
홍콩 증권선물위원회, 사이버보안 보고서 발표, Web3 라이선스 기업 필독
글: Iris
사이버 보안은 항상 Web3 산업의 '뼈저린 고통'이었다.
슬로우퓨즈(SlowMist) 보안 팀의 데이터에 따르면, 2025년 1월 한 달간 보안 사건과 피싱 사건으로 인한 손실은 약 1억 달러에 달했으며, 이는 업계 전체 손실의 빙산의 일각에 불과하다. 매년 사이버 보안 문제로 인해 프로젝트 및 개인 사용자들이 입는 손실은 많게는 수십억 달러, 적게는 수십억 달러에 이른다.
따라서 Web3 프로젝트의 사이버 보안은 항상 핵심 과제였다.

2025년 2월 6일, 홍콩 증권선물위원회(SFC)는 「2023/24년 면허 법인 네트워크 보안 주요 점검 보고서」를 발표하며, 면허 회사에게 있어 사이버 보안이 단순히 정보기술(IT) 부서의 책임을 넘어섰음을 지적했다. 실제로 면허 회사의 고위 경영진은 조직을 진화하는 위협으로부터 보호하기 위해 강력한 사이버 보안 조치를 감독하고 시행하는 데 핵심적인 역할을 한다.
그렇다면 Web3 면허 회사는 어떻게 사이버 보안 문제에 대응해야 할까?
본 기사에서 맨큐 법률사무소(Mankyu Law)는 홍콩 증권선물위원회의 이 보고서를 분석하여 핵심 사항을 정리하고 몇 가지 참고 전략을 제시한다.
고위 경영진이 최초 책임자이다
기존에는 프로젝트나 제품의 보안 문제를 회사의 IT 팀에 귀속시키며 그들을 주된 책임자로 간주하는 경우가 많았다.
하지만 홍콩 증권선물위원회(SFC)의 규제 체계 하에서는 면허 회사의 고위 경영진이 기업 전략 결정의 핵심일 뿐 아니라 사이버 보안 규정 준수의 첫 번째 책임자로서, 사이버 보안 실패로 인한 법적 책임에 대해 최종적으로 책임져야 한다. SFC는 다음 모든 인원이 고위 경영진에 해당하며 사이버 보안 감독 책임을 지닌다고 명확히 밝혔다:
-
책임 임원(Responsible Officers, RO)
-
집행 이사 및 비집행 이사(Executive & Non-Executive Directors)
-
핵심 부서 책임자(Managers-in-Charge, MIC)
홍콩 SFC는 사이버 보안이 단지 IT 부서의 책임이 아니라 기업 거버넌스의 중요한 구성 요소임을 강조한다. 따라서 고위 경영진은 회사가 강력한 사이버 보안 관리 통제 체계를 구축하고 유지하며, 전략적 차원에서 보안 조치의 이행을 감독하도록 보장해야 한다. 이 책임은 경영진이 사이버 보안 리스크에 대한 인식을 갖추는 것을 요구할 뿐 아니라, 기업이 이러한 리스크를 줄이기 위한 적절한 조치를 취하고 SFC의 규제 요건을 충족하도록 해야 한다.
또한 사이버 보안 규정 준수는 기술적 통제에만 국한되지 않고 기업 문화 형성에도 관련된다. 기업 경영진은 보안 인식 교육을 적극적으로 추진하고, 보안 책임 제도를 마련하며 내부적으로 '사이버 보안 우선' 문화를 조성해야 한다. 오직 경영진이 사이버 보안을 기업 리스크 관리의 중요한 부분으로 진정으로 인식할 때, Web3 면허 회사는 복잡하고 변동성이 큰 사이버 위협 환경에서도 안전하고 안정적인 운영을 유지할 수 있다.
가장 소홀히 여겨지는 내부 보안 취약점
Web3 산업의 보안 사건은 끊임없이 발생하고 있지만, 그 중 다수 공격의 근본 원인은 해커의 고도화된 기술이 아니라 면허 회사 자체의 보안 관리 결함이다.
홍콩 증권선물위원회(SFC)는 보고서에서 많은 면허 회사가 사이버 보안 관리 측면에서 여전히 두 가지 핵심적인 취약점을 가지고 있음을 지적했다. 이러한 취약점은 종종 해커 공격의 돌파구가 되어 고객 데이터와 거래 보안을 직접 위협하며 규제 리스크까지 유발할 수 있다.
