서울중앙지방법원 2021. 02. 03. 선고 2019가합515496 판결 손해배상(기)

판결

사건

서울중앙지방법원 2019가합515496 손해배상(기)

원 고

1. A
2. B
3. C
4. D
5. E
6. F

피 고

주식회사 G
소송대리인 법무법인(유한) 충정
담당변호사 조성환, 이태선

변론종결

2021년 01월 13일

판결선고

2021년 02월 03일

주문

1. 피고는 원고 A에게 91,670,589원, 원고 B에게 30,928,205원, 원고 C에게 30,696,050
원, 원고 D에게 31,178,932원, 원고 E에게 25,949,770원, 원고 F에게 61,908,000원
및 위 각 돈에 대하여 2018. 11. 23.부터 2021. 2. 3.까지는 연 5%의, 그 다음날부
터 다 갚는 날까지는 연 12%의 각 비율로 계산한 돈을 각 지급하라.
2. 원고들의 각 나머지 청구를 기각한다.
3. 소송비용은 4분하여 그 3은 원고들이, 나머지는 피고가 각 부담한다.
4. 제1항은 가집행할 수 있다.

이유

1. 기초사실

가. 당사자들의 지위

피고(구 상호 주식회사 H)는 암호화폐 거래소인 I을 운영하면서 암호화폐 매매와 중 개 등의 업무를 하는 회사이고, 원고들은 I을 통하여 암호화폐를 거래하던 사람들이다.

나. 비트코인 오출금 사고의 발생

(1) 원고들은 2018. 11. 22. I에 접속하여 아래 표와 같이 보유하던 비트코인을 타 거 래소로 보내기 위해 피고에게 출금을 요청하였는데, 원고들이 요청한 것과는 다른 주 소로 비트코인이 출금되었다(이하 ‘이 사건 사고’라 한다). 순번 이름 피해 BTC (이체수수료 제외) 거래 시간 1 원고 A

17.76906182 18:22 2 원고 B

5.995 17:25 3 원고 C

5.95 17:32 4 원고 D

6.0436 16:12 5 원고 E

5.03 11:18 6 원고 F 12 02:32

(2) 구체적으로 원고 A는 2018. 11. 22. 18:22경 I에서 타 거래소로 비트코인 17.7690개를 송금하기 위해 주소록에 저장되어 있던 주소(J)를 클 릭 하 여 출 금 요 청을 하였는데, 원고 A가 요청하지 않은 다른 주소(K)로 비트코인이 출금되었고, 피고는 위 원고에게 다른 주소(K)에 대한 출금요청 등록 및 출금 완료 이메일을 보냈다.

(3) 원고 B은 2018. 11. 22. 17:25경 I에서 타 거래소로 비트코인 5.995개(수수료

0.005개 제외)를 송금하기 위해 주소록에 저장되어 있던 주소(L)로 출금요청을 하였 는데, 위 비트코인이 원고 B이 요청하지 않은 다른 주소(M)로 출금되었고, 피고는 위 원고에게 다른 주소(M)에 대한 출금요청 등록 및 출금 완료 이메일을 보냈다.

(4) 원고 C은 2018. 11. 22. 17:32경 I에서 타 거래소로 비트코인 5.95개를 송금하기 위해 기존 송금내역에 있던 주소(N) 로 출금요청을 하였는데, 위 비트코인이 원고 C이 요청하지 않은 다른 주소(O)로 출금되었고, 피고는 위 원고에게 다른 주소(O)에 대한 출 금요청 등록 및 출금 완료 이메일을 보냈다.

(5) 원고 D은 2018. 11. 22. 17:25경 I에서 타 거래소로 비트코인 6.0436개를 송금하 기 위해 주소록에 저장되어 있던 주소(P)로 출금요청을 하였는데, 위 비트코인이 원 고 D이 요청하지 않은 다른 주소(Q)로 출금되었고, 피고는 위 원고에게 다른 주소(Q)에 대한 출금요청 등록 및 출금 완료 이메일을 보냈다.

(6) 원고 E은 2018. 11. 22. 11:18경 I에서 타 거래소로 비트코인 5.03개를 송금하기 위해 주소록에 저장되어 있던 주소(R)로 출금요청을 하였는데, 위 비트코인이 원고 E이 요청하지 않은 다른 주소(S)로 출금되었고, 피고는 위 원고에게 다른 주소(S)에 대한 출금요청 등록 및 출금 완료 이메일을 보냈다.

