갑 등은 을 주식회사가 인터넷 웹사이트에서 운영하는 가상화폐 거래소에서 계정을 개설하여 이를 통해 가상화폐 등을 거래한 사람들인데, 위 거래소에서 발생한 해킹사고로 을 회사가 관리하는 전자지갑에 보관되어 있던 이용자들의 가상화폐 중 일부가 유출되었고, 이에 을 회사가 위 거래소를 폐쇄한 후 해당 가상화폐를 단계적으로 매입하는 등의 방법으로 유출된 가상화폐를 갚거나 복구할 계획이라고 공지하였으나 유출된 가상화폐를 복구하지 못하자, 갑 등이 을 회사 등을 상대로 손해배상을 구한 사안에서, 을 회사는 가상화폐 반환의무의 이행거절 또는 이행불능으로 인해 갑 등이 입은 손해를 배상할 책임이 있다고 한 사례

갑 등은 을 주식회사가 인터넷 웹사이트에서 운영하는 가상화폐 거래소에서 계정을 개설하여 이를 통해 가상화폐 등을 거래한 사람들인데, 위 거래소에서 발생한 해킹사고로 을 회사가 관리하는 전자지갑에 보관되어 있던 이용자들의 가상화폐 중 일부가 유출되었고, 이에 을 회사가 위 거래소를 폐쇄한 후 해당 가상화폐를 단계적으로 매입하는 등의 방법으로 유출된 가상화폐를 갚거나 복구할 계획이라고 공지하였으나 유출된 가상화폐를 복구하지 못하자, 갑 등이 을 회사 등을 상대로 손해배상을 구한 사안이다.

제반 사정 등에 비추어 보면, 을 회사가 갑 등이 보유한 가상화폐를 갑 등 고유의 전자지갑에 보관할 의무를 부담한다고 볼 수 없고, 해킹사고가 발생함에 있어 을 회사에 고의 또는 과실이 있다고 보기 어려우므로 을 회사가 갑 등의 가상화폐가 유출되지 않도록 할 의무를 위반하였다고 볼 수 없는데, 갑 등이 위 거래소에 계정을 개설함으로써 을 회사와 사이에 위 거래소 이용에 관한 계약이 체결되었고, 위 이용계약에 의하면, 을 회사는 갑 등이 전자적인 방법으로 가상화폐 반환을 요구할 경우, 그 즉시 갑 등에게 갑 등의 계정에 예치되어 있는 가상화폐를 반환할 의무를 부담하는 점, 을 회사의 위 가상화폐 반환의무는 을 회사가 관리하는 전자지갑에 보관되어 있는 가상화폐 중 일정한 종류와 수량의 가상화폐를 반환목적물로 하는 의무로서 한정종류물의 인도의무와 유사한 성질을 갖는 점 등을 종합하여 보면, 을 회사가 해킹사고를 이유로 위 거래소의 거래를 중단하고 위 거래소를 폐쇄함으로써 갑 등에 대한 가상화폐 반환의무의 이행을 거절하였고, 아울러 해킹사고로 을 회사가 관리하는 전자지갑에 보관되어 있던 가상화폐가 유출됨으로써, 을 회사가 가상화폐 반환의무를 더 이상 이행할 수 없게 되어 위 반환의무가 이행불능으로 되었으므로, 을 회사는 가상화폐 반환의무의 이행거절 또는 이행불능으로 인해 갑 등이 입은 손해를 배상할 책임이 있다고 한 사례이다.

민법 제390조 , 제544조 , 제546조

원고 1 외 10인 (소송대리인 법무법인 민후 담당변호사 서혜린)

주식회사 리너스 외 1인 (소송대리인 법무법인 비트 담당변호사 이근재)

2021. 8. 20.

1. 피고 주식회사 리너스는 원고 1에게 69,471,683원, 원고 2에게 45,172,693원, 원고 3에게 8,973,622원, 원고 4에게 34,157,459원, 원고 5에게 42,535,770원, 원고 6에게 1,366,664원, 원고 7에게 25,398,061원, 원고 8에게 14,326,166원, 원고 9에게 31,907,538원, 원고 10에게 7,755,164원, 원고 11에게 102,505,521원 및 위 각 돈에 대하여 2018. 10. 9.부터 2019. 5. 31.까지는 연 15%의, 그 다음 날부터 다 갚는 날까지는 연 12%의 각 비율로 계산한 돈을 각 지급하라.