만료된 소프트웨어 사용
Web3 면허 회사가 만료된 소프트웨어를 계속 사용하는 것은 홍콩 증권선물위원회 보고서에서 중점적으로 언급된 사이버 보안 취약점이다.
이러한 소프트웨어는 더 이상 공급업체로부터 보안 업데이트, 패치 또는 기술 지원을 받지 못하므로 새로 발견된 취약점이 수정되지 않아 네트워크 범죄자들에게 기회를 제공하게 된다. 이들은 이러한 취약점을 이용해 악성 소프트웨어 공격을 통해 데이터 유출 및 시스템 침입을 초래할 수 있다.
이러한 리스크를 줄이기 위해 Web3 회사는 구조화된 소프트웨어 생애주기 관리 프로세스를 도입하고, 경영진이 소프트웨어 자산의 리스크 평가를 직접 책임져야 한다. 이를 위해 회사는 적용 가능한 경우 다음과 같은 조치를 고려할 수 있다:
-
소프트웨어 업데이트 메커니즘 구축. 회사 내 모든 소프트웨어 및 운영체제의 업데이트 목록을 유지하고, 곧 만료될 소프트웨어를 사전 식별하며 정기적인 평가 절차를 설정한다.
-
업그레이드 계획 사전 수립. 공급업체가 공식적으로 지원을 종료하기 전에 능동적으로 업그레이드 또는 교체 계획을 세워 사업 연속성을 보장하고 일시적인 중단을 방지한다.
-
임시 완화 조치 시행. 일시적으로 업그레이드할 수 없는 시스템의 경우 접근 권한 제한, 네트워크 격리 등의 보안 통제를 실시한다.
-
정기적인 취약성 평가 수행. 면허 회사는 지속적인 보안 모니터링 메커니즘을 구축하여 소프트웨어 리스크가 신속히 식별되고 처리되도록 해야 한다.
또한 Web3 회사의 고위 경영진은 IT 팀이 소프트웨어 생애주기를 효과적으로 관리할 수 있도록 충분한 자원을 확보해야 하며, 핵심 시스템 업그레이드 미비로 인해 고객 데이터 및 금융 자산이 불필요한 리스크에 노출되는 것을 방지해야 한다.
암호화 알고리즘의 취약점
암호화 알고리즘은 고객 데이터 보호, 거래 보안 확보 및 규제 요건 준수의 핵심 방어선이다. 그러나 홍콩 증권선물위원회(SFC)는 일부 면허 회사가 여전히 구식 또는 약한 암호화 알고리즘에 의존하고 있어 민감한 재무 정보 및 개인 데이터가 매우 높은 사이버 보안 리스크에 직면하고 있다고 지적했다. 예를 들어 데이터 유출, 무단 계정 접근 등이 발생할 수 있다.
SFC가 제시한 주요 암호화 취약점은 다음과 같다:
-
MD5, SHA-1 또는 구형 RSA 구현과 같은 구식 알고리즘 사용. 이러한 알고리즘은 현대 암호 공격에 쉽게 노출된다.
-
키 길이 부족. 예를 들어 RSA 키가 2048비트 미만이거나 AES 키가 128비트 미만인 경우, 무차별 대입 공격(Brute-force attack)이 더욱 가능해진다.
-
키 관리 부실. 여러 환경에서 동일한 키를 반복 사용하거나, 정기적인 키 교체를 하지 않거나, 안전하지 않은 장소에 암호화 키를 저장하는 경우.
이러한 리스크를 줄이기 위해 Web3 면허 회사는 산업 표준에 부합하는 암호화 프로토콜을 도입하여 데이터 보호 능력을 강화하고 SFC의 규제 요건을 충족시켜야 한다:
-
강력한 암호화 알고리즘 도입. 고급 암호화 표준 AES-256을 채택하여 정지 상태 및 전송 중 데이터 모두 강력한 보호를 받도록 한다.
-
더 안전한 키 체계로 업그레이드. 예를 들어 타원 곡선 암호화(ECC)를 RSA 대체 방안으로 활용하면 더 높은 보안성을 제공하면서 키 길이 요구를 낮추고 계산 효율성을 향상시킬 수 있다.
-
엔드투엔드 암호화(E2EE). 데이터 전송 중에도 항상 암호화 상태를 유지하여 중간자 공격이나 무단 접근을 방지한다.
