스마트 컨트랙트 해킹 피해, 손해배상 책임은 누구에게 있는가

DeFi 프로토콜의 컨트랙트 취약점 공격으로 예치금 수십억이 단 몇 블록 만에 사라집니다. 피해자 입장에서 첫 번째 질문은 “누구에게 돈을 받아야 하나”입니다. 개발팀은 해외에 있고, 해커는 믹서를 거쳤으며, 감사업체는 책임 회피 조항을 들고 나옵니다. 민상빈 변호사가 책임 구성 경로 3가지를 정리합니다.

경로 1 — 개발팀·재단 상대 책임 구성

프로토콜 운영 주체(재단 또는 Labs 법인)는 이용자 자금을 수탁하는 구조일 때 선관주의 의무를 부담합니다. 취약점이 이미 공개되었거나 감사 리포트에서 지적된 항목이 방치됐다면 과실 구성이 명확해집니다.

핵심은 ‘충분한 주의를 다했는지’입니다. 내부 보안 테스트 기록, 버그 바운티 운영 여부, 취약점 신고 대응 속도가 증거로 중요합니다. 재단이 해외 법인이라도 한국어 문서·한국 투자자 모집이 확인되면 국내 관할이 인정될 수 있습니다.

경로 2 — 감사업체에 대한 책임 추궁

CertiK·PeckShield 등 감사 리포트가 첨부된 프로토콜에서 해킹이 발생한 경우, 감사업체 계약 책임을 다툴 수 있습니다. 단, 감사 계약의 당사자는 보통 프로젝트 팀이지 일반 투자자가 아닙니다.

따라서 제3자 보호효 이론을 활용해 감사 리포트를 신뢰한 투자자도 보호 범위에 포함된다는 논리를 구성합니다. 감사 리포트에 명시적 면책 문구가 있어도 약관 규제법 제7조·제8조에 따라 일방적 면책 조항의 효력을 다툴 여지가 있습니다.

감사 범위 vs 실제 해킹 벡터 대조

리포트가 커버한 함수와 실제 공격이 발생한 함수가 다르면 감사 책임은 줄어듭니다. 그러나 리포트가 경고한 취약점이 수정되지 않은 채 배포된 것이라면 개발팀 과실이 명확해집니다.

경로 3 — 거래소 공동 책임

해커가 탈취 자금을 국내 거래소로 입금해 원화로 환전하는 순간, 거래소의 의심거래 모니터링 의무 위반이 쟁점이 됩니다. 특정금융정보법 제4조의2는 의심거래 보고 의무를 규정하며, 가상자산이용자보호법 제19조는 이용자 보호 의무를 강화했습니다.

체인 분석으로 해커 지갑이 특정된 시점 이후에도 거래소가 입금을 받아 환전까지 허용했다면 과실 구성이 가능합니다. 민상빈 변호사 및 전담팀은 체인 분석 리포트와 거래소 공지 타임라인을 대조해 입증 구조를 설계합니다. 상세 업무는 암호화폐 법률 서비스에서 확인할 수 있습니다.

증거 보전 — 포렌식 체크리스트

해킹 트랜잭션 해시, 관련 컨트랙트 주소, 공격 시점 TVL 스냅샷, 프로젝트 팀 공지문, 감사 리포트 원본, 피해 지갑 주소 전체를 확보해야 합니다. 포렌식 보전 절차는 해커의 후속 자산 이동을 실시간 트래킹하는 지갑 모니터링 설정과 병행됩니다.

정리 — 변호사의 조언

Q. 팀이 “코드는 법이다(Code is Law)”라며 책임을 부인합니다.
한국 법원에서 해당 논리는 면책 근거로 인정되지 않습니다. 민법 선관주의 의무는 약관 문구로 배제되지 않습니다.

Q. 해커가 먼저 잡혀야 배상이 되나요?
아닙니다. 프로토콜 팀·감사업체·거래소 각각에 대한 민사 청구는 해커 검거와 독립적으로 진행됩니다.

Q. 소송 외 합의 가능성은?
규모가 큰 해킹은 팀이 자발적 배상 기금을 조성하는 사례가 있습니다. 법적 청구 준비가 협상력을 결정합니다.

Q. 블록체인 전문 변호사를 왜 선임해야 합니까?
컨트랙트 분석·체인 추적·국제 공조가 한 사건에서 동시에 요구되기 때문입니다. 민상빈 변호사의 Binance·IBM·Saylor 블록체인 전문과정 이수 이력은 기술 인증에서 확인할 수 있습니다. 초기 검토는 상담 신청에서 가능합니다.