
홍콩 증권선물위원회(SFC)는 투자자 계정을 노리는 피싱 공격이 계속됨에 따라 사이버 보안을 강화하기 위해 인터넷 증권사와 가상자산 거래 플랫폼 운영업체(VATP)에 고객 로그인 및 기기 연동에 피싱 방지 인증 방식을 도입하도록 지시했습니다.
7월 9일 발표된 지침에 따라 기업들은 로그인 및 기기 연동에 사용되는 일회용 비밀번호(OTP) 사용을 단계적으로 폐지하고, 패스키 및 연동 기기와 같은 더욱 강력한 인증 방식으로 대체해야 합니다. 홍콩 증권선물위원회(SFC)는 모든 허가받은 기업들이 가능한 한 빨리, 늦어도 지침 발표 후 12개월 이내에 새로운 조치를 시행해야 하며, 대형 인터넷 브로커는 즉시 도입해야 한다고 밝혔습니다.
규제 당국은 강화된 인증 외에도 기업들이 의심스러운 로그인 시도, 거래 활동 및 출금을 감지할 수 있는 모니터링 시스템을 강화하고, 중요한 계정 이벤트 발생 시 고객에게 즉시 알리고, 해킹 사건에 신속하게 대응하며, 새로운 피싱 및 사이버 보안 위협에 대해 고객을 정기적으로 교육할 것을 기대합니다.
홍콩 증권선물위원회(SFC)는 또한 고위 경영진에게 고객 계좌와 자산을 보호할 궁극적인 책임은 그들에게 있음을 상기시키며, 부적절한 사이버 보안 통제로 인해 발생하는 고객 손실에 대해 기업이 책임을 져야 할 수도 있다고 경고했습니다.
이번 조치는 피싱 공격에 대한 우려가 커짐에 따라 이루어졌으며, 실제로 2025년 홍콩 컴퓨터 비상 대응팀 조정센터에 보고된 모든 보안 사고 중 57%가 피싱 공격이었습니다. 또한, 이번 조치는 2025년 2월 홍콩 증권선물위원회(SFC)가 인가받은 업체들에게 OTP 기반 인증 방식에서 벗어나도록 권장한 지침을 기반으로 합니다.