(7) 원고 F는 2018. 11. 22. 02:32경 I에서 타 거래소로 비트코인 12개를 송금하기 위해 출금 주소(T)를 입력하고 출금요청을 하였는데, 위 비트코인이 원고 F가 요청하제1조 (목적) 이 약관은 주식회사 H(이하 ‘회사’)이 제공하는 I 및 I 관련 제반 서비스의 이용조건 및 절차 에 관한 회사와 회원 간의 권리 의무 및 책임사항, 기타 필요한 사항을 규정함을 목적으로 합니다. 제12조(서비스의 종류)

1. 회사에서 제공하는 서비스에는 암호화폐 거래(판매관련, 구매관련, 거래API제공, 시세 정 보검색 관련 서비스) 서비스, 컨텐츠 서비스(상품권몰, 선불카드) 등이 있습니다. 제18조(거래 서비스 이용제한) 출금 차단 사유 ⑥ 보이스피싱 등의 범죄 또는 금융사고와 관련 있거나 관련성에 합리적인 의심이 드는 경우 제19조 (가상자산 거래 관련 서비스 수수료의 내용) 회사는 구매자/판매자에게 인터넷을 통한 서비스를 제공하는 대가로 수수료를 부과합니다. 수수료는 회사의 홈페이지 이용방법에 명시되어 있으며, 회사 및 시장의 상황에 따라 변경 될 수 있습니다. 제21조(회사의 면책사항 및 손해배상)

1. 회사는 서비스와 관련하여 이 약관에 명시되지 않은 어떠한 사항에 대하여 보증을 하지 않습니다. 또한, 회사는 회사가 발행하거나 지급을 보증하지 아니한 가상자산의 가치를 보증 하지 않습니다.

2. 회사는 천재지변, 디도스(DDos) 공격, IDC장애, 서비스 접속의 폭등으로 인한 서버 다운, 기간통신사업자의 회선 장애 등 기타 불가항력적인 사유로 서비스를 제공할 수 없는 경우에 는 서비스 제공에 관한 책임이 면제됩니다. 다만, 회사의 고의 또는 과실이 있는 경우에는 그러하지 아니합니다.

3. 회사는 블록체인의 문제, 가상자산 발행 관리 시스템 자체의 하자 또는 기술적 문제, 통 신서비스 업체의 불량, 정기적인 서버점검 등으로 인하여 불가피하게 장애가 발생하였을 경 지 않은 다른 주소(U)로 출금되었다.

다. 피고의 약관 내용

이 사건 사고 발생 당시 시행되던 피고의 약관 중 주요 부분은 아래와 같다. 우에 책임을 지지 않습니다. 다만, 회사의 고의 또는 과실에 의한 경우에는 그러하지 아니합 니다.

4. 회사는 회원의 귀책사유로 인한 서비스 이용 장애나 그 결과에 대하여는 책임을 지지 않습니다. 다만, 회사의 고의 또는 과실이 있거나 회원에게 정당한 사유가 있는 경우에는 그 러하지 아니합니다.

5. 회사는 회원간 또는 회원과 제3자 상호간에 서비스를 매개로 하여 거래 등을 한 경우에 는 책임이 면제됩니다. 다만, 회사의 고의 또는 과실이 있는 경우에는 그러하지 아니합니다.

9. 회원이 회사에게 손해배상을 청구할 경우 회사는 회원과 합의하여 회원의 전자지갑으로 가상자산 또는 원화포인트(KRW)를 지급하는 방법으로 회원의 손해를 배상할 수 있습니다.

라. 이 사건 사고 발생 당시 및 이 사건 변론 종결 당시의 비트코인 시가

이 사건 사고가 발생한 2018. 11. 22.경 종가 기준 비트코인 1개(1 BTC)의 시세는 5,159,000원이었는데, 그 이후 비트코인의 시가가 상승하여 이 사건 변론종결일에 가까 운 2020. 11. 24.경 1 BTC의 시세는 21,141,000원이다. [인정 근거 : 일부 다툼 없는 사실, 갑 제1 내지 7, 14호증(가지번호 있는 것은 가지번 호 포함, 이하 같다)의 각 기재, 변론 전체의 취지]

2. 원고들의 주장 요지

가. 손해배상책임의 발생에 관한 주장 요지

피고는 아래와 같이 채무불이행 또는 불법행위를 저질렀으므로, 이 사건 사고에 관 하여 원고들에게 손해를 배상하여야 한다(원고들은 아래 각 청구를 선택적으로 구하고 있다).

① 피고는 I에서 가상화폐 관련 거래 및 입출금 서비스를 제공하는 대가로 수수료를 받고 있으므로, 원고들과 피고 사이에는 I 계정에 보관되어 있는 암호화폐에 대한 유상 임치계약이 체결되었다고 보아야 한다. 그런데 피고는 고객인 원고들이 요청한 출금주소와 실제 출금되는 주소의 일치 여부를 확인하여야 할 계약상의 의무를 부담함에도 이를 해태하였고, 그로 인해 다른 주소로 비트코인이 출금되는 이 사건 사고가 발생하 여 원고들이 손해를 입게 되었다(이하 ‘채무불이행으로 인한 손해배상 주장’이라 한다).

② 피고는 전자상거래에 의한 금융업, 전자지급결제대행업, 선불전자지급수단 발행 및 관리업 등을 목적으로 하고 있고, 금융업과 유사한 서비스를 제공하는 점을 고려할 때 피고에게는 사실상 금융기관에 요구되는 정도와 같은 고도의 보안조치가 요구된다 고 할 것이므로, 피고에게도 전자금융거래법이 유추적용 되어야 한다. 따라서 피고는 전자금융거래가 안전하게 처리될 수 있도록 선관주의의무를 다해야 하고(전자금융거래 법 제21조 제1항), 정보통신망에 침입하여 거짓이나 부정한 방법으로 획득한 접근매체 의 이용으로 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배 상할 책임이 있는데(전자금융거래법 제9조 제1항 제3호), 이 사건 사고는 피고의 관리 영역에서 발생한 것으로 피고의 과실이 존재하므로, 결국 피고는 전자금융거래법 제9 조 제1항 제3호에 의하여 원고들에게 손해를 배상할 책임이 있다(이하 ‘전자금융거래 법 위반 주장’이라 한다).

