
홍콩 증권선물위원회, AI 기반 사이버 위협 대응 위해 가상자산 플랫폼에 피싱 방지 인증 의무화
홍콩 증권선물위원회(SFC)가 모든 라이선스 가상자산 서비스 제공업체(VASP)와 온라인 브로커에게 12개월 이내에 피싱 방지 로그인 체계를 구축할 것을 명령했다. 이는 AI를 활용한 정교한 피싱 공격이 급증함에 따라 투자자 보호를 강화하기 위한 조치다.
2026년 7월 9일, 홍콩 증권선물위원회(SFC)는 진화하는 사이버 위협에 대응하기 위해 모든 라이선스 가상자산 서비스 제공업체(VASP)와 온라인 브로커에게 피싱 방지 로그인 요구 사항을 채택하도록 명령했다. 이번 지침은 2026년 6월에 발표된 회람의 후속 조치로, 플랫폼들이 2025년과 2026년 초 지역 보안 환경을 위협했던 AI 기반 피싱 공격에 맞서 인증 인프라를 전면 개편할 수 있도록 12개월의 유예 기간을 부여한다.
SFC는 라이선스 법인과 VASP가 새롭게 발행된 피싱 방지 로그인 요건을 충족해야 한다고 명시했다. 규제 당국은 규제된 가상자산 생태계의 보안 업그레이드를 위해 12개월의 준수 기한을 설정했으며, 이는 홍콩 내 디지털 자산 거래의 안전성을 확보하기 위한 의무적인 조치다. 플랫폼들은 정해진 기한 내에 기존의 취약한 인증 방식을 대체해야 한다.
기존의 다중 인증 방식은 고도화된 AI 피싱 공격을 차단하기에 한계가 있으며, 하드웨어 기반의 강력한 인증 체계 도입이 시급하다.
이번 조치는 SMS 코드와 같은 전통적인 다중 인증(MFA) 방식에서 벗어나 하드웨어 보안 키나 FIDO2 표준을 준수하는 패스키(Passkeys)로의 전환을 의미한다. 이러한 기술은 공격자가 사용자의 로그인 정보를 가로채거나 가짜 사이트로 유도하는 것을 원천적으로 차단하도록 설계되었다. 특히 AI를 활용한 정교한 사회 공학적 공격에 대응하는 데 핵심적인 역할을 할 것으로 기대된다.
2025년 기록적인 보안 사고와 규제 강화의 배경
홍콩 침해사고대응센터(HKCERT)가 발표한 '홍콩 사이버 보안 전망 2026' 보고서에 따르면, 2025년 홍콩 내 사이버 보안 사고는 총 15,877건으로 역대 최고치를 기록했다. 이는 전년 대비 27% 증가한 수치이며, 전체 사고 중 피싱이 약 60%를 차지하며 규제 당국의 즉각적인 개입을 촉발했다. 아래 표는 2025년 홍콩의 사이버 보안 사고 현황을 요약한 것이다.
- AI 기반 피싱 이메일 본문 및 랜딩 페이지 생성 사례 급증
- 2026년 1월 기준 피싱 이메일의 약 11%가 AI 지원 지표를 포함
- 정교한 사회 공학적 기법을 통한 사용자 기만 및 자산 탈취 시도 강화
- 공급망 리스크와 AI 관련 공격이 주요 보안 우려 사항으로 부상
2026년 상반기 전 세계 가상자산 해킹 사고는 207건으로 역대 최다를 기록했으나, 총 손실액은 10억 달러 미만인 약 9억 7,200만 달러로 감소했다. 이는 공격 빈도는 늘었지만 강화된 보안 조치가 실제 금융 피해를 완화하기 시작했음을 시사한다. 홍콩의 이번 조치 역시 이러한 글로벌 보안 강화 흐름과 궤를 같이하며 피해 규모를 최소화하는 데 목적이 있다.
이번 보안 명령은 2026년 4월 발표된 토큰화 펀드의 2차 거래 프레임워크 등 홍콩의 다른 규제 이니셔티브와 상호 보완적인 관계에 있다. 강력한 피싱 방지 규정은 투자자 보호를 최우선으로 하는 '글로벌 디지털 자산 허브'로서 홍콩의 입지를 공고히 하기 위한 필수적인 토대다. 규제 당국은 보안이 담보되지 않은 시장 성장은 지속 가능하지 않다는 입장을 분명히 하고 있다.
하지만 홍콩 기업의 약 30%가 전담 사이버 보안 인력이 부족한 상황에서 중소 규모 VASP들이 겪을 구현상의 어려움도 예상된다. 기술적 인프라를 구축하는 비용뿐만 아니라 이를 운용할 전문 인력을 확보하는 것이 향후 12개월간 플랫폼들에게 주어진 주요 과제가 될 전망이다. 규제 준수 비용 상승이 시장 진입 장벽으로 작용할 수 있다는 우려도 제기된다.
SFC는 2027년 6월 마감 시한까지 'Scameter+' 보고서와 정기 감사를 통해 플랫폼들의 준수 여부를 지속적으로 모니터링할 계획이다. 규제 당국은 보안 사고 발생 시 해당 플랫폼의 대응 능력과 규정 준수 여부를 엄격히 평가하여 라이선스 유지 여부에 반영할 방침이다. 투자자들은 향후 이용하는 플랫폼이 이러한 보안 표준을 충족하는지 주의 깊게 살펴야 한다.
| Metric | Value |
|---|---|
| Total Reported Incidents | 15,877 |
| Annual Increase in Incidents | 27% |
| Phishing Share of Total | Nearly 60% |
| Enterprises Lacking Dedicated Cyber Personnel | Nearly 30% |
Data from HKCERT highlighting the dominance of phishing in the record-high incident volume of 2025.


본 콘텐츠는 정보 및 논평을 위한 것이며 투자 자문이 아닙니다.
기사에 대한 반응을 남겨보세요
다른 독자의 코멘트를 보고, 바로 의견을 남길 수 있습니다.