2. 원고들의 피고 2에 대한 청구를 모두 기각한다.

3. 소송비용 중 원고들과 피고 주식회사 리너스 사이에 생긴 부분은 피고 주식회사 리너스가 부담하고, 원고들과 피고 2 사이에 생긴 부분은 원고들이 각 부담한다.

4. 제1항은 가집행할 수 있다.

피고들은 연대하여 원고들에게 주문 제1항 기재 돈을 각 지급하라.

1. 기초 사실

가. 피고 주식회사 리너스(이하 ‘피고 회사’라 한다)는 인터넷 웹사이트(https://coinrail.co.kr, 이하 ‘이 사건 사이트’라 한다)에서 “코인레일”이라는 명칭의 가상화폐 거래소(이하 ‘이 사건 거래소’라 한다)를 운영하는 회사이고, 원고들은 이 사건 거래소에 각자의 계정(이하 ‘이 사건 각 계정’이라 한다)을 개설하고, 이를 통해 다른 이용자들과 가상화폐 등을 거래한 사람들이며, 피고 2는 피고 회사의 사내이사로 대표자이다.

나. 이 사건 거래소는 ① 이용자가 이 사건 사이트에 계정을 개설한 후 해당 계정에 가상화폐 또는 현금을 예치한 후, 이 사건 사이트에서 다른 이용자들과 가상화폐를 매매, 교환하는 등의 거래를 하고, ② 피고 회사는 이용자가 예치한 가상화폐 중 상당 부분을 피고 회사가 관리하는 서버의 DB에 저장되어 있는 ‘해당 이용자의 입금주소와 연결된 전자지갑’(이하 ‘이용자 연결 전자지갑’이라 한다)에, 나머지는 같은 DB에 저장되어 있는 ‘출금전용 전자지갑’(이하 ‘출금전용 전자지갑’이라 한다)에 보관한 상태에서 이 사건 사이트에서 이용자들 사이의 가상화폐 등 거래를 중개하고, ③ 만일 이용자가 피고 회사에 해당 계정에 예치되어 있는 현금, 가상화폐의 인출을 요청하면, 피고 회사는 이를 이용자가 지정한 전자지갑이나 예금계좌 등으로 이체해 주는 방식으로 운영되었다.

다. 이 사건 거래소는 2018. 6. 10. 01:00경 해킹 범죄로 피해를 입었고(이하 ‘이 사건 해킹사고’라 한다), 그로 인해 피고 회사가 관리하는 전자지갑에 보관되어 있던 이용자들의 가상화폐 중 일부가 외부로 유출되었다. 그 직후 피고 회사는 이 사건 거래소의 거래를 중단하고 위 거래소를 폐쇄하였고, 위 거래소의 인터넷 사이트에 “안정적인 서비스 환경을 제공하기 위해 현재 서버 점검 중에 있다. 예상 점검 시간: 2018. 6. 10. 02:00~2018. 6. 11. 04:00, 점검내용: 블록체인 코어 업그레이드 및 지갑 교체 작업, 유의사항: 점검 시간 동안 코인레일 홈페이지의 모든 서비스 이용 불가”라는 내용이 포함된 공지문을 게재하였다. 그 후 피고 회사는 2018. 7. 15. 이 사건 해킹사고로 유출된 가상화폐의 수량에 대하여 펀디엑스는 84.2%, 비트코인은 34.8%, 엔퍼는 89.4%라고 밝히면서 해당 가상화폐를 단계적으로 매입하여 유출된 가상화폐를 갚거나 피고 회사의 가상화폐 ‘RAIL’을 발행하여 교환해주는 방법으로 복구할 계획이라고 공지하였으나, 현재까지 유출된 가상화폐를 복구하지 못하였다.

라. 한편 이 사건 해킹사고 당시 이 사건 각 계정에 예치되어 있던 원고들의 가상화폐[펀디엑스(Pundi-X, 구 NPTS), 비트코인, 엔퍼] 보유량은 별지2 표 기재의 각 해당란 기재와 같고, 현재까지 원고들에게 반환되지 않은 가상화폐(이하 ‘이 사건 가상화폐’라 한다)의 종류와 수량도 같은 표 기재와 같다. 또한 이 사건 해킹사고일인 2018. 6. 10. 및 미복구된 가상화폐량을 공지한 2018. 7. 15. 각 가상화폐거래소 시장에서의 위 가상화폐의 1개당 미국화폐 거래가격의 시가 및 당일 환율, 그에 따른 원화 환산액은 아래 [표1]과 같고, 그중 2018. 6. 10. 자 시가를 기준으로 산정한 위 각 가상화폐의 원고별 보유부분의 원화 환산 가액은 별지1 표의 해당란 기재와 같다.

