해킹·지갑 피해

이런 사건입니다

가상자산 시장이 급성장하면서 해킹 및 지갑 탈취 피해 사례가 급증하고 있습니다. 거래소 시스템 해킹으로 인해 투자 자산이 유실되거나, 개인 지갑의 시드 문구 유출로 코인이 무단으로 인출되는 경우가 대표적입니다. 피싱 사이트나 악성 프로그램에 속아 지갑 정보를 넘겨주는 피해도 빈번하게 발생합니다. 이러한 사건은 피해 규모가 크고, 가상자산의 특성상 추적이 어려워 신속한 법적 대응이 매우 중요합니다. 거래소의 보안 취약성 여부, 피해자의 과실 유무, 탈취된 자산의 이동 경로 등을 종합적으로 분석하여 배상 책임 소재를 판단해야 합니다. 초기 대응을 어떻게 하느냐에 따라 피해 회복 가능성이 크게 달라집니다.

적용 법률

가상자산 해킹 및 지갑 탈취 사건에는 주로 민법상 손해배상 청구, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법), 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 등이 적용됩니다. 거래소 해킹의 경우, 거래소의 정보보호 의무 위반 여부가 쟁점이 됩니다. 정통망법 제28조는 정보통신서비스 제공자의 정보보호 조치 의무를 규정하고 있으며, 이를 위반하여 해킹 피해가 발생하면 손해배상 책임이 발생할 수 있습니다. 개인 지갑 탈취 사건은 불법적인 자산 인출 행위에 대해 형법상 컴퓨터 등 사용사기죄(형법 제347조의2)나 절도죄, 사기죄 등이 적용될 수 있습니다. 피해액이 크면 특정경제범죄 가중처벌 등에 관한 법률(특경법)이 적용되어 가중 처벌될 수도 있습니다. 가상자산은 법적으로 재산권으로 인정되므로, 피해자는 민사소송을 통해 손해배상을 청구할 수 있습니다.

업무 절차

1. 상담 및 사실관계 파악: 피해 발생 시점, 경위, 피해액, 관련 증거 자료 등을 상세히 파악합니다. 거래소 계정 기록, 지갑 주소, 송금 내역 등 확보 가능한 모든 정보를 수집합니다.
2. 증거 자료 정리 및 법리 검토: 확보된 자료를 바탕으로 거래소의 약관, 보안 시스템, 피해자의 과실 여부 등을 종합적으로 검토하여 법적 쟁점을 분석합니다. 책임 소재를 명확히 하고, 소송 가능성을 진단합니다.
3. 내용증명 발송 및 협의 시도: 거래소나 가해자에게 내용증명을 발송하여 배상 요구를 통지하고, 피해 회복을 위한 합의를 시도합니다. 협의가 원만하게 이루어지지 않을 경우 소송을 준비합니다.
4. 민사 소송 제기 및 진행: 거래소를 상대로 한 손해배상 청구 소송이나, 가해자를 상대로 한 부당이득 반환 청구 소송 등을 제기합니다. 소송 과정에서 필요한 자료를 추가로 확보하고, 변론을 통해 의뢰인의 권리를 주장합니다.
5. 형사 고소 및 수사 협조: 지갑 탈취 등 범죄 행위가 명백한 경우, 형사 고소를 통해 수사기관의 수사를 촉구합니다. 수사 과정에서 피해 사실을 적극적으로 소명하고, 가해자 검거 및 자산 동결을 위한 협조를 진행합니다.

거래소 해킹 시 배상 책임의 성립요건 — 가상자산이용자보호법 제7조 의무 위반 판단

거래소를 상대로 손해배상을 인정받으려면 단순한 사고 발생이 아니라 거래소의 보호 의무 위반과 손해 사이의 인과관계가 함께 충족되어야 합니다. 핵심 기준은 가상자산 이용자 보호 등에 관한 법률(2024-07-19 시행, 이하 가상자산이용자보호법) 제7조입니다. 이 조항은 가상자산사업자에게 이용자 가상자산을 인터넷과 분리하여 안전하게 보관(콜드월렛 보관)할 의무와, 해킹·전산장애 등 사고에 대비하여 보험·공제에 가입하거나 준비금을 적립할 의무를 부과합니다. 구체적인 콜드월렛 보관 비율은 같은 법 시행령에서 정하며, 현행 기준은 이용자 가상자산 경제적 가치의 100분의 80(80%) 이상을 인터넷과 분리해 보관하도록 규정합니다.

따라서 해킹이 핫월렛(인터넷 연결 저장소)에서 발생했고 콜드월렛 보관 비율이 법정 기준(80%)에 미달했다면, 제7조 및 시행령 위반이 배상 책임의 유력한 근거가 될 소지가 있습니다. 같은 법은 이와 별도로 사업자에게 전산시스템 등 안전성 확보 의무를 부과하므로, 보안 시스템의 적정성 유지 위반이나 이상거래 탐지 체계의 미비도 함께 검토 대상입니다.

