업비트 해킹 터져도 책임 없었다… 국회, ‘가상자산 배상 구조’ 손본다

[사진=최지훈 기자]

가상자산 거래소에서 해킹이나 전산 장애 사고가 발생해도, 피해를 입은 이용자가 스스로 사업자의 과실을 입증하지 못하면 배상을 받을 수 없었던 구조에 국회가 제동을 걸었다. 해킹 사고가 반복되고 있음에도 거래소의 책임을 실질적으로 묻기 어려웠던 제도 공백을 손질하겠다는 취지다.

박성훈 국민의힘 의원(국회 기획재정위원회)은 21일, 해킹·전산 장애 등으로 이용자 피해가 발생할 경우 가상자산사업자가 원칙적으로 손해를 배상하도록 하는 내용의 '가상자산 이용자 보호법' 일부개정안을 대표발의했다고 밝혔다.

이번 법안은 지난해 발생한 국내 최대 가상자산 거래소 업비트 해킹 사태가 직접적인 계기가 됐다. 지난해 11월 업비트는 외부 해킹 공격으로 1시간도 채 되지 않는 사이 1000억 개가 넘는 가상자산이 유출되며 약 445억원 규모의 피해를 입었다. 그러나 업비트는 해킹 사실을 인지하고도 금융당국에 약 6시간이 지난 뒤에야 보고한 것으로 드러나 ‘늑장 대응’ 논란이 불거졌다.

문제는 사고 이후였다. 현행법상 해킹 피해가 발생하더라도 이용자가 거래소의 고의·과실을 직접 입증해야만 손해배상을 청구할 수 있는 구조여서, 실질적인 구제는 거의 불가능했다.

2023년 이후 국내 5대 가상자산 거래소에서 발생한 전산 사고만 확인된 건수만 20건에 달하지만, 피해 보상으로 이어진 사례는 극히 제한적이라는 지적이 이어져 왔다.

박 의원이 발의한 개정안의 핵심은 손해배상 입증 책임의 전환이다. 해킹이나 전산 장애로 이용자에게 손해가 발생할 경우, 앞으로는 거래소가 “우리는 책임이 없다”는 점을 스스로 입증하지 못하면 배상 책임을 지도록 명문화했다.

사업자가 책임을 면하기 위해서는 이용자의 고의 또는 중과실이 있었는지, 보안 시스템과 내부 통제 절차를 적정하게 이행했는지 등을 거래소가 직접 증명해야 한다.

고도의 기술 영역인 가상자산 시스템의 결함을 일반 이용자가 밝히는 것이 사실상 불가능하다는 점에서, 기울어진 책임 구조를 바로잡겠다는 취지다.

보고 의무도 대폭 강화된다. 해킹이나 시스템 장애로 거래소 운영이 교란·마비되는 ‘침해사고’ 발생 시 금융위원회에 즉시 보고하도록 의무화했다. 기존처럼 사고 사실을 축소하거나 늑장 보고하는 관행을 차단하겠다는 것이다. 금융당국이 사고 원인을 조기에 파악하고, 추가 피해 확산을 막을 수 있는 ‘골든타임’을 확보하겠다는 목적이다.

박성훈 의원은 “수백억 원의 피해가 발생해도 이용자가 기술적 과실을 입증하지 못하면 배상을 받을 수 없는 구조는 명백한 불공정”이라며 “정보와 기술을 독점한 사업자가 책임을 지는 것이 시장 원칙에 부합한다”고 강조했다.

이어 “이번 개정안은 가상자산 시장의 기울어진 운동장을 바로잡고, 이용자가 안심하고 거래할 수 있는 최소한의 안전장치를 마련하기 위한 것”이라며 “이용자 보호 없이는 가상자산 산업의 지속 가능한 성장도 불가능하다”고 말했다.

이번 법안이 통과될 경우, 가상자산 거래소는 단순 중개 플랫폼을 넘어 사고 책임을 부담하는 금융 인프라 수준의 관리 의무를 지게 된다. 해킹과 전산 장애가 반복되는 가운데, 가상자산 시장이 ‘자율’에서 ‘책임’의 단계로 넘어갈 수 있을지 국회의 선택에 시선이 쏠리고 있다.

[뉴스로드] 최지훈 기자 jhchoi@newsroad.co.kr