두나무가 운영하는 가상자산 거래소 업비트. [두나무 제공]


가상자산거래소 업비트 해킹 사태로 일부 이용자 피해가 발생하면서 금융당국의 제재 여부에 관심이 쏠린다. 특히 가상자산이용자보호법 시행 후 첫 대규모 해킹 사례라는 점에서 더 주목된다.
법조계의 전망도 엇갈리고 있어 예측이 쉽지 않다는 평가다. 다만, 조사 과정에서 사전 대응에 소홀했던 정황이 발견된다면 ‘1호 제재 사례’가 불가피할 전망이다.
2일 금융투자·법조계에 따르면 현장 조사를 마친 당국은 업비트를 운영하 사이다쿨접속방법 는 두나무에 대해 특정금융정보법(특금법), 정보통신망법, 가상자산이용자보호법, 개인정보보호법 등 4개 법 중심으로 위반 여부를 들여다볼 것으로 관측된다.
특금법과 정보통신망법상 위반 여부는 통상 해킹 피해 발생 시 기준이 적용된다. 금감원은 특금법에 따라 의심거래보고(STR), 고액현금거래보고(CTR), 고객확인(KYC) 등을 사전에 준수 릴박스 했는지 살펴본다. 한국인터넷진흥원(KISA)은 정보통신망법에 따라 두나무가 정보보호 인증체계(ISMS)를 갖추고 보호조치를 했는지 따진다.
이규철 법무법인 바른 변호사는 “(두나무가) 특금법상 보호조치 의무 위반 사실이 없는지, 시행령에 있는 분별 관리 의무의 요건을 갖췄는지가 관건”이라면서 “전자금융거래법상으로도 보호 조치 의무를 구축해 황금성오락실 야 하는 만큼 주의 의무를 준수했는지, 시스템 안정을 구축했는지가 우선 금감원 검사를 통해서 밝혀져야 할 사안”이라고 설명했다.
다만 특금법과 정보통신망법 위반으로 보기는 어렵다는 게 법조계 대체적인 진단이다. 두나무는 가상자산사업자(VASP) 요건을 갖춘 사업자인 데다 해킹 사실 발견 직후 금감원과 한국인터넷진흥원에 신고 대응을 했기 때 릴게임모바일 문이다. 해킹 피해 책임에 대해 두 법을 근거로 책임을 묻는 경우도 드물었다.
한 금융전문 변호사는 “해킹을 특금법, 정보통신망법상 문제로 처벌하기는 어렵다”며 “실질적으로 법적 책임은 크게 없어 보인다”고 했다. 김익현 법무법인 율촌 변호사도 “운영상 과실이나 결함이 발생했다면 특금법상 책임이 불가피하다”면서도 “업비트는 알려진 바로 최 바다이야기게임장 고 수준의 보안을 유지하는 회사인 만큼 쉽지 않을 것 같다”고 했다. 황석진 동국대학교 교수는 “정보통신망법상 기업은 관리적, 물리적 기술적인 보완 조치를 하라고 명시됐다”며 “이를 게을리했다면 책임을 물을 수 있지만 지금까지 이를 토대로 책임을 물은 적은 거의 없다”고 설명했다.
지난해 시행된 가상자산이용자보호법상 이상거래탐지의무(FDS) 위반 여부를 둘러싸고는 견해가 엇갈린다. 이상거래탐지 위반으로 간주하고 처벌 가능하다는 의견과 해당 조항이 시장 교란 행위에 초점을 둔만큼 적용하기 어렵다는 해석이 나온다. FDS에 따르면 가상자산사업자는 가상자산의 가격이나 거래량이 비정상적으로 변동하는 거래 등 이상 거래를 상시 감시하고 이용자 보호 및 건전한 거래 질서 유지를 위해 조치해야 한다. 소홀한 가상자산사업자에게 시정명령, 경고, 주의, 영업 일부 또는 전부 정지 등 징계처분 및 임직원에 대한 해임권고, 직무정지 등을 내릴 수 있다.
한 금융전문 변호사는 “업비트는 해킹 정황을 발견하고 신속하게 거래를 차단함으로써 고객들의 자산 피해를 막아야 할 의무가 있다”며 “귀책사유를 살펴야겠지만 결과적으로 고객의 자산이 해킹으로 유출되는 사태를 막지 못한 것으로 보인다. 감독기관이 징계처분 또는 과태료 처분을 검토할 수 있는 사안”이라고 평가했다. 반면 황 교수는 “가상 이용자 보호법에 있는 이상거래 모니터링은 시장질서 교란 행위에 좀 포커스가 많이 맞춰져 있다”며 “주의 의무를 게을리했다고 보는 데 한계가 있다”고 내다봤다. 유동현 기자