법원, 오르빗 브릿지 해킹에 운영사 오지스에 7억2천만 원 배상 판결

서울남부지법이 오르빗 브릿지 해킹 사고와 관련해 운영사 오지스의 관리 책임을 인정하면서, 가상자산 이용자에게 7억2천600여만원을 배상하라고 판결했다. 대규모 해킹으로 서비스에 맡겨둔 자산이 사실상 회수 불능 상태에 놓인 상황에서, 법원이 사업자의 보관·운영 의무를 폭넓게 본 것이다.

7일 법조계에 따르면 서울남부지법 민사합의15부는 이용자 A씨가 오지스를 상대로 제기한 손해배상 청구소송에서 원고 일부 승소로 판결했다. 오지스가 운영한 오르빗 브릿지는 서로 다른 블록체인 사이에서 가상자산을 옮길 수 있게 해주는 서비스다. 이용자가 원본 가상자산을 맡기면 이를 동결해 보관하고, 같은 수량의 이른바 o자산을 발행한 뒤 나중에 다시 원본 자산으로 바꿔주는 구조로 운영됐다. 쉽게 말해 블록체인 간 이동을 위해 일종의 교환증표를 발행하는 방식이었다.

문제는 2024년 1월 발생한 대규모 해킹이었다. 당시 오르빗 브릿지에서는 이더리움, 랩드비트코인, 테더 등 시가 기준 8천189만9천달러, 우리 돈 약 1천180억원어치의 가상자산이 탈취됐다. 이 과정에서 이용자들이 맡긴 원본 자산도 함께 유출됐다. A씨는 자신이 보유한 oWBTC 45개와 oETH 262개 등을 원래의 가상자산으로 돌려달라며 소송을 냈다. 이번 사건은 단순한 시세 변동 문제가 아니라, 서비스 사업자가 이용자 자산을 실제로 얼마나 안전하게 지킬 책임이 있는지를 법적으로 따지는 성격이 강했다.

재판부는 오지스가 서비스에 묶여 있던 원본 가상자산을 안전하게 보관·관리하고, 시스템을 안정적으로 운영해야 할 주의 의무를 충분히 다하지 못했다고 판단했다. 이에 따라 A씨가 가진 o자산의 가치 하락분은 오지스가 배상해야 할 손해라고 봤다. 다만 법원은 오지스가 보안 강화를 위해 일정한 노력을 기울였고, 사고 직후 수사기관과 한국인터넷진흥원에 신고한 점 등을 감안해 전체 책임을 70%로 제한했다. 그 결과 인정된 배상액은 7억2천600여만원으로 정해졌다.

반면 법원은 A씨가 요구한 원본 가상자산 자체의 반환 청구는 받아들이지 않았다. 오르빗 브릿지의 이용 약관 등을 근거로, o자산을 동일 수량의 원본 자산으로 반드시 바꿔 돌려줘야 한다고 보기는 어렵다고 본 것이다. 이번 판결은 가상자산 서비스에서 약관의 구조와 실제 운영 책임을 분리해 판단한 사례로 볼 수 있다. 업계에서는 앞으로도 해킹이나 시스템 장애가 발생했을 때 사업자의 보안 의무, 이용자 자산의 법적 성격, 배상 범위를 둘러싼 분쟁이 계속 이어질 가능성이 크다는 관측이 나온다.