③ 피고가 I 홈페이지의 전산시스템을 안전하게 구축하고 관리하지 못한 과실로 인 하여 이 사건 사고가 발생하여 원고들이 손해를 입었으므로, 피고는 원고들에게 불법 행위에 의한 손해배상책임을 부담한다(이하 ‘불법행위에 따른 손해배상 주장’이라 한 다).

나. 손해배상책임의 범위에 관한 주장 요지

원고들은 장기투자의 목적으로 암호화폐를 매수하였는데, 이 사건 사고 당시 비트코 인의 시세는 1 BTC당 5,159,000원으로 매우 낮았고 거래량도 최저였음에 반하여, 이가. 오출금 사고 발생 원인이 무엇인지

본 사건의 경우 원고들이 출금 요청을 진행한 순간 모종의 이유로 인해 원고들이 기입한 출금 주소가 전혀 다른 주소로 변조되어 서버로 전송되어 오출금 사고가 발생한 것으로 판 단한다. 출금 주소가 변조된 이유 및 정확한 시점에 대해서는 감정을 진행한 목적물만으로 는 파악이 불가하다. 나. 출금 요청 시 관련 데이터가 암호화되어 피고 회사 서버로 전송되었는지

오출금 사고 발생 당시의 웹 서버 로그를 감정한 결과 출금 요청을 비롯한 모든 통신은 TLS 기술을 통해 암호화된 상태로 피고 회사 서버로 전송되었음을 확인했다. 다. 오출금 사고 당시 피고 회사 서버가 이미 변경된 출금 주소를 수신하였는지

I 홈페이지에서 암호화폐를 출금하는 방법은 출금 주소를 직접 입력하여 출금을 진행하는 방법과 주소록을 이용하여 서버에 저장되어 있는 주소를 불러와서 출금을 진행하는 방법으 로 나누어진다. 구체적인 처리 방식은 두 방식이 상이하지만 큰 관점에서 보면 다음과 같은 사건 변론종결일에 가까운 2020. 11. 24.경에는 1 BTC당 21,141,000원으로 그 시세가 크게 상승하였으므로, 피고는 일반 투자자라면 비트코인의 시세가 매우 낮았던 이 사 건 사고 당시에 굳이 비트코인을 처분하지 않았으리라는 사정과 추후 비트코인의 시세 가 상승하면 그때 비트코인을 처분하리라는 사정을 충분히 알고 있었다고 할 것이므 로, 이 사건 사고 당시의 비트코인 시가에 따라 산정된 손해(통상손해)를 넘어서, 이 사건 사고로 인한 원고들의 특별손해가 인정되어야 하고, 피고는 이 사건 변론종결 당 시의 비트코인 시세를 기준으로 환산한 금액을 원고들에게 배상하여야 한다. 다만 원 고들은 일부 청구로서 청구취지 기재 금액 상당의 손해배상만을 구한다.

3. 손해배상책임의 발생 여부

가. 인정사실

① 감정인 V은 이 사건 사고의 원인 등에 관한 감정보고서를 이 법원에 제출하였는 데, 그 주요 내용은 다음과 같다.방식으로 출금이 진행된다.

1. 출금 주소가 유효한지 검사

2. 출금 주소가 I 내부 주소인지 검사

3. 출금 요청 진행

각 항목은 서버와 통신을 함으로써 진행되며 각 단계는 이전 단계를 문제없이 통과해야 진 행된다. 로그가 남아있는 3명의 원고들의 기록을 감정한 결과 1번과 2번에서 검사를 진행하 는 동안에는 서버에 원고들이 원래 출금하려고 했던 정상적인 주소가 전송되었지만, 3번에 서 실제 출금요청을 하는 경우에 변조된 주소가 서버로 전송되었다. 라. 주소록 기능을 이용하여 출금 요청 시 출금을 요청한 주소와 피고 회사 서버에 저장된 주소록 상의 주소의 일치 여부를 확인하였는지

I 홈페이지에서 주소록 기능을 이용하여 출금 요청을 진행하는 경우에는 크게 다음과 같은 단계를 거친다.

