
홍콩 증권선물위원회, 가상자산 거래소에 OTP 퇴출 명령... 2027년 7월까지 피싱 방지 인증 도입해야
홍콩 증권선물위원회(SFC)가 가상자산 거래소와 온라인 브로커를 대상으로 2027년 7월까지 일회용 비밀번호(OTP) 사용을 중단하고 피싱 방지 인증 체계를 도입할 것을 명령했다. 보안 업그레이드를 이행하지 않는 플랫폼은 사용자 손실을 전액 보상해야 한다.
홍콩 증권선물위원회(SFC)가 진화하는 사이버 위협으로부터 디지털 자산 생태계를 보호하기 위해 강력한 규제안을 발표했다. SFC는 모든 가상자산 거래 플랫폼(VATP)과 온라인 브로커에 대해 2027년 7월 8일까지 기존의 일회용 비밀번호(OTP) 방식을 단계적으로 폐지하고 피싱 방지 인증(Phishing-resistant authentication)을 도입하도록 시한을 정했다.
회람 26EC35를 통해 공개된 이번 지침은 투자자를 계정 탈취 및 AI 기반 피싱 공격으로부터 보호하기 위해 FIDO2와 같은 암호화 표준 및 하드웨어 키로의 전환을 강제한다. 이는 홍콩이 안전한 글로벌 디지털 자산 허브로 거듭나기 위한 보안 인프라의 근본적인 체질 개선을 의미하며, 규제 당국이 보안 사고에 대한 플랫폼의 책임을 더욱 엄격히 묻겠다는 의지로 풀이된다.
SFC는 가상자산 거래 플랫폼(VATP)과 온라인 브로커에 대해 고객 로그인 및 기기 바인딩 과정에서 OTP 사용을 중단할 것을 요구하고 있다. 비록 최종 준수 기한은 2027년 7월 8일로 설정되어 약 1년의 유예 기간이 주어졌으나, 보안 모니터링 및 사고 대응 의무는 2026년 7월 10일부터 즉시 발효된다.
SFC는 피싱 공격과 고객 계정 탈취 사건에 대응하기 위해 온라인 브로커와 VATP가 OTP 사용을 중단할 것을 요구한다. 이는 기존 방식의 위험성과 더 강력한 인증 대안의 존재를 고려한 결정이다.
전통적인 OTP 방식은 더 이상 고도화된 공격을 막아내기에 역부족이라는 것이 규제 당국의 판단이다. SMS나 이메일을 통한 인증 코드는 심 스와핑(SIM swapping)이나 정교하게 설계된 피싱 사이트를 통해 가로채기 쉽고, 사용자의 부주의를 악용하는 MFA 피로 공격에도 취약하여 보안상의 허점이 지속적으로 지적되어 왔다.
보안 표준의 전환과 기술적 필연성
피싱 방지 MFA는 비대칭 키 암호화 프로세스를 사용하여 공격자가 가짜 로그인 페이지를 통해 자격 증명을 가로채거나 재사용하는 것을 구조적으로 불가능하게 만든다. FIDO2 및 패스키(Passkeys) 표준은 기기 바인딩과 도메인 검증을 결합하여 사용자가 의도하지 않은 사이트에 인증 정보를 제공하는 것을 원천 차단하며, 이는 기존의 공유 비밀 방식보다 월등한 보안성을 제공한다.
- 2026년 7월 10일부터 보안 모니터링 및 사고 대응 의무 즉시 시행
- FIDO2 표준 및 하드웨어 보안 키 도입을 위한 기술적 검토 착수
- 패스키(Passkeys) 사용에 대한 사용자 교육 및 안내 강화
- 2027년 7월 8일까지 모든 OTP 기반 인증 시스템의 완전한 교체 완료
SFC는 플랫폼들에게 기술적 업그레이드와 재정적 책임 중 하나를 선택하도록 하는 독특한 전략을 제시했다. 규정에 따라 플랫폼은 피싱 방지 로그인 시스템을 구현하거나, 보안 사고로 발생하는 사용자의 모든 손실에 대해 전액 보상 및 보험 처리를 보장해야 한다. 이러한 정책은 플랫폼 운영사들이 보안 수준을 높이는 것이 장기적으로 더 경제적인 선택이 되도록 유도하는 강력한 금융적 인센티브를 제공한다.
이번 조치는 지난 2026년 6월 2일 발표된 회람 26EC32와 연계된 다층적인 규제 대응의 일환이다. SFC는 AI를 이용한 사이버 위협이 증가함에 따라 금융 부문 전반의 보안 수준을 높이기 위해 일련의 지침을 지속적으로 내놓고 있으며, 이는 홍콩을 안전한 글로벌 디지털 자산 허브로 만들겠다는 의지를 반영한다.
글로벌 시장에서도 이러한 보안 강화 추세는 뚜렷하게 나타나고 있다. 유럽연합(EU)의 미카(MiCA) 체제 하에서 유럽증권시장감독청(ESMA)은 가상자산 수탁 기관들이 충분한 보안 및 복원력 표준을 갖추었는지에 대해 더욱 엄격한 검토를 진행하고 있다. 홍콩의 이번 규제는 이러한 국제적 흐름에 발맞추어 지역 내 플랫폼들의 보안 경쟁력을 세계적 수준으로 끌어올릴 것으로 보인다.
홍콩의 가상자산 플랫폼들은 향후 1년간 시스템 개편을 위한 상당한 기술적 비용과 인력을 투입해야 할 것으로 예상된다. 그러나 전문가들은 이러한 비용 지출이 장기적으로 투자자 신뢰를 확보하고 홍콩이 글로벌 디지털 자산 시장에서 규제적 우위를 점하는 데 필수적인 투자라고 평가한다.
보안 사고 발생 시 플랫폼이 책임을 지도록 명시한 것은 사용자 보호를 최우선으로 하는 홍콩 당국의 규제 철학을 보여준다. 이는 단순히 기술적인 변화를 넘어 가상자산 산업이 제도권 금융 수준의 성숙도를 갖추어가는 과정이며, 향후 다른 지역의 규제 당국에도 중요한 참고 사례가 될 가능성이 크다.
투자자들은 이용 중인 플랫폼의 공지사항을 주의 깊게 살펴보고 새로운 인증 방식에 적응할 준비를 해야 한다. 하드웨어 키나 생체 인증 기반의 패스키 도입은 초기에는 다소 번거로울 수 있으나, 자산 보호 측면에서는 기존 OTP와 비교할 수 없는 수준의 안전을 제공할 것이기 때문이다.


본 콘텐츠는 정보 및 논평을 위한 것이며 투자 자문이 아닙니다.
기사에 대한 반응을 남겨보세요
다른 독자의 코멘트를 보고, 바로 의견을 남길 수 있습니다.