곡절이 많은 백만 도화 사건에서 내부자에게만 술 세 잔을 벌주다?

저자: 샤오자 변호사

최근 샤오자 팀은 한 암호화폐 업계의 오랜 친구가 해외 소셜 플랫폼에 글을 올려, 자사 플랫폼(이하 "H 플랫폼")이 상하이 경찰과 긴밀히 협력하여 명확하고 완전한 블록체인 데이터를 통해 "내부자" 범죄 용의자를 성공적으로 특정하고, 백만 달러 규모의 암호화폐 도난 사건을 해결하여 피해자의 재산 손실을 크게 회복했다고 주장하는 것을 주목했습니다.

고객의 재산을 회복하는 것은 분명히 칭찬할 만한 큰 일입니다. 그러나 샤오자 팀은 현재 온라인에 공개된 정보를 연구한 결과, 이 사건에서 내부자에 대한 처벌이 "강하게 다루고, 가볍게 놓아주는" 의혹이 있는 것 같으며, 유죄 판결과 형량에 대해 큰 논란이 존재합니다. 이는 우리나라 사법 기관이 암호화 자산의 성격(데이터인지, 재산인지, 아니면 두 가지 모두인지?)에 대한 인식에 여전히 큰 차이가 있기 때문인 것 같습니다.

오늘 샤오자 팀은 여러분에게 이 암호화폐 업계의 복잡하고 기이한 사건을 자세히 설명하고, 우리나라 암호화 자산의 최근 몇 가지 사법 실천을 통해 사법 정책의 발전 추세를 해석해 드리겠습니다.

백만 암호화폐 증발? 기이한 사건 속 사건

2023년 5월, 중국 상하이 거주자 오모는 카페에서 H 플랫폼이 개발한 iToken 지갑을 열어 최근 변동성이 큰 암호화폐가 "괜찮은지" 확인하고자 했습니다. 지갑을 열자 오모는 자신의 지갑이 "텅 비어" 있다는 사실에 놀랐습니다. 원래 백만 달러의 가치가 있는 암호화폐가 그대로 "증발"한 것입니다. 믿을 수 없는 오모는 여러 번 재부팅하고 다시 로그인하여 지갑을 열어본 후, 결국 현실을 깨달았습니다: 자신의 암호화폐가 이미 분실되었거나 도난당했을 가능성이 높다는 것을……

이후, 오모는 스스로 조사(혹은 고수의 조언을 받아)한 결과, 한 달 전 누군가 자신의 암호화폐를 모두 옮겼다는 사실을 발견했습니다.

여러 측의 협력으로 이루어진 성공적인 형사 고소

오모는 H 플랫폼이 개발한 지갑을 분석하면서(샤오자 팀은 이 시점에서 H 플랫폼의 관련 직원이 이미 접속하여 피해자가 플랫폼의 내부 데이터를 조회하고 이를 보존하도록 도왔을 가능성이 있다고 생각합니다), 자신의 지갑에 자동으로 개인 키를 획득하는 "백도어" 프로그램이 존재한다는 것을 알게 되었습니다. 이후 오모는 기술적 수단을 통해 해당 "백도어" 프로그램을 해석하고, 의심스러운 범죄 용의자의 정보를 역추적했습니다. 2023년 8월, 오모는 수집하고 고정한 증거를 가지고 경찰서에 형사 고소를 하여 성공적으로 사건을 접수하였고, 며칠 후 범죄 용의자 H 회사의 "내부자" 직원인 리우모, 장모1, 동모2가 차례로 검거되었습니다.

(2024) 후0104 형초59호 판결서에 따르면, 피고인 리우모, 장모1, 동모2는 H 플랫폼의 두 명의 경력 있는 프론트엔드 개발자로, iToken 지갑의 개발을 담당했습니다. 2023년 3월부터 5월까지, 장모1과 동모2는 "감시하며 도둑질"의 마음을 품고 리우모와 범죄 공모를 하여, 장모1과 동모2가 사전에 iToken 지갑에 "백도어" 프로그램을 심어 다른 사람의 지갑 개인 키, 시드 문구 등의 데이터를 불법적으로 획득하고, 이를 지정된 도메인에 해당하는 사전에 구축된 VPS 백엔드 서버 데이터베이스에 업로드한 후, 로컬 서버로 다운로드하는 방식으로 범행을 저질렀습니다. 세 사람의 구체적인 역할은 다음과 같습니다:

(1) 리우모는 요청 로직 코드를 작성하는 역할을 맡았습니다;

(2) 피고인 장모1은 VPS와 데이터베이스의 구축, iToken 안드로이드 버전 업로드를 담당했습니다;

(3) 피고인 동모2는 도메인 구매, 사용자 개인 키 암호화, iToken iOS 버전 업로드를 담당했습니다.