1. 주소록 화면에서 원하는 항목 선택

2. 선택한 항목에 대한 출금 주소를 서버에서 획득

3. 획득한 출금 주소에 대한 유효성 검사

4. 출금 주소가 I 내부 주소인지 검사

5. 출금 요청 진행 주소록에서 주소를 가져온 이후 3번부터는 다.항에서 기술한 것과 동일한 과정으로 진행된다. I 홈페이지 및 웹 서버의 소스코드를 감정한 결과 출금 주소의 검사부터 출금 요청까지의 각 단계는 서로 독립적으로 발생하며 각 단계에서는 이전 단계에서 어떤 출금 주소가 서버로 전송되었는지 알 수 없다. 예를 들어, 3번에서 검사한 출금 주소가 A라고 할 경우 설령 모종 의 이유로 4번에서 B라는 출금 주소가 전송이 되었다고 할 지라도 서버에서는 출금 주소가 바뀌었음을 알지 못하고 B에 대해 검사를 진행하게 된다. 마찬가지로 3번과 4번에서는 모두 A라는 출금 주소를 정상적으로 검사했을지라도 모종의 이유로 실제 출금 요청 단계인 5번에 서 B라는 출금 주소가 전송되었을 경우 서버에서 출금 주소가 바뀌었음을 알지 못하고 B 주 소로 출금 요청을 진행한다. 결 론 유효성 검사는 출금 주소를 I 서버로 전송하여 이루어지며 유효성 검사를 통과하면 실제 출 금 요청을 위해 다시 한번 출금 주소를 I 서버로 전송된다. 이 때, 유효성 검사를 위해 서버 로 전송되는 출금 주소와 실제 출금 요청을 위해 서버로 전송되는 출금 주소가 다를 경우 서 버는 출금 주소가 다르다는 사실을 알지 못하고 출금 요청을 위해 전송된 출금 주소로 출금 요청을 진행한다.

오출금 사고가 발생한 당시의 기록을 종합적으로 판단해본 결과 모종의 이유로 인해 원고들 이 암호화폐 출금 요청을 진행하는 순간 출금 주소가 변경된 것으로 보인다. 자세한 로그 기 록을 확인한 결과 출금 주소의 유효성을 검사할 때는 I 서버로 원고들의 정상적인 출금 주소 가 전송된 것을 확인했지만, 실제 출금 요청 시에는 변조된 출금 주소가 전송되었다. 서버는 출금 주소의 유효성 검사를 위해 전송된 주소와 출금 요청을 위해 전송된 주소가 다르다는 사실을 인지할 수 없기 때문에 마지막에 전송된 변조된 출금 주소로 출금 요청이 진행된 것 으로 보인다.

I 서버는 서비스 사용자 간의 모든 통신을 암호화하는 기술인 TLS를 사용하고 있다. TLS를 적용한 경우, 서버로 어떠한 정보가 전송되기 이전에 정보가 모두 암호화되어 전송되며 암호 화된 데이터는 일반적으로 중간에서 해독하거나 변조할 수 없다. 때문에 출금 요청 시 원고 들의 출금 주소가 변조된 것은 전송이 시작되기 이전이라고 추정할 수 있지만 원고들의 출금 주소가 변조된 정확한 시점 및 원인은 본 감정으로 파악할 수 없었다.

오출금 사고가 발생한 당시 피고 회사에서는 IPS, 방화벽, WAF 등의 보안 장비를 운용 중이 었으며, 이 중 침입탐지시스템인 IPS의 로그 기록을 감정한 결과 지속적인 해킹 시도가 있음 은 파악했지만 이러한 시도는 피고 회사가 운영하는 서비스 특성 상 빈번하게 발생할 수밖에 없으며 이러한 해킹 시도가 출금 주소가 변조된 상황과는 관련이 있다고 보기에는 힘들다고 판단했다. 방화벽과 웹 방화벽인 WAF의 로그 기록을 감정한 결과 역시 오출금 사고와 관련 이 있다고 볼 수 있는 기록을 발견할 수 없었다.

② W 주식회사, 주식회사 X, 주식회사 Y(이하 위 은행들을 지칭할 때 ‘주식회사’ 표 시는 생략한다)은 인터넷 뱅킹 서비스를 이용한 출금 요청이 있을 때, 이체정보 입력 단계(1단계), 이체정보 확인 및 전자서명 단계(2단계), 이체 실행 및 거래 완료 단계(3 단계)를 거쳐 출금을 실행하고 있다.배경

Z회사 AA에서는 2018년 11월 22일 오출금이 발생된 피해자(고객ID : AB)의 두 대 PC와 당 일 웹 서버 로그를 전달받아 8일간 분석을 수행했다. 오출금 발생 상황

피해자의 오출금은 2018년 11월 22일 13시 14분과 16시 48분에 걸쳐 두 차례 발생했으며,

㉠ W의 경우, 고객이 1단계에서 입력한 계좌에 대해 최종 단계까지 그 위, 변조 여 부를 체크하며, 중간단계에서 위 계좌가 변조된 경우에는 이체가 되지 않는다. 특히 고 객이 선택한 계좌를 별도 메모리 영역(세션)에 저장하고, 다음 단계 진행시마다 메모리 영역에 있는 계좌와 거래를 진행하는 계좌를 비교 검증하는 내부 프로그램을 사용하여 위, 변조 여부를 검증하고 있다.

㉡ X의 경우, 입금은행과 입금계좌를 선택한 경우 해당 계좌의 정상 여부를 확인하 고 있으며, 최종 출금하여 입금 처리될 때까지 고객이 요청한 입금계좌와 실제 입금하 려는 계좌가 동일하지 않은 경우에는 해당 거래를 오류 처리하고 있다.

