거래소 해킹이나 전산장애로 손실을 봤는데 배상받을 수 있나요

해킹 사고에서 거래소의 입증 책임은 무엇인가요

가상자산이용자보호법 제8조는 거래소가 면책되려면 이용자의 고의·중과실을 거래소가 입증해야 한다고 규정합니다. 즉 입증 책임의 전환이 이루어진 구조로 이용자에게 매우 유리합니다. 거래소가 비밀번호 유출·피싱을 주장하더라도 그 원인이 이용자에게 있다는 점을 거래소가 구체적으로 입증해야 합니다.

전산장애로 매도 못한 손실도 청구 대상인가요

거래소 시스템 장애로 매도·출금이 불가능했고 그 기간 시세가 급락했다면, 민법 제390조 채무불이행과 가상자산이용자보호법 제8조 책임이 함께 인정될 수 있습니다. 손해는 장애 직전 시세와 정상화 후 시세의 차액으로 산정합니다. 거래소 약관에 면책 조항이 있어도 약관규제법 제6조의 신의칙 위반으로 무효가 될 가능성이 큽니다.

콜드월렛 보관 비율 미충족이 손해배상에 어떤 영향을 주나요

가상자산이용자보호법 제7조는 가상자산의 80% 이상을 콜드월렛에 보관할 의무를 규정합니다. 거래소가 이 비율을 충족하지 못한 상태에서 핫월렛 해킹이 발생했다면 거래소의 주의의무 위반이 명백히 인정되어 면책 주장이 사실상 차단되고, 손해배상 책임 범위가 사고 직전 시가 전액으로 확장됩니다.

보험·준비금 적립이 없는 거래소의 책임은 어떻게 다른가요

가상자산이용자보호법 제8조 제3항은 거래소에 보험 가입 또는 준비금 적립 의무를 부과합니다. 의무를 이행하지 않은 거래소가 해킹으로 책임을 지더라도 지급 능력이 없으면 회수가 어렵습니다. 이 경우 거래소 임원의 개인 책임 추궁(형법 제356조 업무상 배임)과 모회사·관계사로의 책임 확장이 회수의 관건이 됩니다.

해킹 손해 산정의 기준 시점은 언제인가요

사고 직전 시가가 기본 기준이지만, 사고 후 시세가 회복되었고 이용자가 재매수 의사가 있었다는 정황이 있으면 회복 후 시세까지 청구할 여지가 있습니다. 반대로 사고 후 시세가 더 하락했다면 사고 직전 시가가 기준이 됩니다. 거래소 지연이자(상사법정이율 연 6%)도 별도 청구 가능합니다.

실제 사례

최근 의뢰인 P씨는 국내 거래소 Q에서 보유 중이던 약 1억 8천만 원 상당의 알트코인 포트폴리오가 핫월렛 해킹으로 외부 지갑으로 유출되는 피해를 겪었습니다. 거래소는 '이용자 API 키 유출이 원인 가능성'을 주장했으나, 가상자산이용자보호법 제8조의 입증 책임 규정에 따라 거래소가 그 원인을 구체적으로 입증하지 못했고, 콜드월렛 보관 비율도 사고 시점 65% 수준에 그쳤던 점이 확인되었습니다. 서울중앙지방법원은 사고 직전 시가 전액과 사고 후 30일 평균 시세 회복분 약 12%를 더한 금액의 배상을 명령했고, 거래소는 이후 보험 가입을 확대했습니다. 비슷한 취지의 판결이 다수 축적되어 거래소들이 합의에 적극 응하는 흐름입니다.

대응 전략

① 사고 인지 즉시 거래 내역·로그인 기록·지갑 주소·거래소 공지를 캡처해 보존합니다. ② 거래소 약관·보안 공지·보험 가입 여부를 확보해 입증 자료로 활용합니다. ③ 가상 자산이용자보호법 제8조와 민법 제390조를 근거로 내용증명을 보내 손해배상을 청구 합니다. ④ 14일 내 회신이 없거나 거부되면 지방법원에 손해배상 본안과 거래소 자산 가압류를 동시 진행합니다. ⑤ 금감원 가상자산 감독국·FIU에 행정 민원을 병행해 압박을 강화합니다.

변호사 상세 검토

거래소 해킹 사건은 가상자산이용자보호법 시행 이후 이용자 승소율이 급격히 올라간 분야입니다. 입증 책임이 거래소로 넘어간 점이 결정적이고, 콜드월렛 비율·보험 가입 같은 정량적 의무가 명문화되어 거래소가 면책 주장하기가 매우 어려워졌습니다. 다만 이용자 입장에서 자료 보존이 늦으면 거래소가 로그를 자체 삭제하는 경우가 있어 사고 직후 14일이 골든타임입니다. 또한 거래소 보험·준비금이 부족해 회수가 어려운 경우 임원 개인책임과 모회사 책임 확장으로 회수 폭을 넓히는 전략이 점점 자주 쓰이고 있습니다. 참고로 저는 가상자산범죄 수사·자금세탁방지(AML) 관련 실무 자격을 별도로 취득해 두었고, 블로그 본문에 첨부된 자격증 몽타주가 그 증빙입니다.

자주 묻는 질문