[표1] 가상화폐별 원화 환산액

[인정 근거] 다툼 없는 사실, 갑 제1 내지 10, 18호증, 을 제1 내지 6호증(가지번호 있는 것은 각 가지번호 포함, 이하 같다)의 각 기재, 변론 전체의 취지

2. 원고들의 청구 요지

가. 피고 회사에 대한 청구

1) 피고 회사는 이용자의 가상화폐를 이용자의 고유의 전자지갑에 보관하여야 하고, 이용자의 가상화폐를 무단으로 인출하지 않을 의무를 부담함에도, 원고들의 동의 없이 원고들의 가상화폐를 원고들 고유의 전자지갑에서 피고 회사의 전자지갑으로 인출하여 보관하였고, 이용자의 가상화폐가 유출되지 않도록 방지할 의무가 있음에도 기본적인 보안 관리체계도 갖추지 않던 중 피고 회사의 고의 또는 과실로 이 사건 해킹사고가 발생하여 원고들의 가상화폐가 일부가 이 사건 각 계좌에서 유출되게 하였다.

2) 피고 회사는 원고들이 피고 회사에 이 사건 각 계좌에 입금된 가상화폐의 인출을 요구할 경우 즉시 원고들에게 동종ㆍ동량의 가상화폐를 반환할 의무를 부담함에도, 이 사건 해킹사고 발생일인 2018. 6. 10.부터 거짓 사유를 들며 이 사건 거래소 서비스 일체를 중단하여 원고들에게 가상화폐를 시장가에 매도할 수 있는 서비스를 제공할 의무를 이행하지 않았고, 이후에도 원고들에게 동종ㆍ동량의 가상화폐를 반환할 의무의 이행을 거절하였다.

3) 따라서 피고 회사는 원고들에게 이 사건 가상화폐 반환의무의 이행거절로 인한 손해배상으로 주위적으로는 이 사건 거래소를 폐쇄한 2018. 6. 10. 당시의 이 사건 각 가상화폐의 시가 상당액 및 그에 대한 지연손해금을, 예비적으로는 이 사건 해킹사고 이후 피고 회사가 이 사건 거래소 서비스를 재개하면서 해킹당한 비율만큼의 가상화폐를 출금할 수 없도록 한 2018. 7. 15. 당시의 이 사건 각 가상화폐의 시가 상당액 및 그에 대한 지연손해금을 지급할 의무가 있다.

나. 피고 2에 대한 청구

피고 2는 피고 회사의 이사로서 그 직무상 충실의무 및 선관주의 의무를 해태하여 원고들의 이 사건 가상화폐를 무단으로 인출하고 해커에게 유출되게 하였으므로, 피고 회사와 연대하여 원고들의 손해를 배상할 책임이 있다.

3. 피고 회사에 대한 청구에 관한 판단

가. 피고 회사가 원고들의 가상화폐를 무단으로 인출하였는지 보건대, 갑 제2, 12호증, 을 제1 내지 5호증의 각 기재와 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사정들, 즉 ① 피고 회사의 이용약관에 의하더라도 이용자가 이 사건 거래소에서 가상화폐 거래 서비스를 이용할 수 있도록 전자지갑을 이용할 수 있는 서비스를 제공할 뿐이고 이용자에게 고유의 전자지갑을 제공하고 위 전자지갑에 이용자의 가상화폐를 보관한다는 내용은 없는 점, ② 피고 회사가 이용자에게 제공하기로 한 위 전자지갑은 입금전용지갑으로 이용자가 개인별 계정에 가상화폐를 입금하고 입금 수량을 확인하고 임시적으로 보관하는 용도로 보이고, 출금 시까지 위 전자지갑에 보관되어야 한다고 볼 근거가 없는 점에 비추어 보면, 원고들이 제출한 증거들만으로는 피고 회사가 원고들에 대하여 원고들이 보유한 가상화폐를 원고들 고유의 전자지갑에 보관할 의무를 부담한다고 볼 수 없고, 달리 이를 인정할 증거가 없으므로 피고 회사가 이 사건 가상화폐를 피고 회사가 관리하는 전자지갑에 보관하였다고 하더라도, 위 의무를 위반하였다고도 볼 수 없으므로, 원고들의 이 부분 청구는 받아들일 수 없다.