-
키 관리 메커니즘 강화. 여러 환경에서 동일 키 사용을 피하고, 정기적으로 키를 교체하며, 키 저장이 하드웨어 보안 모듈(HSM)과 같은 최고 수준의 보안 기준을 충족하도록 보장한다.
-
정기적인 암호 감사 수행. 최소한 연 1회 암호화 규정 준수 검토를 실시하여 모든 암호화 조치가 최신 산업 표준 및 규제 요건을 충족하는지 확인한다.
규정 준수 관점에서 볼 때 약한 암호화는 단순한 기술 관리 소홀을 넘어 심각한 규제 리스크를 유발할 수 있다. 홍콩에서는 「개인데이터(사생활) 조례」 등 법률이 금융기관의 데이터 보호 책임에 대해 엄격한 요구를 하고 있으며, 전 세계적으로 데이터 보안 표준(예: ISO 27001, NIST) 또한 암호화 기술의 규정 준수 기준을 지속적으로 높이고 있다.
따라서 Web3 면허 회사가 충분한 강도의 암호화 조치를 시행하지 않을 경우, 데이터 유출이나 무단 접근이 발생하면 법적 책임, 고객 신뢰 위기, 나아가 규제 처벌을 받을 수 있다. 동시에 기업 고위 경영진은 암호 보안을 기업의 핵심 규정 준수 업무의 일부로 인식하고, 암호화 전략이 산업 보안 표준 및 새로운 사이버 위협에 따라 지속적으로 최적화되어 효과적으로 실행되도록 보장하여 고객 데이터 보안과 기업의 장기적 규정 준수 운영을 지켜야 한다.
외부 사이버 보안 위협 및 대응
자체 취약점 외에도 Web3 외부 보안 위험은 빈번하게 발생하며, 가장 흔한 것이 피싱 웹사이트와 에어드랍 사기이다.
따라서 홍콩 증권선물위원회(SFC)는 보고서에서 면허 회사가 지속적으로 강화되는 사이버 공격 위협에 대응하기 위해 더욱 능동적인 보안 전략을 취해야 한다고 강조했다. 특히 Web3 비즈니스 환경에서는 자금, 계약, 디지털 자산의 고도로 디지털화로 인해 전통 금융기관이 직면한 사이버 보안 과제가 Web3 회사에서 더욱 확대된다.
다음은 증권선물위원회가 중점적으로 주목하는 몇 가지 고위험 영역과 이에 대한 맞춤형 방어 전략이다:
피싱 공격
이는 Web3 산업에서 가장 흔하고 성공률이 가장 높은 사기 수단 중 하나일 것이다.
Web3 회사 입장에서 피싱은 단순한 사기 행위를 넘어서 해커가 대규모 공격을 개시하는 입구가 될 수 있다. 특히 Web3 분야에서는 피싱이 자금 도난, 스마트 계약 취약점 악용, 악의적 승인, 심지어 개인키 유출의 서막이 되는 경우가 많다. 해커는 거래 웹사이트를 위조하거나 사기성 dApp 링크를 보내며 공식 팀을 사칭하는 방법으로 사용자가 전혀 인지하지 못한 채 민감한 정보를 유출하게 만들며, 결국 심각한 자금 손실과 보안 위기에 직면하게 된다.
이러한 위협을 완화하기 위해 Web3 회사는 기본적인 인식 교육을 넘어서 다층 방어 전략을 채택할 것을 권장한다:
고급 이메일 보안 게이트웨이(SEG)
기존의 메일 필터링 기술로는 점점 복잡해지는 피싱 공격을 더 이상 대응할 수 없다. SFC는 면허 회사가 고급 이메일 보안 게이트웨이(SEG)를 배치하여 피싱 메일 공격을 탐지하고 차단할 것을 지적했다. 예를 들어 AI 기반 이메일 보안 솔루션을 도입하여 위조 도메인, 의심스러운 첨부 파일, 악성 링크를 탐지하는 것이 좋다. 이러한 도구는 실시간 위협 정보와 통합되어 신종 피싱 활동을 차단해야 한다.
