홍콩의 암호화폐 투자자들은 거래 플랫폼에 로그인하는 방식이 극적으로 바뀌는 것을 곧 보게 될 것이다. 홍콩 증권선물위원회(Securities and Futures Commission, SFC)는 모든 가상자산 거래 플랫폼과 온라인 브로커에게 일회용 비밀번호를 폐지하고 더 강력하고 피싱에 강한 로그인 방식으로 대체할 것을 명령하는 포괄적인 새로운 홍콩 암호화폐 피싱 규제 요건을 발표했으며, 이 모든 조치는 12개월 이내에 완료되어야 한다.
Summary
핵심 요약
- SFC는 암호화폐 플랫폼과 온라인 브로커에 대해 SMS, 이메일, 앱 기반 방식을 통한 OTP(일회용 비밀번호) 로그인 사용을 금지했으며, 이행 기한은 12개월이다.
- 승인된 대안에는 패스키(passkey), 암호 검증이 적용된 등록 기기, 하드웨어 보안 키가 포함된다.
- 피싱 공격과 사회공학 사기로 인해 2026년 1분기에만 암호화폐 업계 전반에서 총 손실 4억 8,200만 달러 중 3억 600만 달러의 손실이 발생했다.
- 위조 및 사기 공격은 2025년 홍콩 사이버 보안 사고 조정 센터에 보고된 전체 사이버 보안 사고의 57%를 차지했다.
- SFC는 라이선스를 보유한 회사의 고위 경영진에게 내부 통제 미비로 인한 고객 손실에 대해 직접적인 책임을 묻겠다고 밝혔다.
홍콩, 암호화폐 플랫폼에 피싱 방지 로그인 의무화
이번 규제 조치는 금융 서비스에서 가장 일반적으로 사용되던 계정 인증 방식에서의 강한 전환을 의미한다. 문자 메시지, 이메일, 인증 앱을 통해 전달되는 6자리 코드 형태의 일회용 비밀번호는 오랫동안 이중 인증 로그인에 대한 업계 표준이었다. 그러나 SFC는 이제 이를 현대적인 피싱 기법에 맞서기에는 불충분하다고 보고 있으며, 이번 전환을 선택이 아닌 시급한 과제로 취급하라고 업계에 요구하고 있다.
특히 대형 인터넷 증권사는 12개월의 유예 기간이 끝나기를 기다리지 말고 즉시 조치를 취하라는 통보를 받았다.
12개월 내 일회용 비밀번호 단계적 폐지
새로운 통지문은 모든 인가 플랫폼에서 OTP 기반 로그인을 금지한다. SFC의 입장은 명확하다. 전통적인 일회용 비밀번호는 사회공학, 스푸핑 캠페인, 가짜 인터페이스에 사용자가 자격 증명을 입력하도록 속이는 피싱 웹사이트를 통해 너무 쉽게 가로채이거나 복제될 수 있다는 것이다.
규제 당국은 또한 기업들이 의심스러운 로그인, 거래, 출금 활동을 탐지하기 위한 탐지 및 모니터링 시스템을 구축하도록 요구하고 있다. 플랫폼은 중요한 계정 활동에 대해 고객에게 신속히 통지하고, 해킹 사고에 지체 없이 대응해야 한다. 새롭게 등장하는 사칭(임퍼소네이션) 사기에 대해 고객에게 정기적으로 경고하는 것 역시 이제 컴플라이언스 범위에 포함된다.
무엇보다도 SFC는 이러한 통제 장치의 적정성에 대한 최종 책임은 고위 경영진에게 있다는 점을 분명히 했다. 내부 시스템이 기준에 미달하는 회사는 그로 인해 발생한 고객 손실에 대해 책임을 질 수 있으며, 이러한 책임 구조는 이번 통지문에 실질적인 구속력을 부여한다.