나. 피고 회사가 원고들의 가상화폐가 유출되지 않도록 할 의무를 위반하였는지 보건대, 이 사건 해킹사고로 인하여 원고들이 피고 회사에 맡긴 이 사건 각 가상화폐의 일부가 외부로 유출된 사실은 앞서 본 바와 같은바, 원고들이 제출한 증거만으로는 이 사건 해킹사고가 발생함에 있어 피고 회사에 고의 또는 과실이 있다고 보기 어렵고, 달리 이를 인정할 증거가 없으므로, 피고 회사가 원고들의 가상화폐가 유출되지 않도록 할 의무를 위반하였다고 볼 수 없어 원고들의 이 부분 청구도 받아들일 수 없다.

다. 피고 회사가 원고들에 대하여 동종ㆍ동량의 가상화폐를 반환할 의무의 이행을 거절하였는지에 관하여 본다.

1) 살피건대, 앞서 인정된 사실들을 종합하면, ① 원고들이 이 사건 거래소에 계정을 개설함으로써 피고 회사와 사이에 이 사건 거래소 이용에 관한 계약(이하 ‘이 사건 이용계약’이라 한다)이 체결되었고, 위 이용계약에 의하면, 피고 회사는 원고들이 전자적인 방법으로 가상화폐 반환을 요구할 경우, 그 즉시 원고들에게 원고들 계정에 예치되어 있는 가상화폐를 반환할 의무를 부담하는 점, ② 피고 회사는 이용자들이 예치한 가상화폐를 이용자 연결 전자지갑 또는 출금전용 전자지갑에 보관하고 있다가 이용자의 요구가 있는 경우 해당 이용자의 계좌에 예치된 것과 동일한 종류 및 수량의 가상화폐를 반환하는 방식으로 위 가상화폐 반환의무를 이행하여 왔으므로, 피고 회사의 위 가상화폐 반환의무는 피고가 관리하는 위 전자지갑에 보관되어 있는 가상화폐 중 일정한 종류와 수량의 가상화폐를 반환목적물로 하는 의무로서 한정종류물의 인도의무의 유사한 성질을 갖는다고 볼 수 있는 점, ③ 피고 회사는 이 사건 해킹사고가 발생한 2018. 6. 10. 즉시 이 사건 거래소의 거래를 중단하고 위 거래소를 폐쇄하였으며, 그 결과 원고들은 2018. 6. 10.경부터 현재까지 피고 회사로부터 원고들 계정에 예치되어 있는 이 사건 각 가상화폐를 반환받지 못한 점을 알 수 있는바, 이를 종합하여 보면, 피고 회사는 이 사건 해킹사고를 이유로 이 사건 거래소의 거래를 중단하고 이 사건 거래소를 폐쇄함으로써 원고들에 대한 이 사건 각 가상화폐 반환의무의 이행을 거절하였고, 아울러 이 사건 해킹사고로 이용자 연결 전자지갑 또는 출금전용 전자지갑에 보관되어 있던 위 가상화폐가 유출됨으로써, 피고가 이 사건 가상화폐 반환의무를 더 이상 이행할 수 없게 되어 위 반환의무가 이행불능으로 되었다고 봄이 타당하다.

2) 이에 대하여 피고 회사는, 이 사건 해킹사고가 발생한 직후 추가 피해를 막기 위하여 이 사건 거래소를 중단하였을 뿐이지 이행거절한 것이 아니며, 이 사건 해킹사고에 관하여 피고 회사에 아무런 고의 또는 과실이 없으므로 피고 회사의 귀책사유 없이 이 사건 각 가상화폐 반환의무가 이행불능이 된 것이어서 손해배상책임이 없다고 주장한다.

가) 일반적으로 이행거절 또는 이행불능으로 인한 손해배상 청구에 있어서 그 귀책사유에 관한 증명책임은 채무자에게 있다고 할 것인바( 대법원 2010. 8. 19. 선고 2010다26745, 26752 판결 등 참조), 을 제5 내지 12호증의 각 기재를 종합하면, 피고 회사는 이 사건 해킹사고가 발생한 직후 수사기관 등에 신고를 하였으나, 현재까지 해킹 방법, 해커가 이용한 이 사건 거래소 시스템의 취약점 등 구체적인 범행 경위가 밝혀지지 아니한 사실, 피고 회사는 이 사건 해킹사고 전에 IT보안컨설팅 업체와 한국인터넷진흥원으로부터 보안점검을 받았고, 이후에도 IT보안컨설팅 회사와의 보안서비스 계약, 인터넷 망분리 설비 도입계약 등 보안관련 계약들을 체결한 사실은 인정된다.