강력한 신원 인증 메커니즘 도입
피싱 공격은 주로 로그인 자격정보를 노리기 때문에 Web3 기업은 모든 핵심 시스템에 다중 인증(MFA)을 의무적으로 시행해야 한다. 특히 거래 플랫폼, 개인키 관리, 핫월렛 접근, 규제 시스템과 관련된 환경에서는 더욱 그렇다. 또한 사용자 계정 권한을 최소한으로 줄이고 최소 권한 원칙(PoLP)을 채택하여 피싱 공격으로 인한 피해를 제한해야 한다.
정기적인 직원 교육 및 시뮬레이션 피싱 테스트
직원은 첫 번째 방어선이지만, 순수한 보안 교육만으로는 직원들의 습관적 행동을 바꾸기 어렵다. 따라서 Web3 회사는 (1) 금융 서비스 및 디지털 자산의 특정 리스크에 초점을 맞춘 지속적인 사이버 보안 인식 교육을 통해 직원이 복잡한 피싱 시도를 식별하고 신고할 수 있도록 하고, (2) 정기적으로 시뮬레이션 피싱 연습을 실시하여 직원의 보안 인식과 반응을 분석·평가하고, 이를 통해 사건 대응 프로토콜을 개선하는 두 가지 조치를 취할 것을 권장한다.
신속한 대응 및 비상 대응 체계 구축
Web3 회사는 표준화된 피싱 시도 신고 절차를 마련하여 위협을 신속히 조사하고 완화 조치를 취할 수 있도록 해야 하며, 상황 악화를 방지해야 한다. 예를 들어 피싱 사건 발생 시 기업은 즉시 영향을 받은 계정이나 시스템을 격리하고 비상 대응 절차를 즉각 가동해야 하며, 여기에는 악의적 계약 승인 취소, 영향받은 자금 동결, 관련 규제 기관 및 고객 통보가 포함된다. 또한 성공한 피싱 침입은 포렌식 조사 및 내부 보안 정책 업데이트를 유발해야 한다.
거래 및 서명 보안 알림
Web3 환경에서는 악성 웹사이트 및 dApp(탈중앙화 애플리케이션)이 사용자를 유도하여 악성 스마트 계약에 서명하게 만들 수 있다. 따라서 기업은 보안 거래 확인 메커니즘을 도입해야 한다. 예를 들어 월렛 거래 인터페이스에서 스마트 계약 권한에 대한 자세한 설명을 제공하고, 사용자가 승인 전에 시뮬레이션 도구를 사용해 거래 내용을 검증하도록 유도해야 한다.
가상자산 거래, 토큰화 자산 및 DeFi 유형의 Web3 회사의 경우, 피싱 리스크는 전통적인 이메일 사기 이상으로 확대되었다. 해커는 악성 이메일이나 피싱 웹사이트 발송에만 국한되지 않고, 공식 통신을 위조하거나 사용자가 악성 스마트 계약을 승인하게 유도하거나 심지어 월렛 서명 요청을 위조하는 등 더욱 교묘한 사회공학 기법을 이용하여 일반적인 보안 방어를 우회하고 직접 사용자의 가상자산 통제권을 얻는다.
이에 대해 Web3 회사의 피싱 방지 전략은 기초적인 보안 인식 교육에 머무르지 말고, 월렛 보안 관리, 스마트 계약 상호작용 검토, 엄격한 거래 검증 메커니즘을 포함하여 잠재적 리스크를 최대한 줄여야 한다.
원격 접속 보안
재택근무는 Web3 기업의 일반적인 형태가 되었지만, 동시에 사이버 공격의 공격 표면을 증가시켰다. 원격 접속 관리를 잘못하면 해커는 약한 자격정보, 암호화되지 않은 연결, 또는 해킹된 장치를 통해 핵심 시스템에 접근하여 심각한 보안 위험을 초래할 수 있다.
원격 접속 보안을 확보하기 위해 Web3 기업은 다음 조치를 취할 것을 권장한다:
-
다중 인증(MFA) 의무화. 특히 관리 패널, 개인키 저장 시스템, 금융 거래 백오피스 접근 시 반드시 시행해야 한다.
-
제로 트러스트 아키텍처(ZTA) 사용. IP 화이트리스트나 VPN에 의존하지 않고 모든 접속 요청을 엄격히 검증한다.
-
원격 접속 로그 모니터링. 비정상적인 접속 패턴(예: 이례적인 시간대, 지리적 위치, 장치 로그인)을 식별한다.
-
모든 원격 연결 암호화. 엔드투엔드 암호화(E2EE) 및 기업용 VPN을 사용하여 중간자 공격을 방지한다.