판결서에 따르면, 세 사람은 총 27,622개의 iToken 지갑 사용자 시드 문구와 10,203개의 개인 키(중복 데이터 제거됨)를 불법적으로 획득했으며, 이들 시드 문구와 개인 키는 총 19,487개의 디지털 지갑 주소로 성공적으로 변환되었습니다(중복 데이터 제거됨). 이들 지갑에 총 얼마나 많은 암호화 자산이 있었는지? 그 가치는 얼마인지? 우리나라 사법 기관은 공개하지 않았습니다.

신중한 세 사람의 그룹, "2년 약속"을 정하다

리우모, 장모1, 동모2는 자백에서 2023년 5월 말, 세 사람이 "목숨을 걸고 벌고, 목숨을 걸고 쓰는" 아름다운 꿈을 품고 사용자 개인 키를 획득한 후, 이를 안전하게 보관하고 해당 디지털 지갑 주소를 해석한 후, 서버와 데이터베이스를 파괴하기로 결정하고, 2년 후에야 세 사람이 이 개인 키를 사용하여 불법적으로 사용자의 가상 화폐를 획득할 수 있도록 약속했습니다.

하지만 기이한 것은, 세 사람이 검거된 후 모두 하늘을 가리키며 자신들은 "2년 약속"을 위반하여 사용자의 암호화 자산을 미리 도둑질하지 않았다고 맹세했습니다.

그렇다면, 도대체 그룹 중 누군가가 몰래 배신하고 입을 다물고 있는 것인지? 아니면 범죄자가 다른 사람인지?

기이한 사건 속 사건

공개된 정보에 따르면, 이 사건을 담당한 검사는 범죄 용의자를 심문하고 사건 기록을 읽는 과정에서 단서를 발견했습니다. 보아하니, 피해자의 백만 암호화폐를 옮긴 진짜 범죄 용의자는 다른 사람인 것 같습니다.

사실, 피해자 오모가 사용한 다른 플랫폼의 지갑에도 H 플랫폼에 근무했던 장모2가 백도어 프로그램을 심어 놓았으며, 범죄 행위는 리우모, 장모1, 동모2와 유사했습니다.

장모2는 검거된 후, 2021년 7월 자신의 전문 지식과 직무의 편리함을 이용하여 클라이언트 코드에 사용자 개인 키와 시드 문구를 수집하는 코드를 작성했다고 진술했습니다. 사용자가 가상 화폐 거래를 할 때, 이 코드는 자동으로 사용자가 서명 작업에 사용하는 시드 문구나 개인 키를 획득하여 이메일 형태로 장모의 이메일로 전송했습니다.

2023년 4월, 장모2는 불법으로 획득한 시드 문구와 개인 키를 통해 오모의 지갑에 있는 암호화폐를 모두 자신의 지갑 주소로 옮겼습니다. 감정 결과, 장모는 총 6,400여 개의 사용자 개인 키 및 시드 문구를 불법적으로 획득했습니다.

결국, 상하이시 쉬후이구 인민법원은 리우모, 장모1, 동모2에게 컴퓨터 정보 시스템 데이터 불법 획득죄로 유기징역 3년을 선고하고, 벌금 3만 위안을 부과했습니다. 실제로 피해자의 백만 암호화폐를 도난당한 장모2는 피해자에게 일부 손실을 보상한 후 피해자의 용서를 받고 자백하여, 최종적으로 쉬후이구 인민법원에서 컴퓨터 정보 시스템 데이터 불법 획득죄로 유기징역 3년과 벌금 5만 위안을 선고받았습니다.

내부자 강하게 다루고, 가볍게 놓아주다?

상하이시 쉬후이구 인민법원이 공개한 판결서에 따르면, 리우모, 장모1, 동모2와 실제로 피해자의 백만 암호화폐를 도난당한 장모2는 모두 컴퓨터 정보 시스템 데이터 불법 획득죄로 유기징역 3년을 선고받았지만, 이 죄명이 적절한지에 대한 논란이 존재합니다.