승인된 인증 방식과 기기 바인딩
SFC는 허용 가능한 피싱 방지 솔루션으로 세 가지 범주를 명시했다. 패스키(passkey), 암호 검증을 사용하는 등록 기기, 그리고 하드웨어 보안 키다. 이 세 가지는 모두 공통된 특징을 갖고 있다. 인증을 물리적 기기나 암호학적 증명에 결합해, 사용자가 가짜 사이트에 접속하도록 속더라도 원격으로 쉽게 가로채거나 복제할 수 없도록 한다는 점이다.
이러한 접근 방식은 전 세계적으로 피싱 방지 인증 표준이 발전해 온 방향을 반영한다. 공격자가 중간자 공격을 수행해 실시간으로 탈취할 수 있는 OTP와 달리, 패스키와 하드웨어 키는 실제 등록 기기를 소지하고 있어야만 사용할 수 있다. 탈취할 코드 자체가 존재하지 않는다.
증가하는 피싱 및 사기 손실, 암호화폐 투자자를 위협
SFC는 이러한 명령을 아무 근거 없이 내린 것이 아니다. 그 배경에 있는 수치는 불편한 현실을 보여준다.
글로벌 암호화폐 피싱 손실과 최근 사기 사례
피싱 공격과 사회공학 사기는 2026년 1분기 동안 암호화폐 업계에서만 3억 600만 달러의 손실을 발생시켰으며, 이는 같은 기간 업계 전체 손실 4억 8,200만 달러의 대부분을 차지한다. 2026년 상반기에 이르러 피싱 관련 손실은 3억 6,600만 달러로 증가해, 일시적인 급등이 아니라 가속화되는 추세임을 보여주었다.
개별 사건을 살펴보면 상황은 더욱 심각하다. SFC의 통지문이 발표되기 불과 며칠 전, 한 암호화폐 투자자는 이더리움에서 악성 피싱 토큰 승인 트랜잭션에 서명한 뒤 거의 100만 달러를 잃었다. 그보다 앞선 같은 달에는 한 지갑 보유자가 가짜 거래소에 접속해 악성 계약에 서명한 뒤 165만 달러를 잃었다. 이 트랜잭션은 연구원 라이언 콜먼에 따르면 공격자에게 자금에 대한 무제한 접근 권한을 부여하는 것이었다. 5월 25일에는 온체인 분석가 “b-block”이 사기꾼들이 탈중앙화 거래소 유니스왑(Uniswap)을 사칭하는 악성 구글 광고를 집행해, 실제 플랫폼에 접속했다고 믿은 피해자들로부터 40만 달러 이상을 탈취했다고 보고했다.
홍콩 사이버 보안 사고 통계
홍콩 내 위협 양상도 마찬가지로 심각하다. 홍콩 사이버 보안 사고 조정 센터의 데이터에 따르면, 위조 및 사기 공격은 2025년에 보고된 전체 보안 사고의 57%를 차지했다. 스푸핑과 사칭이라는 단일 위협 범주에 위험이 이처럼 집중되어 있다는 사실은, 이번 SFC 요건이 겨냥하는 대상과 정확히 맞물린다.
지역 사고 데이터와 글로벌 피싱 손실이 수렴하는 상황을 고려하면, 이번 규제의 시점은 이해하기 어렵지 않다. 홍콩의 암호화폐 시장은 확대되고 있으며, 인가 플랫폼 이용자가 늘어날수록 공격 표면도 커진다. SFC는 대형 지역 사고가 발생해 어쩔 수 없이 대응해야 하는 상황이 오기 전에 선제적으로 움직이고 있는 것으로 보인다.
업계 반응과 더 강력한 지갑 보안 요구
바이낸스 공동 창업자, 지갑 보호 강화 촉구
보안 기준을 높이라는 압박은 규제 당국에서만 나온 것이 아니다. 바이낸스 공동 창업자 창펑 자오(Changpeng Zhao)는 2025년 12월 한 투자자가 주소 중독(address poisoning) 사기로 5,000만 달러를 잃은 사건 이후, 공개적으로 더 나은 지갑 보안 조치를 요구했다. 주소 중독은 피싱과는 다른 공격 벡터로, 피해자의 트랜잭션 내역에 거의 동일한 사기 지갑 주소를 끼워 넣는 방식으로 작동한다. 그러나 이는 공격자들이 짧은 방심의 순간을 노려 막대한 재정적 피해를 입힌다는 점에서 더 넓은 공통 패턴을 보여준다.