㉢ Y의 경우, 계좌 오출금 방지를 위하여 2단계에서 이체정보를 확인․검증하여 고 객에게 명시하고 있으며, 이체정보 확인(2단계) 후 이체 본거래 진행시(3단계) 마지막 으로 계좌의 정상 여부, 수취 가능 여부 등을 확인하여 고객이 2단계에서 확인한 정보 대로 송금을 완료하고 있다.

이처럼 위 은행들은 내부 프로그램 또는 전산을 통하여 위 1단계에서 고객이 입력한 계좌정보가 3단계에 이르기까지 위, 변조되었는지 여부를 계속 확인하며, 중간단계에서 계좌정보가 변조된 경우에는 해당 거래를 오류처리하고 계좌이체를 실행하지 않고 있다.

③ 피고는 이 사건 사고 발생 이후 주식회사 Z에 의뢰하여 이 사건 사고의 원인 등 에 관한 분석을 받았는데, 그 주요 내용은 다음과 같다.오출금 발생 시 피해자는 두 대의 PC를 각각 이용한 것으로 확인됐다. 두 대의 PC에서 피해 자는 주소록 및 직접 입력(또는 클립보드 복사)을 통해 출금 주소를 입력하고 SMS인증 후 출금을 요청했다. 하지만 최종적으로 서버로 요청된 출금 주소는 변조된 주소였다. 파악된 추가 피해

피해자(고객ID : AB) 이외에도 서버 로그 분석을 통해 총 14건의 오출금이 확인됐다. 다른 피해자들도 동일한 방식으로 오출금이 되었을 것으로 추정된다. 오출금 발생 요청은 윈도우 7, 윈도우10, 맥OS, 리눅스 등 다양한 운영체제를 사용했으며 웹 브라우저도 인터넷 익스플 로러, 크롬, 파이어폭스, 사파리 등 다양했던 것으로 확인됐다. 이러한 점을 볼 때 시스템에 영향을 주는 악성코드보다는 제3자에 의해 웹 사이트 내용을 변조할 수 있는 파일리스 형태 의 JavaScript가 삽입 되었을 가능성이 높아 보인다. 오출금 원인 파악

확보된 두 PC를 포렌식 분석한 결과 오출금에 영향을 줄만한 악성코드 및 그 흔적 등은 발견되지 않았다. 다만 파일 저장 없이 메모리상에서만 동작하는 파일리스 유형의 악성코드 였다면 당시 메모리 및 관련 로그가 확보되지 않았기 때문에 그 흔적은 남지 않았을 가능성 이 높다. 추정 의견

본 분석에서는 오출금을 유발할 수 있는 악성코드에 대한 명확한 흔적이 나오지 않아 오출 금을 유발할 수 있는 6가지 시나리오를 설정하고 분석했다. 현재까지 분석 및 파악 가능한 정보를 토대로 판단한 의견은 다음과 같다.

6가지 시나리오 중 시나리오 3이 가장 유력한 것으로 판단한다. 공격 방법, 공격 시점, 지 갑 활용 방법 등이 11월 3일 발생한 AC 거래소의 (인터넷주소 1 생략) 스크립트 변조 사건 과 유사한 점으로 미루어 I이 직접 인용 또는 사용했던 특정 불가한 외부 웹 사이트의 소스 코드가 변조됐을 가능성이 가장 높을 것으로 판단하나, 특이사항은 발견되지 않았다. Ÿ 시나리오 1 : 사용자 PC가 악성코드에 감염됐다. Ÿ 시나리오 2 : I에서 운영하는 웹 소스코드가 변조됐다. Ÿ 시나리오 3 : I이 직접 인용 또는 사용한 외부 불특정 웹 사이트의 소스코드가 변조됐다. Ÿ 시나리오 4 : I과 관련 없는 외부 웹 사이트의 웹 소스코드가 변조됐다. Ÿ 시나리오 5 : Cross Site Scripting / Cross Site Request Forgery 유형의 공격이었다. Ÿ 시나리오 6 : 네트워크 패킷이 변조됐다.

④ 한편 이 사건 사고 발생 당시 피고는 주식회사 Z에서 개발한 「AD」 보안프로그램 을 이용자들에게 제공하였고, 이 사건 사고 발생 당시에도 원고들의 컴퓨터에서 위 프 로그램이 작동되고 있었는데, 위 보안프로그램은 온라인 키보드 보안, 악성코드 탐지, 네트워크 보호, 콘텐츠 위·변조 방지, 해킹 방지 등을 목적으로 하여 개발된 프로그램 이었다.

