편집자 주 
정보유출 사태가 대한민국 사회 전체를 들쑤시고 있다. 대형 금융사와 유통업체 등에 등록된 고객 정보들이 와르르 쏟아져나와 불안감을 키웠다. 이번 만이 아니다. 잊을 만하면 대규모 정보유출 사태가 불거진다. 이른바 '해킹 대한민국'이라 해도 지나치지 않을 정도다. "설마" 하는 보안 불감증이 늘 일을 키운다. 이번에는 정말 마지막이어야 한다. 따라서 최근 발생한 사태들을 곱씹어 볼 필요가 있다. 그런 의미에서 이번 사태들의 여파가 어느 정도 확산됐고, 어떻게 수습되고 있는지 진단해봤다.

가상자산거래소 업비트 해킹 사고를 계기로 '이용자 보호에 대한 법적 의무'가 보다 명확해질지 주목된다. 금융당국은 이번 사태와 관련, 법 위반 여부를 검토하기로 했다. ‘가상자산 이용자보호법’ 적용 대상으로 볼 수 있을지 살펴보려는 것이다. 아울러 이번 금융당국의 조사와 판단은 향후 발생하는 사건·사고에 대한 제재 기준으로도 작용할 전망이다. 

◆ 금융당국 '이용자 보호 의무’ 들여다본다

22일 금융당국과 가상자산업계에 따르면 업비트 측은 지난 달 말 약 445억원 규모의 가상자산 외부 유출 사실을 확인한 뒤 즉각 일부 서비스를 중단했다. 이와 함께 추가 피해 방지 조치에 나섰고, 전액 보상 방침도 발표했다. 여기까진 신속한 조치로 평가된다. 

단, 금융당국 보고 시점을 두고 지적이 나온다. 보안 체계와 내부 통제 시스템이 충분했는지에 대해서도 논란의 여지가 있다. 금융당국도 이번 사건을 단순 해킹 사고로만 보진 않는다. 거래소가 이용자 보호를 위한 법적 의무를 다했는지 따져보려는 것이다. 

즉, ▲사고 인지 후 적시에 보고했는지 ▲이용자 자산 보호를 위한 내부 관리 체계가 갖춰졌는지 ▲보안 사고 예방을 위한 기술적·관리적 조치를 충실히 이행했는지 등을 살펴보고 있다. 해킹 발생 자체만으로 제재를 하진 않지만, 이용자 보호 및 관리 의무 위반 여부를 별도로 판단할 수 있다는 게 당국 입장이다. 

가상자산이용자보호법은 가상자산 사업자에게 이용자 자산 보호와 사고 대응에 대한 책임을 규정한다. 주요 내용은 이용자 자산의 분리 보관, 내부 통제 및 정보보호 관리체계 구축, 해킹 등의 사고 발생 시 지체없는 금융당국 보고 의무 등이다. 이를 위반할 경우 과태료 부과, 시정·개선 명령 등 행정 제재가 가능하다. 

◆ '업비트 사태' 이용자보호법 첫 시험대 된다

다만 해킹 피해 자체에 대한 직접적인 손해배상 책임까지 법에 명시되진 않았다. 따라서 실제 제재 수위와 적용 범위를 두고 해석이 엇갈린다. 그동안 가상자산 거래소 해킹 사고가 반복돼 왔지만, 현행 법 체계에서 명확한 제재 근거를 적용한 사례는 많지 않았다. 

따라서 업계에선 이번 사안이 가상자산이용자보호법의 적용 기준을 가늠하는 첫 시험대가 될 것으로 보고 있다. 금융당국 역시 해킹 사고에 대한 직접 처벌보다 관리 책임과 이용자 보호 의무 이행 여부를 중심으로 판단 기준을 세우는 방향으로 접근하는 모습이다.

특히 이번 사건 뿐만 아니라 향후 발생할 수 있는 가상자산 거래소 해킹 사고 전반에 적용될 기준으로 작용할 가능성이 높다. 업계가 금융당국 움직임에 주목하는 이유이기도 하다. 이용자보호법의 해석 방향이 정리될 경우 다른 거래소 해킹 사고에서도 유사한 기준이 적용될 수 있어서다. 

금융당국의 법리 검토 결과에 따라 업비트 제재 여부뿐 아니라, 거래소 전반에 대한 규제 방향성도 윤곽이 드러날 전망이다. 업계 한 관계자는 “거래소 보안 사고가 반복되지만 제재 기준은 여전히 모호하다”며 “이번 사건을 계기로 이용자 보호를 중심으로 한 규제 체계가 보다 구체화될 가능성이 높다”고 말했다.