별도의 인증절차를 거치지 않고 가상화폐 거래를 도와주는 API(Application Programming Interface) Key를 개인정보로 볼 수 없다는 법원 판단이 나왔다.
13일 본지 취재를 종합하면, 서울중앙지방법원 민사33단독 김한성 판사는 온라인 가상화폐 거래소인 ‘빗썸’을 이용하다가 API Key 도용에 의한 해킹 피해로 9000만 원 상당의 손해를 입었다고 주장한 A씨가 빗썸코리아를 상대로 제기한 손해배상 청구 소송에서 원고의 청구를 기각했다.
빗썸의 API 서비스는 자동매매시스템과 연동하면 개별 거래 시 별도의 인증절차를 거치지 않고 가상화폐를 거래하도록 도와주는 서비스다. 이 서비스를 이용하려면 API Key를 발급받아야 하는데, 빗썸 홈페이지의 ‘API 관리’ 항목에 접속한 뒤 보안인증을 마치면 발급받을 수 있다.
2021년 3월 빗썸의 API 서비스를 이용하던 A씨는 누군가 자신의 API Key를 해킹해 비트코인을 다른 토큰으로 교환하는 여러 건의 거래를 진행해 9000만 원 상당의 손해를 입었다고 주장했다.
A씨는 “API Key가 개인정보 보호법상 개인정보에 해당하는데, 빗썸코리아가 API Key를 보호할 의무를 위반해 해킹 사고를 막지 못했다”며 “빗썸코리아의 개인정보 수집 및 관리상의 주의 의무 위반으로 개인정보가 유출돼 재산권과 인격권, 개인정보자기결정권이 침해당했다”며 손해배상 청구를 제기했다.
하지만 김 판사는 “API Key는 다른 응용프로그램에 연동하기 위해서 필요한 숫자와 문자의 조합일 뿐”이라며 “API Key는 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보에 해당한다고 볼 수 없다”고 판시했다.
API Key가 개인정보 보호법 제2조 1호에서 말하는 개인정보에 해당하지 않는다는 것이다.
이어 김 판사는 “원고의 API Key가 유출된 경위를 알 수 있는 아무런 자료가 제출되지 않았는데, 원고의 관리소홀 또는 원고의 PC·모바일 기기의 해킹 등으로 인해 원고가 따로 메모 또는 저장해 놓은 API Key가 외부로 유출됐을 가능성도 충분하다”고 판단하며 원고의 청구를 기각했다.