그러나 한편 ① 이 사건 해킹사고는 피고 회사가 관리하는 서버의 DB에 저장되어 있고, 피고 회사가 관리하는 전자지갑들인 이용자 연결 전자지갑 또는 출금전용 전자지갑에 보관되어 있었던 ‘원고들이 예치한 가상화폐’ 중 일부가 해킹으로 외부로 유출된 사고로 전적으로 피고 회사가 관리하는 영역에서 발생한 사고인 점, ② 일반적으로 가상화폐를 보관하는 전자지갑 시스템의 보안강도 등에 비추어 보면, 어떤 형식으로든 피고 회사의 전자지갑 접근수단에 대한 보안관리 소홀이 위 해킹사고의 원인이었을 가능성을 배제할 수 없는 점 등에 비추어 보면, 앞서 인정된 사실 및 피고 회사가 제출한 증거들만으로는 피고 회사에 이 사건 각 가상화폐 반환의무의 이행거절 또는 이행불능에 관한 귀책사유가 없다고 인정하기에 부족하고, 달리 이를 인정할 증거가 없으므로, 피고 회사의 위 주장은 이유 없다.

3) 따라서 피고 회사는 이 사건 각 가상화폐 반환의무의 이행거절로 인한 손해배상 또는 이행불능으로 인한 전보배상으로 원고들에게, 위 이행거절 또는 이행불능 당일인 2018. 6. 10. 현재 위 각 가상화폐 중 원고별로 보유하고 있는 가상화폐의 시가 상당액(위 기초 사실 라.항의 [표1] 중 2018. 6. 10. 기준 원화 환산액, 계산의 편의상 원 단위 미만 버림)인 원고 1에게는 69,471,683원, 원고 2에게는 45,172,693원, 원고 3에게는 8,973,622원, 원고 4에게는 34,157,459원, 원고 5에게는 42,535,770원, 원고 6에게는 1,366,664원, 원고 7에게는 25,398,061원, 원고 8에게는 14,326,166원, 원고 9에게는 31,907,538원, 원고 10에게는 7,755,164원, 원고 11에게는 102,505,521원 및 위 각 돈에 대하여 위 해킹사고 발생일 이후로서 원고들이 구하는 이 사건 소장부본 송달 다음 날인 2018. 10. 9.부터 2019. 5. 31.까지는 소송촉진 등에 관한 특례법에 따른 연 15%의, 그 다음 날부터 다 갚는 날까지는 연 12%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다.

4. 피고 2에 대한 청구에 관한 판단

피고 회사는 이 사건 해킹사고가 발생한 직후 수사기관 등에 신고를 하였으나, 현재까지 해킹 방법, 해커가 이용한 이 사건 거래소 시스템의 취약점 등 구체적인 범행 경위가 밝혀지지 아니한 사실, 피고 회사는 이 사건 해킹사고 전에 IT보안컨설팅 업체와 한국인터넷진흥원으로부터 보안점검을 받았고, 이후에도 IT보안컨설팅 회사와의 보안서비스 계약, 인터넷 망분리 설비 도입계약 등 보안관련 계약들을 체결한 사실은 앞서 본 바와 같은바, 이에 비추어 보면, 원고들이 제출한 증거만으로는 피고 회사가 이 사건 해킹사고로 인하여 원고들에 대한 가상화폐 반환의무를 이행거절하거나 이행불능상태가 됨에 있어서 피고 2에게 고의 또는 중대한 과실이 있었다고 인정할 수 없고, 달리 이를 인정할 증거가 없으므로 원고들의 피고 2에 대한 청구는 이유 없다.

5. 결론

그렇다면 원고들의 피고 회사에 대한 각 청구는 모두 이유 있으므로 이를 각 인용하고, 원고들의 피고 2에 대한 각 청구는 모두 이유 없으므로 이를 각 기각하기로 하여 주문과 같이 판결한다.

[별 지 1] 원고별 청구금액: 생략

[별 지 2] 원고별 가상화폐 보유량: 생략