이 사건의 규모와 이를 공개적으로 지적한 인물의 높은 인지도는 2026년으로 접어드는 시점까지 암호화폐 보안 이슈가 업계 논의의 중심에 남아 있도록 만드는 데 기여했다.
경각심을 높인 주요 주소 중독 사기 사례
주소 중독은 최근 기억에 남을 만한 개별 손실 사례들 가운데 가장 눈에 띄는 수치를 만들어냈다. 2024년 5월에는 한 피해자가 주소 중독 공격으로 7,100만 달러를 잃은 사건이 있었다. 이례적으로 이 사건은 조사자들이 잠재적인 IP 주소를 추적했다고 주장한 뒤 공격자가 전액을 반환하면서 마무리되었다. 그러나 이러한 결과는 예외적이다. 대부분의 피해자는 이러한 사기에서 아무것도 돌려받지 못한다.
암호화폐 피싱 대응에 대한 전문가 관점
“점점 더 복잡하고 변화하는 위조 및 사기 공격으로부터 고객 계정을 보호하기 위해서는, 예방·탐지·대응·교육을 결합한 포괄적인 조치를 시행해야 합니다.”라고 중국 증권감독관리위원회 중개기관부 집행이사 예즈헝(Ye Zhiheng)은 말했다.
이러한 관점 설정은 중요하다. 더 나은 인증을 통한 예방은 하나의 층에 불과하다. 탐지 시스템, 신속한 사고 대응, 지속적인 사용자 교육이 규제 당국이 이제 필수적이라고 보는 나머지 요소들이다. SFC의 통지문은 이러한 다층적 사고를 반영한다. 단순히 더 나은 로그인 기술을 의무화하는 데 그치지 않고, 로그인 화면에서 고객 커뮤니케이션에 이르기까지 통합된 보안 태세를 구축할 것을 요구한다.
다만 이번 규제가 아직 답하지 못한 부분도 있다. 규모가 작은 가상자산 거래 플랫폼이 하드웨어 보안 키와 암호 기반 기기 바인딩을 대규모로 구현하는 데 필요한 비용과 기술적 복잡성을 어떻게 감당할 것인가 하는 점이다. 12개월의 유예 기간은 기업들에게 계획을 세울 시간을 제공하지만, 보안 엔지니어링 역량 측면에서 대형 인가 브로커와 소형 VATP(가상자산 거래 플랫폼) 사이의 격차는 분명하다. SFC가 이러한 격차를 어떻게 다루고, 비준수에 대한 제재가 얼마나 비례적으로 적용될지가 이번 의무화 조치의 실제 효과를 좌우할 수 있다.
FAQ
홍콩 증권선물위원회는 암호화폐 플랫폼에 어떤 새로운 로그인 요건을 부과했나요?
SFC는 암호화폐 플랫폼과 온라인 브로커에게 피싱 방지 인증 방식을 도입하도록 요구하고 있다. 구체적으로는 패스키, 암호 검증이 적용된 등록 기기, 하드웨어 보안 키를 사용하도록 하고, SMS·이메일·앱 기반 로그인으로 전달되는 일회용 비밀번호 사용을 금지했다. 기업들은 이러한 변경 사항을 12개월 이내에 구현해야 하지만, 대형 인터넷 브로커는 즉시 조치를 취하라는 지시를 받았다.
이러한 새로운 피싱 방지 로그인 방식이 지금 의무화되는 이유는 무엇인가요?
