화에 접근 가능한 사람으로서, A씨 본인 내지는 적어도 계정 접속 등의 권한을 위임받은 사람임을 확인하는 절차를 거쳤다고 봄이 타당하다”고 설명했다.

특히 재판부는 당시 해커가 회원들의 계정을 탈취하는 과정에서 사전대입공격이 있었는데, A씨의 계정이 이 방식으로 인해 해킹됐는지 여부 역시 인정하기 부족하다고 판단했다.

앞선 이 사건 형사재판에서도 법원은 이씨와 빗썸 법인에 개인정보 유출 피해자 243명 가운데 로그 분석 증거가 제출된 49명에 대한 혐의만 유죄로 인정했다.

다시 말해 A씨의 개인정보가 2017년 4월 유출된 3만1500여건 내 포함돼 있을 가능성이 있다고 할지라도, 사전대입공격으로 해킹한 4981개 계정에도 속한다고 반드시 볼 수는 없다는 게 법원의 판단이다. 

재판부는 또 빗썸이 개인정보 유출 사건에 대해 2차 피해방지 등의 후속조치 내지 추가적 보안조치를 제대로 시행하지 않았다고 인정할 수 없다고 봤다. A씨 계정 탈취사고가 이뤄지기 앞서 사측이 개인정보를 유출당한 회원들에게 비밀번호 변경, 출금 제한 조치 확인 등의 내용이 포함된 전자우편을 보내는 등 적절한 후속조치를 취했다는 설명이었다.

A씨를 비롯한 대다수 이용자들이 개인정보만 유출됐을 뿐, 이로 인해 계정 내 금원이 탈취될 수 있는 가능성에 대해서는 예상하지 못했을 수 있다. 때문에 해커들이 사전대입공격 등에 대한 보다 자세하고 철저한 통지가 회원들에게 필요했다고 할 수 있다.

하지만 재판부는 “정보통신망법 및 개인정보 보호법 등에 따라 개인정보 유출 사실은 서면으로 통지해야 하지만, 빗썸이 사전대입공격 사건까지 회원들에게 서면으로 통지할 의무는 없다”고 설명했다.

kawskhan@insightkorea.co.kr

인사이트코리아, INSIGHTKOREA

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.