이 기사는 2023년 07월 14일 15:52 thebell 에 표출된 기사입니다.

#. 2018년 6월 가상자산거래소 코인레일(운영사 리너스)에 500억원대 해킹사고가 벌어지자 손해배상 의무를 두고 법적다툼이 벌어졌다. 이전에는 피해자들이 거래소 과실을 입증해 승소한 적이 없기 때문이다. 2021년 11월 법원은 해킹사고 후 가상자산 반환의무를 이행하지 않았다는 점을 들어 손해배상 의무를 인정했다.

#. 2019년 9월 가상자산거래소 코인원은 법원으로부터 해킹 관련 투자자 손실에 대해 손해배상 책임을 선고 받았다. 거래소 자체가 아닌 고객 단말기가 해킹된 사례였지만 1일 출금한도를 넘는 비트코인 송금이 이뤄진 탓에 거래소 과실이 인정됐다.

가상자산거래소가 해킹을 당했을 때 투자자에 대한 손해배상 근거가 회계적으로 세워진다. 고객이 맡긴 가상자산이 탈취될 경우 그간 법원 판례에만 의존했던 손해배상 책임을 금융당국이 명확히 했다.

◇'경제적 통제권' 기준 회계처리, 부채인식시 무조건 배상

금융당국이 제시한 가상자산 회계 지침에는 고객이 거래소에 예치한 가상자산의 회계처리에 대한 조항도 담겨있다. 기존에는 가상자산 사업자가 보유한 고객 위탁 가상자산을 사업자 자산으로 재무제표에 인식해야 할지에 대한 기준이 불분명했다.

당국은 그 기준을 '경제적 통제권'으로 정했다. 현재 국내 거래소들은 고객 위탁 가상자산을 회계처리하지 않고 주석으로 별도 표시하고 있다. 새 감독지침에서는 위탁 가상자산을 고객 자산으로 별도 처리하려면 위탁자산에 대한 명확한 식별이 가능한 경우에만 인정하도록 했다. 명확히 식별되지 않으면 사업자 자산(부채)로 인식한다.


여기서 핵심은 사업자 재무제표에 자산으로 인식될 경우 배상책임이 같이 따른다는 것이다. 금융위원회 관계자는 "고객 예치 가상자산이 사업자의 부채로 인식되면 해킹사고로 가상자산 탈취가 일어날 경우 무조건 물어줘야 한다"고 말했다. 그는 또 "반대로 고객 자산으로 처리된다면 해킹사고 발생 시에 사업자는 손해배상 책임만 있게 된다"고 설명했다.

경제적 통제권이란 개념은 가상자산 사용을 지시하고 가치상승 등 이익을 얻을 수 있는 권리를 뜻한다. 사업자 혹은 고객이 법적 재산권을 주장할 수 있는지 여부에 따라 갈린다. 사업자와 고객 간 계약, 감독규정, 사업자의 가상자산 관리·보관 수준이 지표가 될 것으로 보인다.

예컨대 고객이 위탁 가상자산에 대한 법적 재산권을 주장할 수 없거나 사업자가 고객 예치 가상자산을 자유롭게 사용할 명시·묵시적 권리가 있는 경우 사업자의 자산·부채로 인식할지 따져야 하는 셈이다.

◇그간 해킹피해시 배상책임 범위 불분명

그전까지는 고객 위탁 가상자산을 해킹 등으로 탈취 당할 경우 배상근거가 애매했다. 판례를 통해 어느 정도 정립은 됐지만 반환의무를 근거로 배상액을 책정했다. 코인레일 사례의 경우 해킹이나 가상자산 유출을 방지할 기본적인 보안·관리체계를 갖추지 않은 채 거래소를 운영하다가 해킹사고가 발생해도 투자자들은 그에 대한 피해는 배상받지 못했다. 코인원 사례는 1일 출금한도를 제외한 나머지 금액을 배상액으로 판결했다. 그러나 이제는 회계상으로 근거가 생겼다.

또 고객 위탁 가상자산은 부채로 인식하는 지와 관계없이 그 물량과 시장가치 등의 정보를 가상자산별로 공시하도록 했다. 가상자산 보유에 따른 해킹 위험 등과 이를 예방하기 위한 보호수준 등에 대한 정보도 제공해야 한다.

기존에는 5대 거래소(업비트, 빗썸, 코인원, 코빗, 고팍스) 가운데 일부만 위탁 물량을 의무 공개하고 있다. 특히 국내 최대 가상자산거래소인 업비트의 경우 국제회계기준(IFRS) 기준을 채택 중이다. 나머지 거래소는 일반기업회계기준(GAAP)으로 재무제표를 작성한다.

IFRS는 사업자의 판단과 의도를 상당히 존중하는 형태의 회계기준이다. 때문에 고객이 맡긴 가상자산에 대해서도 전부 공개할 의무가 없었다. 업비트를 운영하는 두나무는 위탁 물량을 반드시 공개하지 않아도 되나 사업보고서를 통해 내용을 기재해 왔다. 앞으로는 특정 거래소가 IFRS를 채택한다 해도 공개의무를 계속 지게 된다.