이번 의무화 조치는 2026년 1분기에 암호화폐 업계 전반에서 3억 600만 달러의 손실을 초래한 피싱 공격과 사회공학 사기의 급증, 그리고 2025년 홍콩에서 보고된 사이버 보안 사고 중 57%가 위조 및 사기 공격에 해당한다는 데이터를 배경으로 하고 있다. SFC는 현재 공격 기법의 정교함을 고려할 때 OTP가 더 이상 충분하지 않다고 보고 있다.
홍콩 규제 당국이 일회용 비밀번호의 대안으로 인정한 방식은 무엇인가요?
SFC는 피싱 방지 솔루션으로 패스키, 암호 검증이 적용된 등록 기기, 하드웨어 보안 키 등 세 가지 범주를 승인했다. 이러한 방식은 인증을 물리적 기기나 암호학적 증명에 결합해, 스푸핑 웹사이트나 사회공학 공격을 통해서도 공격자가 가로채기 훨씬 어렵게 만든다.
암호화폐 업계는 이러한 피싱 위협에 어떻게 반응해 왔나요?
바이낸스 공동 창업자 창펑 자오를 포함한 업계 리더들은 2025년 12월 5,000만 달러 규모의 주소 중독 사기 등 고위험 사건 이후 더 강력한 지갑 보안을 요구해 왔다. SFC의 이번 조치는 업계 주요 인사들이 수개월 동안 비공식적으로 주장해 온 내용을 공식 규제로 제도화한 것이다.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”홍콩 증권선물위원회는 암호화폐 플랫폼에 어떤 새로운 로그인 요건을 부과했나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SFC는 암호화폐 플랫폼과 온라인 브로커에게 피싱 방지 인증 방식을 도입하도록 요구하고 있다. 구체적으로는 패스키, 암호 검증이 적용된 등록 기기, 하드웨어 보안 키를 사용하도록 하고, SMS·이메일·앱 기반 로그인으로 전달되는 일회용 비밀번호 사용을 금지했다. 기업들은 이러한 변경 사항을 12개월 이내에 구현해야 하지만, 대형 인터넷 브로커는 즉시 조치를 취하라는 지시를 받았다.”}},{“@type”:”Question”,”name”:”이러한 새로운 피싱 방지 로그인 방식이 지금 의무화되는 이유는 무엇인가요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”이번 의무화 조치는 2026년 1분기에 암호화폐 업계 전반에서 3억 600만 달러의 손실을 초래한 피싱 공격과 사회공학 사기의 급증, 그리고 2025년 홍콩에서 보고된 사이버 보안 사고 중 57%가 위조 및 사기 공격에 해당한다는 데이터를 배경으로 하고 있다. SFC는 현재 공격 기법의 정교함을 고려할 때 OTP가 더 이상 충분하지 않다고 보고 있다.”}},{“@type”:”Question”,”name”:”홍콩 규제 당국이 일회용 비밀번호의 대안으로 인정한 방식은 무엇인가요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SFC는 피싱 방지 솔루션으로 패스키, 암호 검증이 적용된 등록 기기, 하드웨어 보안 키 등 세 가지 범주를 승인했다. 이러한 방식은 인증을 물리적 기기나 암호학적 증명에 결합해, 스푸핑 웹사이트나 사회공학 공격을 통해서도 공격자가 가로채기 훨씬 어렵게 만든다.”}},{“@type”:”Question”,”name”:”암호화폐 업계는 이러한 피싱 위협에 어떻게 반응해 왔나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”바이낸스 공동 창업자 창펑 자오를 포함한 업계 리더들은 2025년 12월 5,000만 달러 규모의 주소 중독 사기 등 고위험 사건 이후 더 강력한 지갑 보안을 요구해 왔다. SFC의 이번 조치는 업계 주요 인사들이 수개월 동안 비공식적으로 주장해 온 내용을 공식 규제로 제도화한 것이다.”}}]}
본 기사는 인공지능의 도움을 받아 제작되었으며, 편집팀의 검수를 거쳤습니다.