사법 기관의 암호화 자산에 대한 견해와 태도 차이

샤오자 팀은 중국 판결 문서 웹사이트를 통해 사례 검색 및 데이터 분석을 진행한 결과, 2018년부터 현재까지 우리나라 사법 기관이 공개한 암호화 자산 관련 형사 판결서는 약 60건으로, 참고할 만한 사례가 있습니다. 암호화 자산의 성격 및 그것이 재산 범죄의 대상이 될 수 있는지에 대해 우리나라 법원은 두 가지 뚜렷한 견해가 존재합니다.

1. 암호화 자산은 재산이 아니다. 이러한 견해를 가진 판사는 전통적인 대륙법계 민법의 "재산" 정의에 따르면, "재산"은 유체의 것이어야 하며, 암호화 자산과 같은 무체물은 재산 범죄의 범죄 대상이 될 수 없다고 주장합니다. 【참고 판례: (2023) 후0106 형초112호, (2020) 민0305 형초82호, (2019) 소1282 형초227호 등 사건】

2. 암호화 자산은 재산이다. 이러한 견해를 가진 판사는 암호화 자산이 데이터이긴 하지만, 재산의 핵심 속성을 가지고 있으며 일정한 가치를 지니므로 재산으로 간주되어야 한다고 주장합니다. 따라서 형법의 보호 범위에 속하며, 재산 범죄의 범죄 대상이 될 수 있습니다. 【참고 판례: 최고인민법원 형사재판 참고 총 제138집 제1569호, (2021) 경0105 형초1302호, (2021) 후0109 형초750호 등 사건】

샤오자 팀은 "암호화 자산은 재산이 아니다"라는 견해를 가진 판사들 중 대다수가 암호화 자산이 일종의 "데이터"라고 생각하며, 암호화 자산을 도난하거나 다른 수단으로 침해하는 행위는 실제로 컴퓨터 정보를 수정, 삭제 또는 파괴하거나 컴퓨터 시스템을 불법적으로 획득하는 행위로 간주해야 한다고 주장합니다.

하지만 최근 몇 년 동안 기술 발전과 사법 관념의 진보로 인해 "암호화 자산은 재산이 아니다"라는 견해는 점차 줄어들고 있으며, 많은 판례가 실질적으로 암호화 자산이 재산 속성을 가지고 있으며 재산 범죄의 범죄 대상이 될 수 있음을 인정하고 있습니다.

예를 들어, 인민법원 사례 데이터베이스에 등록된 펑모모 사기 사건(등록 번호 2023-04-1-222-006)에서 판결 요지에 명확히 언급되었습니다: "가상 화폐는 형법적 의미에서 재산 속성을 가지며, 재산 범죄의 대상이 될 수 있다."

컴퓨터 정보 시스템 데이터 불법 획득죄 로는 네 사람의 범죄 행위를 적절히 평가할 수 없다

상하이 백만 도난 사건으로 돌아가서, 샤오자 팀은 본 사건 법원이 암호화 자산의 재산 속성에 대한 인식이 주류 견해와 차이가 있으며, 범죄 용의자의 행동에 대한 인식이 충분하지 않다고 생각합니다.

소위 "컴퓨터 정보 시스템 데이터 불법 획득죄"는 우리나라 《형법》 제285조 제2항에 따라, 국가의 규정을 위반하여 앞서 규정한 것 이외의 컴퓨터 정보 시스템에 침입하거나 다른 기술적 수단을 사용하여 해당 컴퓨터 정보 시스템에 저장, 처리 또는 전송되는 데이터를 획득하거나 해당 컴퓨터 정보 시스템에 대해 불법적으로 통제하는 행위를 의미합니다.

샤오자 팀은 비트코인 등 암호화 자산이 형법에서 "재산"의 특성 요구를 충족한다고 생각합니다. 장밍카이 교수는 형법적 의미에서 재산은 세 가지 측면의 특성을 충족해야 한다고 주장합니다: 관리 가능성, 이전 가능성 및 가치성. 관리 가능성은 피해자가 재산을 관리할 수 있는 가능성을 의미하며, 즉 피해자가 재산에 대한 점유권이나 소유권을 가지고 있는지를 나타냅니다; 이전 가능성은 행위자가 피해자의 재산을 이전할 수 있는지를 의미합니다; 가치성은 사용 가치와 교환 가치를 의미합니다.