⑤ 원고들은 이 사건 사고 발생 후 피고 콜센터 내지 피고 홈페이지 게시판을 통하 여 오출금으로 인한 피해를 문의하였는데, 피고 측은 ‘오늘 새벽부터 동일한 사례가 계 속 발생하고 있어 회사 측에서 원인을 파악 중이니 조금 기다려 달라’는 취지로 답변 을 하였고, 그 이후 원고 A가 2018. 11. 23. 12:36경 피고 콜센터에 전화하였는데, 피 고 측 상담원은 ‘I에서 공식적으로 잘못했다고 하기 좀 그렇기는 한데, 어쨌든 원인은 저희가 맞습니다’, ‘주소입력이 갑자기 바뀌는 거에 대해서 말씀드렸던 거고요. 그 부분 은 회원님의 어떤 실수나 잘못이 아닙니다. 걱정하실 필요 없습니다’라고 말하면서 원 고 A에게 오출금된 비트코인을 반환하여 주겠다는 취지로 안내하였다. [인정 근거 : 갑 제10호증, 을 제1, 2호증의 각 기재, 이 법원의 W, Y, X에 대한 각 사 실조회 결과, 감정인 V의 감정 결과, 변론 전체의 취지]

나. 채무불이행으로 인한 손해배상 주장에 관한 판단

(1) 위 인정사실에 의하면, 원고들과 피고 사이에 원고들 명의의 I 계정에 보관되어 있는 암호화폐에 대한 유상임치계약이 체결되었다고 보아야 하고, 그 계약에 따라 피 고가 원고들에게 제공하는 서비스 내용 중에는 위 계정을 이용하여 비트코인 등 암호 화폐를 매도․매수하는 것 이외에 위 계정에 보관 중인 암호화폐를 다른 계정으로 이동시키는 등의 거래도 포함된다고 보아야 한다.

(2) 앞서 인정한 사실관계에 비추어 알 수 있는 다음과 같은 이유들을 종합하면, 원 고들이 자신의 계정에 보관하고 있던 암호화폐를 원고들이 지정한 다른 계정으로 이동 시키는 거래를 하기 위하여 피고가 운영하는 온라인 서비스를 통하여 청약을 한 경우, 이러한 요청을 받은 피고로서는 보안 프로그램 등을 통하여 원고들이 요청한 주소와 실제 출금이 이루어지는 주소의 동일성을 확인하여 악성 코드 또는 해킹 등 만일의 사 태로 인하여 원고들이 요청한 주소와 다른 주소로 출금이 이루어지는 것을 방지하여야 할 주의의무를 부담한다고 보아야 한다.

㈎ 원고들과 피고 사이에 적용되는 약관에 의하면, 피고가 제공하는 서비스 중 하 나로 암호화폐 거래 서비스(판매 관련, 구매관련 거래 API 제공 등)를 명시하고 있고, 이 사건 사고에서 문제된 원고들이 자신의 계정에 보관하고 있던 암호화폐를 다른 주 소로 이동시키는 것도 이러한 ‘암호화폐 거래 서비스’ 중의 하나임이 명백하므로, 피고 로서는 원고들이 출금을 요청한 주소로 출금이 이루어지도록 해야만, 위 계약에 따른 채무의 내용에 좇은 이행을 하였다고 볼 수 있고, 이러한 출금 요청과 출금 절차가 온 라인 서비스를 통하여 이루어지는 경우라 하더라도 원고들이 요청한 주소로 출금이 이 루어지도록 해야할 계약상 의무의 내용이 달라진다고 보기 어렵다.

㈏ 피고는 자신과 계약에 따라 암호화폐 거래를 하는 이용자들을 위하여 「AD」 보 안프로그램을 제공하였고, 실제 원고들이 이 사건 사고 당시 거래를 함에 있어서도 원 고들 컴퓨터에서 위 프로그램이 작동 중이었는데, 위 프로그램은 온라인 키보드 보안, 악성코드 탐지, 네트워크 보호, 콘텐츠 위·변조 방지, 해킹 방지 등을 목적으로 하여 개 발된 프로그램으로서, 피고가 이용자들이 암호화폐 거래를 함에 있어서 위 프로그램이작동되도록 한 것은, 앞서 본 바와 같이 원고들이 요청한 출금 주소와 동일한 주소로 출금 요청이 이루어지도록 하기 위한 목적도 포함되는 것으로 보아야 하고, 피고도 이 러한 계약상 의무가 있음을 전제로 위와 같은 보안 프로그램을 제공한 것으로 봄이 타 당하다.

㈐ 피고가 취급하는 암호화폐 거래가 은행 등 일반적인 금융기관이 취급하는 업무 와의 차이점 등으로 인하여 전자금융거래법 적용 여부에 있어서 일부 차이가 있다 하 더라도, 은행 등 일반적인 금융기관이 취급하는 예금을 다른 계좌에 이체하는 거래와 피고가 취급하는 암호화폐 출금 거래는 모두 임치계약에 따라 보관 중인 임치물을 임 치인의 요청에 따라 다른 계좌로 이동시키는 것으로서, 온라인에서 이러한 거래가 이 루어질 경우 수치인의 계약상 주의의무가 본질적으로 다르다고 보기 어렵다. 그런데 W, X, Y 등 여러 시중 은행들이 제공하는 인터넷 뱅킹에 있어서는 내부 프로그램 또 는 전산을 통하여 최초에 고객이 입력한 계좌정보가 이체완료 단계에 이르기까지 위, 변조되었는지 여부를 계속 확인하며, 중간단계에서 계좌정보가 변조된 경우에는 해당 거래를 오류처리하고 계좌이체를 실행하지 않도록 하고 있는데, 이러한 사정에 비추어 보더라도 피고는 온라인상으로 이루어지는 암호화폐 출금 거래에 있어서 이용자가 요 청한 출금 주소와 실제 피고 서버에 전송되는 출금 주소의 동일성을 확인할 의무를 부 담한다고 봄이 타당하다.

