거래소는 어떤 보안 의무를 지나요

가상자산이용자보호법 제8조는 사업자에게 핫월렛 비중 제한, 콜드월렛 보관, 해킹 대비 보험 가입 등 보안 의무를 정합니다. 전자금융거래법 제9조도 사업자가 안전성 확보 조치를 다하지 않은 경우 손해배상 책임을 지도록 정하고 있어, 거래소 의무 이행 여부가 책임 판단의 핵심입니다.

이용자에게 책임이 있는 경우는 무엇인가요

비밀번호 유출, OTP 노출, 피싱 사이트 접속 같은 이용자 과실이 사고 원인이라면 거래소 책임이 제한됩니다. 다만 2단계 인증을 정상 사용 중이었다면 거래소의 보안 미흡으로 평가될 가능성이 높아, 사고 경위 파악이 결정적입니다.

배상 청구는 어떤 절차로 하나요

거래소에 사고 통지와 거래내역 보전을 즉시 요구한 뒤, 손해배상 청구 소송을 제기합니다. 동시에 금융감독원 분쟁조정과 한국소비자원 분쟁조정을 병행하면 거래소가 조기 합의에 응하는 경우가 많습니다. 수사기관 신고로 형사 절차도 함께 진행합니다.

해킹범 자체는 어떻게 추적하나요

거래소가 보유한 출금 지갑 주소를 토대로 블록체인 추적과 다른 거래소 입금 지점 확인이 가능합니다. 거래소가 신속히 자금 동결과 추적을 요청하면 회수 가능성이 올라가지만, 시간이 지나면 믹서를 거쳐 어려워지므로 사고 직후 24시간이 핵심입니다.

가상자산이용자보호법은 어떤 보호를 추가했나요

2024년 7월 시행 가상자산이용자보호법은 이용자 예치금 분리보관과 해킹 보험 가입을 의무화해, 사고 발생 시 보험금으로 일부 보전이 가능해졌습니다. 사업자가 보험 가입과 보고 의무를 준수했는지가 사후 책임 판단에서 핵심 쟁점이 됩니다.

실제 사례

최근 의뢰인 M씨는 어느 새벽 거래소 잔액 약 1억 원 상당의 코인이 본인이 모르는 지갑으로 출금된 사실을 확인했습니다. 본인 OTP·비밀번호 노출 정황이 없었고 2단계 인증이 정상 작동 중이었습니다. 변호사 조력으로 거래소에 사고 통지와 보안 로그 보전을 요청했고, 금감원 분쟁조정과 동시에 손해배상 소송을 제기했습니다. 거래소의 보안 의무 위반이 일부 인정되어 합의로 마무리되었습니다.

대응 전략

① 사고 인지 즉시 거래소에 통지하고 거래·보안 로그 보전을 요청합니다. ② 본인 단말기 점검·OTP 사용 이력으로 이용자 과실 여부를 객관적으로 정리합니다. ③ 금융감독원 분쟁조정·한국소비자원 분쟁조정을 병행해 거래소를 압박합니다. ④ 손해배상 소송과 형사 절차를 동시에 진행해 회수 경로를 다중화합니다.

변호사 상세 검토

실무에서 보면 거래소 해킹 사건은 사고 원인이 거래소 보안 미흡인지 이용자 과실인지에 따라 책임 판단이 완전히 갈립니다. 따라서 사고 직후 본인 단말기와 OTP·비밀번호 사용 이력을 객관적으로 정리해 두는 것이 가장 중요한 첫 단계입니다. 2024년 시행된 가상자산이용자보호법 이후 거래소의 보안 의무가 훨씬 명확해져, 핫월렛 비중 초과나 해킹 보험 미가입 같은 사정이 확인되면 사업자 책임이 인정되기 쉬워졌습니다. 또한 거래소가 사고 통지와 출금 동결 협조를 빠르게 하지 않은 경우 사후 손해 확대 책임도 함께 물을 수 있어, 통지 시점의 거래소 대응을 기록으로 남기는 것이 결정적입니다.

자주 묻는 질문