블록체인 기술 및 파생 기술의 발전으로 인해 암호화 자산은 실제로 위의 형법에서 "재산"의 특성 요구를 충족하게 되었으며, 이는 현재 우리나라 사법 실천에서 암호화 자산을 재산 범죄의 범죄 대상으로 간주하는 주요 이유입니다.

직무 침해가 그들의 범죄 행위를 더 정확하게 평가할 수 있다

실제로 본 사건은 절도죄로도 정립될 수 있으며, 직무 침해죄로도 정립될 수 있습니다. 샤오자 팀은 직무 침해죄로 그들을 유죄 판결하는 것이 네 피고인의 주관적 의도와 객관적 행동을 더 정확하게 평가할 수 있다고 생각합니다.

《형법》 제271조에 따르면, 직무 침해죄는 회사, 기업 또는 기타 단위의 직원이 직무상의 편리함을 이용하여 본 단위의 재산을 불법적으로 자신에게 귀속시키는 행위를 의미합니다.

리우모, 장모1, 동모2, 장모2는 모두 H 플랫폼의 전 직원으로, 재직 중 불법적으로 타인의 재산을 획득하기 위해 자신의 직무상의 편리함을 이용하여 사용자 지갑에 "백도어" 프로그램을 심어 최종적으로 사용자 암호화 자산을 도난당하게 했습니다.

일부 파트너는 사용자가 암호화 자산을 지갑에 보관하는 것이 《형법》 제271조에서 규정한 "본 단위의 재산"을 구성할 수 있는지 의문을 가질 수 있습니다. 사실, 사용자가 H 회사가 개발한 지갑에 자금을 보관하는 것은 일종의 위탁, 대리 보관의 법적 관계를 형성하며, 구체적으로 말하자면, 《형법》 제271조에서 규정한 "본 단위의 재산"은 본 단위가 소유한 재산뿐만 아니라, 본 단위가 보유하고 관리하는 타인의 재산도 본 단위의 재산으로 간주되어야 합니다. 따라서 직원이 회사가 위탁한 사용자 재산을 도난당하는 것은 직무 침해죄로 간주될 수 있는 사례가 이미 존재합니다.

예를 들어, (2014) 루장 형초자 제00287호 판결에서, 유모는 어떤 회사에 고용된 배달원으로, 합비 분회사에서 분류된 택배를 수령할 때, 자신이 배달해야 할 지역에 속하지 않는 6대의 샤오미 3형 스마트폰 택배를 잘못 수령했지만, 이를 본 단위에 전달하지도 않았고, 수령인에게도 전달하지 않고 자신에게 귀속시켰습니다. 법원은 결국 그가 직무 침해죄를 구성한다고 판단했습니다.

특히 본 사건의 범죄 금액을 고려할 때, 직무 침해죄는 세 가지 형량 구간이 있으며, 각각 3년 이하의 유기징역, 3년 이상 10년 이하의 유기징역, 10년 이상의 유기징역 또는 무기징역으로, 컴퓨터 정보 시스템 데이터 불법 획득죄보다 훨씬 중형입니다(최고 7년). 관련 사법 해석에 따르면, 장모2의 직무 침해 금액은 "거액" 기준에 도달했으며, 만약 몇 사람이 획득한 지갑 자산을 합산한다면, 사건에 관련된 자금 금액은 측정하기 어려운 수준에 이를 수 있습니다.

마무리하며

샤오자 팀은 이 백만 도난 사건 속 사건이 암호화 자산 분야의 복잡성과 위험성을 드러낼 뿐만 아니라, 우리나라의 암호화 자산 법적 성격에 대한 분쟁을 폭로한다고 생각합니다. 비록 사법 기관이 H 플랫폼과 협력하여 최종적으로 사건을 해결하고 피해자의 일부 손실을 회복했지만, 유죄 판결과 형량에 대한 논란은 법이 시대에 맞춰 발전해야 할 필요성을 강조합니다. 블록체인 기술의 발전과 암호화 자산 시장의 점진적인 성숙에 따라, 우리는 미래의 법이 암호화 자산의 법적 속성을 더 정확하게 규정하고, 사법 실천에 더 명확하고 통일된 지침을 제공할 수 있기를 기대합니다.