(3) 이 사건 사고에 관하여 보건대, 이 사건 사고는 피고가 원고들의 출금 요청을 처 리하는 과정에서 앞서 본 바와 같이 원고들이 요청한 출금 주소와 실제 피고 서버에 전송되는 출금 주소의 동일성을 확인할 의무를 다하지 아니한 것으로서, 피고는 이 사 건 사고로 인하여 발생한 손해를 배상할 책임을 진다고 보아야 한다. ㈎ 앞서 본 감정인 V의 감정결과에 의하면, 피고는 출금 거래 과정에서 출금 주소 가 유효한지 검사하고(1단계), 출금 주소가 I 내부 주소인지 검사하며(2단계), 출금을 진행하게 되는데(3단계) 1, 2단계에서는 서버에 원고들이 원래 출금하려고 했던 정상적 인 주소가 전송되었지만, 3번에서 실제 출금을 하는 경우에 변조된 주소가 서버로 전 송되었다. 그런데 이러한 3단계의 과정은 모두 거래의 안전성을 확보하기 위하여 이루 어지는 것으로서, 설령 1, 2단계에서 피고가 원고들이 요청한 출금 주소와 동일성을 확 인했다거나 또는 3단계 출금 요청 과정에서 암호화 통신이 사용되었다 하더라도, 3단 계에서 실제로 피고에게 출금 명령이 이루어지는 과정에서 당초 원고들이 요청한 출금 주소와의 동일성을 확인하지 아니한 결과 변조된 주소로 출금 요청이 이루어졌다면, 피고가 앞서 본 유상임치계약상의 주의의무를 다하였다고 보기 어렵다.

㈏ 이 사건 사고에서 출금 요청 과정에서 변조된 주소가 전송되게 된 원인에 관하 여는 구체적으로 밝혀지지 아니하였으나, 앞서 본 바와 같이 3단계 출금 요청 과정에 서 변조된 주소가 피고 서버에 전송된 결과 원고들이 요청한 주소와 달리 변조된 주소 로 실제 출금이 이루어진 것으로 보이는데, 이와 유사한 경우 다른 금융기관이 제공하 는 인터넷 뱅킹에서는 거래 자체를 거절되도록 하고 있으므로, 피고가 다른 은행 등과 같은 보안 시스템을 구축하여 출금 요청 단계에서 원고들이 요청한 출금 주소와의 동 일성을 확인하도록 하는 것이 기술적으로 불가능하다고 볼 수도 없다.

㈐ 피고의 약관 제21조 제2, 3항는 피고가 책임질 수 없는 불가항력인 사유로 발생 한 사고의 경우 피고가 면책된다고 정하고 있기는 하나, 원고들이 사용했던 컴퓨터 2 대를 포렌식 분석한 결과 오출금에 영향을 줄만한 악성코드 및 그 흔적 등이 발견되지 않았고, 이 사건 사고 당시 원고들의 접속지역이 달랐고, 컴퓨터 운영체제 또한 다양했는바, 원고들의 공통된 귀책사유가 존재한다고 볼 만한 뚜렷한 근거가 발견되지도 아 니하였을 뿐만 아니라 이 사건 사고 발생 이후 피고가 원고들의 문의에 관하여 피고의 책임을 인정하는 취지로 안내하기도 하였던 점을 고려하면, 이 사건 사고가 피고가 책 임질 수 없는 불가항력적인 사유로 발생하였다고 보기도 어렵다.

다. 소결론

따라서 피고는 원고들에게 채무불이행으로 인한 손해를 배상하여야 한다(원고들의 이 부분 주장을 인용하므로, 전자금융거래법 위반 주장 및 불법행위에 따른 손해배상 주장에 관하여는 따로 판단하지 않는다).

4. 손해배상책임의 범위

가. 특별손해 인정 여부

(1) 원고들은 피고가 비트코인의 시세가 매우 낮았던 이 사건 사고 당시에 원고들이 비트코인을 처분하지 않았으리라는 사정과 추후 비트코인의 시세가 상승하면 그때 비 트코인을 처분하리라는 사정을 충분히 알고 있었다고 할 것이므로, 이 사건 사고로 인 한 원고들의 특별손해가 인정되어야 하고, 피고는 이 사건 변론종결 당시의 비트코인 시세를 기준으로 환산한 금액을 원고들에게 배상하여야 한다고 주장한다.

(2) 증권회사가 고객 소유의 주식을 위법하게 처분한 불법행위로 인하여 고객이 입 게 된 손해의 액은 처분 당시의 주식의 시가를 기준으로 결정하여야 하고 그 후 주식 의 가격이 올랐다고 하더라도 그로 인한 손해는 특별한 사정으로 인한 것이어서 증권 회사가 주식을 처분할 때 그와 같은 특별한 사정을 알았거나 알 수 있었고, 또 고객이 주식의 가격이 올랐을 때 주식을 매도하여 그로 인한 이익을 확실히 취득할 수 있었던 경우에 한하여 고객은 그와 같이 오른 가격에 의한 손해배상을 청구할 수 있다고 할것인바(대법원 1993. 9. 28. 선고 93다26618 판결, 대법원 1995. 10. 12. 선고 94다 16786 판결 등 참조), 주식과 같이 시세의 변동이 잦은 암호화폐의 위법한 처분, 오출 금 등으로 인한 손해를 산정할 때에도 특별한 사정이 없는 한 위와 같은 법리가 적용 된다고 봄이 상당하다.