다만 거래소가 의무를 모두 이행했음에도 발생한 사고라면 책임 범위가 달라질 수 있어, 콜드월렛 비율·보험 가입 내역·내부 보안 로그 등 객관적 자료의 확보 여부가 결론을 좌우합니다. 약관상 면책 조항이 있더라도 법령상 강행 의무를 배제할 수 없는 부분은 별도로 다툴 여지가 있다고 봅니다.

개인 지갑 탈취의 죄책 구분과 처벌 수위 — 적용 죄명의 경계

지갑 탈취 사건은 가해 방식에 따라 적용 죄명과 법정형이 달라지므로 사실관계를 정밀하게 구분해야 합니다. 피싱·악성코드로 시드 문구를 빼낸 뒤 권한 없이 코인을 이전한 행위는 형법 제347조의2 컴퓨터등사용사기(10년 이하 징역 또는 2천만원 이하 벌금)의 적용이 검토됩니다. 정보처리장치에 권한 없이 정보를 입력하거나 부정한 명령을 입력해 재산상 이익을 얻는 구조에 부합하기 때문입니다.

타인의 거래소 계정·서버에 무단 침입한 경위가 있다면 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 위반이 함께 성립할 소지가 있습니다. 정당한 접근권한 없는 정보통신망 침입(제48조 제1항)은 같은 법 제72조 제1항에 따라 3년 이하 징역 또는 3천만원 이하 벌금으로, 악성프로그램 전달·유포(제48조 제2항)는 제71조에 따라 더 무겁게 처벌됩니다. 한편 피해자를 속여 자발적으로 자산을 넘기게 한 경우라면 형법 제347조 사기죄(10년 이하 징역 또는 2천만원 이하 벌금)가 더 정확한 구성요건일 수 있습니다.

또한 이전된 가상자산은 재산적 가치가 인정되므로 민법 제750조 불법행위에 따른 손해배상과 부당이득 반환이 병행 가능합니다. 편취·이득액이 5억원 이상이면 특정경제범죄 가중처벌 등에 관한 법률 제3조에 따른 가중처벌이 적용될 수 있어, 죄명 선택과 피해액 산정이 양형에 직결됩니다.

탈취 자산의 추적·동결 절차 — 단계별 실무 흐름

가상자산은 블록체인상 이동 경로가 공개되지만 명의 특정이 어려워, 흐름이 끊기기 전 신속한 절차 착수가 회수 가능성을 좌우합니다. 1단계로 탈취가 확인되면 즉시 잔여 자산을 새 지갑으로 이전하고, 가해 트랜잭션 해시·송신/수신 주소·시각을 캡처해 보존합니다.

2단계는 경찰 신고와 형사 고소입니다. 수사기관은 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특정금융정보법)상 가상자산사업자에게 부과된 트래블룰·고객확인(실명확인) 자료를 통해 국내 거래소로 유입된 자산의 명의를 추적할 단서를 확보할 수 있습니다. 자산이 국내 거래소 계정으로 이동한 정황이 있으면 해당 계정에 대한 거래 제한·지급정지 요청과 사실조회·금융거래정보 제출명령 등을 검토합니다.

3단계로 민사상 가압류·가처분을 통해 자산 처분을 막고, 가해자가 특정되면 손해배상·부당이득 반환 소송으로 이행합니다. 해외 거래소로 유출된 경우 국제 형사사법공조와 해당 플랫폼의 협조 요청을 병행하게 되나, 회수 여부는 사안별로 신중히 전망할 사항입니다.

증거 보존·입증책임과 과실상계 쟁점 — 회복 가능성을 가르는 요소

해킹·탈취 사건의 결론은 디지털 증거의 무결성 확보와 입증책임 분배에서 갈리는 경우가 많습니다. 트랜잭션 기록·지갑 로그·거래소 접속 기록·피싱 메시지 원본은 시간이 지나면 소실되거나 덮어쓰기 될 소지가 있으므로, 화면 캡처와 원본 파일을 변경 없이 보존하고 작성 시각을 함께 남겨두는 것이 바람직합니다.

거래소 책임을 묻는 민사에서는 통상 사고 발생과 손해를 피해자가, 보호 의무 이행 사실을 거래소가 각자 소명하는 구조로 다투게 됩니다. 가상자산이용자보호법 제7조 및 시행령상 콜드월렛 보관(80% 이상)·보험 또는 준비금 의무의 이행 자료를 거래소가 제시하지 못하면 의무 위반 판단에 무게가 실릴 수 있다고 봅니다.

한편 이용자가 시드 문구를 부주의하게 노출했거나 명백한 피싱 신호를 무시한 정황이 있으면, 민법 제396조 과실상계가 적용되어 배상액이 감액될 소지가 있습니다. 따라서 보안 권고 준수 여부, 2단계 인증 설정 등 이용자 측 주의 정황도 함께 정리해 두는 것이 실무상 유리합니다.

자주 묻는 질문