제3자 IT 서비스 제공업체의 잠재적 보안 위험
제3자 IT 서비스 제공업체를 사용하면 추가적인 사이버 보안 고려사항이 발생한다. 기업은 공급업체의 보안 상태를 평가하기 위해 철저한 실사를 수행해야 한다. 여기에는 보안 정책 검토, 사고 대응 절차 이해, 관련 규제 요건 준수 확인이 포함된다. 데이터 보호에 관한 명확한 계약 의무를 설정하고 정기적인 보안 평가를 실시하면 제3자 제공업체와 관련된 리스크를 추가로 완화할 수 있다.
많은 Web3 기업은 클라우드 스토리지, 인증, 스마트 계약 감사, 결제 처리 등의 서비스를 위해 제3자 공급업체에 의존하고 있다. 그러나 공급업체 자체에 보안 취약점이 존재할 경우 해커 공격의 돌파구가 될 수 있다.
공급망 공격 리스크를 줄이기 위해 Web3 면허 기업은 다음을 수행할 수 있다:
-
보안 실사 수행. 공급업체의 사이버 보안 수준, 데이터 처리 정책, 사고 대응 절차, 규정 준수 인증(예: ISO 27001 또는 SOC 2) 등을 평가한다.
-
계약 의무 명확화. 공급업체가 데이터 보호, 사고 대응, 보안 감사 측면에서 책임을 지도록 보장한다.
-
정기적인 공급업체 보안 평가 수행. 예를 들어 공급업체에 최신 보안 보고서를 요구하고 침투 테스트를 실시하여 인프라에 중대한 취약점이 없는지 확인한다.
클라우드 보안 위협
클라우드 컴퓨팅은 Web3 기업의 핵심 인프라가 되었으나, 잘못 구성된 클라우드 스토리지, 암호화되지 않은 데이터, 과도하게 열린 접근 권한은 해커가 민감한 정보를 쉽게 훔쳐갈 수 있게 만든다.
클라우드 보안을 확보하기 위해 Web3 기업은 다음 조치를 취할 것을 권장한다:
-
엄격한 접근 통제 시행. 역할 기반 접근 제어(RBAC)를 사용하여 민감한 데이터에 대한 접근 권한을 제한한다.
-
정지 상태 및 전송 중 데이터 암호화. 클라우드에 저장된 모든 고객 데이터를 AES-256으로 암호화하여 데이터 유출을 방지한다.
-
정기적인 클라우드 보안 감사 수행. 잘못된 설정 및 잠재적 리스크를 식별하여 S3 버킷 오픈 접근과 같은 일반적인 문제를 방지한다.
동시에 Web3 기업은 클라우드 보안의 공유 책임 모델을 이해하고, 어떤 보안 요소는 클라우드 제공업체가 관리하며, 어떤 부분이 기업 자신의 책임인지 파악해야 한다.
맨큐 법률사무소 요약
SFC의 보고서는 다시 한번 사이버 보안이 기술적 문제가 아니라 면허 회사의 규정 준수 운영의 핵심 단계임을 강조한다. 경영진의 직접적 책임이든, 내부 보안 방어든, 외부 위협 대응이든, Web3 면허 기업은 규제 요건을 충족하고 고객 자산 보안을 보호하기 위해 장기적이고 안정적인 사이버 보안 전략을 수립해야 한다.
더 주목할 점은, 2월 7일 SFC가 2025년에 기존의 사이버 보안 요건 및 기대 기준을 전면적으로 검토하고, 모든 Web3 면허 회사에 더 명확한 규정 준수 지침을 제공하며 사이버 보안 리스크를 보다 효과적으로 관리할 수 있도록 하는 업계 전체의 사이버 보안 프레임워크를 마련할 계획이라고 발표했다는 점이다.
따라서 Web3 면허 회사는 규제 요건이 강화될 때 신속히 적응할 수 있도록 사전에 준비해야 한다. 동시에 맨큐 법률사무소는 면허 여부에 관계없이 모든 Web3 기업이 현재의 사이버 보안 구조를 능동적으로 평가하고, 내부 거버넌스 메커니즘을 보완하며, 규정 준수 대응을 강화하여 미래 규정 조정으로 인한 운영 리스크를 줄이고 시장 경쟁력을 향상시킬 것을 제안한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