(3) 그런데 원고들이 제출한 증거들만으로는 피고가 이 사건 사고 당시 비트코인의 가격 상승을 알 수 있었다거나, 원고들이 그 이후 비트코인의 가격이 오르고 이를 처 분하여 그 시세차익에 관한 이익을 확실히 취득할 수 있었다고 인정하기 어려우므로, 원고들의 이 부분 주장은 이유 없다.

나. 구체적 손해액 산정

따라서 피고가 부담하는 손해는 통상손해로서, 그 구체적인 배상액은 이 사건 사고 당시의 비트코인 시가를 기준으로 산정되어야 하는바, 이 사건 사고가 발생한 2018.

11. 22.경 종가 기준 비트코인 1개의 시가가 5,159,000원이었던 사실은 앞서 본 바와 같고, 이에 따른 피고의 손해배상액을 계산하면 아래 표와 같다. 순번 이름 피해 BTC (이체수수료 제외) 손해배상액 (원 미만 버림) 1 원고 A

17.76906182 91,670,589원 2 원고 B

5.995 30,928,205원 3 원고 C

5.95 30,696,050원 4 원고 D

6.0436 31,178,932원 5 원고 E

5.03 25,949,770원 6 원고 F 12 61,908,000원

다. 피고의 책임제한 주장

(1) 한편 피고는, 이 사건 사고가 원고들이 가상화폐 출금 진행에 있어 변조된 계좌 를 전송하여 야기되었고, 특히 원고 C 및 F의 경우 피고가 제공한 주소록 기능을 이용한 것이 아니라 자신들이 직접 주소를 복사 및 붙여넣기 등을 하여 이 사건 사고가 발 생한 것인바, 위 원고들의 과실은 다른 원고들의 과실보다 정도에 있어 그 비율이 더 높다고 볼 수 있으므로, 원고들의 개별적인 과실이 손해배상의 구체적인 책임비율을 정함에 고려되어야 한다고 주장한다.

(2) 그러나 앞서 본 바와 같이 ① 원고들 중 1인이 이 사건 당시 출금 요청 및 완료 과정을 녹화한 동영상에 의하면, 출금요청 완료 페이지로 넘어가기 전까지 주소 란에 최초에 출금 요청한 올바른 주소가 나타나는 등 아무 이상이 발견되지 않아서 이 사건 사고를 원고들의 실수 등에 의한 것이라고도 볼 수 없는 점, ② 주식회사 Z이 작성한 보고서에 따르면. 원고들이 사용했던 컴퓨터 2대를 포렌식 분석한 결과 오출금에 영향 을 줄만한 악성코드 및 그 흔적 등이 발견되지 않았던 점, ③ 원고들은 이 사건 사고 당시 접속지역이 달랐고, 컴퓨터 운영체제 또한 다양했는바, 원고들의 귀책사유가 존재 한다고 볼 만한 뚜렷한 근거가 발견되지도 않는 점, ④ 원고 C과 F가 출금요청한 계좌 주소(원고 C N, 원고 F T)와 실제로 오출금이 된 계좌 주소(원고 C O, 원고 F U)는 크게 상이하여, 위 원고들이 실수로 중간에 잘못된 주소를 입력하였다는 등의 잘못이 있다고도 보기 어려운 점 등에 비추어 보면, 원고들에게 이 사건 사고에 관한 책임이 있다고 볼 수 없으므로, 이와 다른 전제에 선 피고의 위 주장은 받아들이기 어렵다.

라. 소결론

따라서 피고는 원고 A에게 91,670,589원, 원고 B에게 30,928,205원, 원고 C에게 30,696,050원, 원고 D에게 31,178,932원, 원고 E에게 25,949,770원, 원고 F에게 61,908,000원 및 위 각 돈에 대하여 2018. 11. 23.부터(갑 제10, 12호증의 각 기재에 의하면, 원고들은 이 사건 사고 직후 비트코인의 반환을 피고에게 요구하였던 것으로보이므로, 지연손해금 기산일은 이 사건 사고일 다음날로 인정한다) 피고가 이행의무의 존부 및 범위에 관하여 항쟁함이 상당한 이 판결 선고일인 2021.

2. 3.까지는 민법 소정의 연 5%의, 그 다음날부터 다 갚는 날까지는 「소송촉진 등에 관한 특례법」 소정의 연 12%의 각 비율로 계산한 지연손해금을 각 지급할 의무가 있 다.

5. 결론

그렇다면 원고들의 각 청구는 위 인정 범위 내에서 이유 있어 이를 인용하고, 나머지 각 청구는 이유 없어 이를 기각하기로 하여 주문과 같이 판결한다.

판사 민성철 천무환 강면구

Scroll to Top