일본 금융청은 개인 자산 보호에서 전체 생태계 방어로 전환하는 차원에서 사이버 보안 평가를 의무화하는 정책 초안을 발표했습니다.
일본은 암호화폐 산업의 사이버 보안 관리 방식에 있어 중요한 진전을 이루고 있습니다. 금융청( FSA )은 2026년 2월 10일, 거래소에 대한 의무적인 사이버 보안 기준을 수립하는 새로운 프레임워크 정책 초안을 발표했습니다. 이는 자산 유형별 맞춤형 보안 접근 방식에서 전체 생태계를 아우르는 포괄적인 방어 프로토콜로의 전환을 의미합니다.
이번 정책 지침에는 일본 내 모든 등록 및 운영 중인 암호화폐 거래소가 사이버 보안 자체 평가를 의무적으로 실시해야 한다는 내용이 포함되어 있습니다. 규제 당국은 3월 11일까지 의견을 수렴하여 거래소 및 보안 전문가 등 이해관계자들이 3주간의 의견을 제시할 수 있도록 할 예정이며, 최종 확정 및 시행은 4월 1일부터 시작되는 2026 회계연도에 이루어질 예정입니다.
규제 당국은 정교한 간접 공격 방식이 증가하고 있음을 지적하며, 콜드 월렛에만 의존하는 것이 더 이상 안전한 자산 관리를 보장하지 못할 수 있다고 경고했습니다. 오프라인 콜드 월렛은 원격 직접 침입으로부터 자산을 보호하는 데 도움이 되지만, 현대의 위협 행위자들은 암호화폐 자산 관리의 이면에 있는 인적 및 운영 인프라를 표적으로 삼고 있습니다.
3대 핵심 전략 체계는 다층적 방어 체계를 강화합니다.
사이버 보안 평가 프레임워크는 거래소가 지갑 보안 및 네트워크 아키텍처와 같은 기술 인프라, 직원 교육 및 사기 대응 절차를 포함한 인적 및 운영 위험, 제3자 공급업체 관리 및 데이터 무결성 보호 메커니즘 등 보안 영역의 여러 구성 요소를 체계적으로 평가하고 일본의 개인정보보호법을 준수하도록 요구합니다.
이러한 변화는 2024년에 발생한 주요 보안 침해 사고로 인해 드러난 취약점을 해결하기 위한 것입니다. 이번 지침은 특히 피싱 공격을 통해 직원을 감염시키거나 거래소 시스템에 접근 권한을 보유한 서비스 제공업체 및 계약업체를 침투하여 기술적 방어를 우회하는 공격에 초점을 맞추고 있습니다.
성공적인 이행은 세 가지 핵심 요소의 결합에 기반합니다. 자립이라는 핵심 요소는 각 거래소가 운영을 안전하게 보호할 수 있도록 일차적인 책임을 부여하는 것으로, 2026 회계연도부터 모든 등록된 거래소가 의무적인 평가를 받도록 규정하고 있습니다.
상호 지원의 기반은 업계 협력을 통한 집단 지성에 있으며, 규제 기관은 일본 암호화폐 및 가상화폐거래협회의 보안위원회 기능 강화를 지원하고 거래소들이 위협, 공격 패턴 및 방어 전략에 대한 정보를 적극적으로 공유하도록 장려합니다.
공공 지원 부문에서는 규제 당국이 2025 회계연도에 시작된 신흥 위협에 대한 국경 간 블록체인 연구 프로그램을 지속하고, 정책 채택 후 3년 이내에 금융 기관을 위한 공동 사이버 보안 훈련인 델타 월(Delta Wall)에 전체 거래소 부문을 참여시킬 것입니다.
규제 기관은 2026 회계연도에 특정 운영 단위에 대한 실제 침투 테스트를 실시할 계획이며, 잠재적으로 화이트햇 침투 테스터를 고용하여 운영 거래소 시스템에 침입을 시도할 예정입니다. 이러한 승인된 공격은 해커가 취약점을 악용하기 전에 이를 탐지하는 것을 목표로 하며, 결과는 안전하게 공유되어 거래소가 취약점을 수정하고 객관적인 모니터링 지표를 제공하는 데 도움이 됩니다.
