--- url: 'https://www.corbado.com/ko/blog/malaysia-banking-mfa-passkeys' title: '말레이시아 중앙은행 리스크 관리: MFA 업데이트' description: '말레이시아의 업데이트된 RMiT 정책에서 변경된 사항, BNM이 피싱 저항성 MFA를 요구하는 이유 및 패스키가 규정 준수에 어떻게 도움이 되는지 알아보세요.' lang: 'ko' author: 'Alex' date: '2026-05-22T13:57:48.299Z' lastModified: '2026-05-22T13:57:48.299Z' keywords: 'RMiT 말레이시아, BNM RMiT 2025, 말레이시아 MFA 규제, 말레이시아 중앙은행 인증, RMiT 패스키, 피싱 저항성 MFA 말레이시아, 기기 바인딩 말레이시아 은행, SMS OTP 말레이시아, RMiT 규정 준수, 말레이시아 디지털 뱅킹 보안' category: 'Authentication' --- # 말레이시아 중앙은행 리스크 관리: MFA 업데이트 ## Key Facts - **RMiT**: 2025년 11월, BNM(말레이시아 중앙은행)의 인증 가이드라인이 말레이시아 내 모든 인가된 은행, 보험사, 전자 화폐 발행사 및 결제 시스템 운영자에게 적용되는 법적 구속력이 있는 규제로 전환됩니다. - **SMS OTP**: 단독 2단계 인증 요소로는 명시적으로 규정 미준수로 간주됩니다. MFA는 가로채기 방지(interception-resistant) 기능이 있어야 하며 특정 수취인 및 금액과 연결되어야 합니다. - **기기 바인딩**: 계정당 하나의 모바일 기기를 기본으로 합니다. 다중 기기 액세스는 고객의 명시적인 동의와 감사 가능한 예외 처리 프로세스가 필요합니다. - **패스키**(FIDO2/WebAuthn): 피싱 저항성 MFA, 비밀번호 없는 인증 및 기기 바인딩 요구 사항을 동시에 충족하므로 완전한 규정 준수를 위한 가장 직접적인 방법입니다. - 말레이시아 은행들은 2024년에 3억 8,300만 링깃(1억 미국 달러) 이상의 사기 거래를 차단했으며, 이는 피싱 저항성 제어의 의무화 전환을 촉진했습니다. ## 1. 서론 말레이시아 중앙은행(Bank Negara Malaysia, BNM)은 2023년 6월 버전을 대체하는 업데이트된 [기술 위험 관리(RMiT)](https://www.bnm.gov.my/documents/20124/938039/pd-rmit-nov25.pdf) 정책을 2025년 11월에 발표했습니다. 이 업데이트는 광범위한 기술 위험 영역을 다루지만, 가장 중대한 변화는 인증, 기기 바인딩, 다중 요소 인증(MFA) 및 사기 예방 분야에 있습니다. 금융 기관을 위한 이 말레이시아 [뱅킹](https://www.corbado.com/passkeys-for-banking) 규제는 더 이상 모범 사례나 가이드라인이 아닌 의무적인 표준이 되었습니다. BNM은 2023년부터 기관들이 SMS OTP에서 벗어나도록 지속적으로 유도해 왔습니다. 이유는 간단했습니다. 사기꾼들은 고객이 확인하기도 전에 SMS 인증 코드를 가로채는 도구를 개발했으며, SIM 스와핑 공격을 통해 자신들이 통제하는 기기로 코드를 우회시켰기 때문입니다. 말레이시아 은행들은 연례 보고서에 따르면 2024년 한 해에만 총 3억 8,300만 링깃(1억 미국 달러) 이상의 사기 거래를 차단했습니다. 2025년 11월 업데이트는 이러한 진행 상황을 반영하여 구속력 있는 규제로 성문화한 것입니다. 이 글에서는 업데이트된 RMiT의 주요 인증 및 MFA 변경 사항을 분석하고, 규제 배경을 설명하며, 패스키 및 피싱 저항성 인증이 규정 준수 환경에서 어떻게 적용되는지 보여줍니다. 우리는 다음 질문에 대해 답해 보겠습니다. 1. RMiT 정책이란 무엇이며 누구에게 적용되나요? 2. 2025년 11월 이전의 인증 환경은 어떠했나요? 3. 인증 및 MFA 요구 사항의 가장 중요한 변경 사항은 무엇인가요? 4. 패스키는 금융 기관이 업데이트된 RMiT를 준수하는 데 어떻게 도움이 되나요? ## 2. 말레이시아 중앙은행(BNM)의 기술 위험 관리(RMiT) 정책이란? RMiT 정책은 규제를 받는 금융 기관이 기술 위험을 관리하는 방법을 규율하는 BNM의 **중앙 규제 프레임워크**입니다. BNM RMiT 규정 준수는 디지털 채널과 위협 수준이 진화함에 따라 [금융 서비스](https://www.corbado.com/passkeys-for-banking)의 가용성, 복원력 및 신뢰를 유지하는 것을 목표로 IT 거버넌스, 사이버 보안, 디지털 서비스, 클라우드 사용 및 인증 제어에 대한 요구 사항을 설정합니다. 이 정책은 또한 클라우드 사용을 아웃소싱의 한 형태로 간주하여, 기관이 고객 데이터 및 암호화 키에 대한 적절한 소유권과 통제권을 유지하도록 요구합니다. 실제로 RMiT는 말레이시아의 규제를 받는 모든 금융 기관이 기술 위험 태세를 구축해야 하는 규정 준수의 기준선입니다. ## 3. RMiT 정책은 누구에게 적용되나요? RMiT 요구 사항은 BNM의 규제를 받는 모든 금융 기관에 적용됩니다. 적용 범위는 전통적인 은행뿐만 아니라 보험사, 전자 화폐 발행사, [결제](https://www.corbado.com/passkeys-for-payment) 시스템 운영자 및 송금 기관까지 아우를 정도로 광범위합니다. 다음 표는 주요 범주를 요약한 것입니다. | **기관 범주** | **예시** | | ----------------------------- | ----------------------------------------------------------------------- | | **인가된 은행** | CIMB Bank, Maybank, HSBC Malaysia, Hong Leong Bank, AmBank, Public Bank | | **인가된 투자 은행** | CIMB Investment Bank, Affin Hwang, AmInvestment Bank | | **인가된 이슬람 은행** | Bank Islam Malaysia, Bank Muamalat, CIMB Islamic Bank | | **인가된 보험사 및 재보험사** | AIA Berhad, Allianz General, Etiqa General, AXA Affin | | **타카풀 운영자 및 재타카풀** | AIA PUBLIC Takaful, Etiqa Family Takaful, FWD Takaful | | **개발 금융 기관** | Agrobank, Bank Rakyat, BSN, SME Bank, EXIM Bank | | **승인된 전자 화폐 발행사** | Boost, GrabPay, BigPay, TNG Digital, Kiplepay | | **결제 시스템 운영자** | Visa, Mastercard, PayNet, UnionPay, JCB, Alipay Connect | | **등록된 가맹점 매입사** | iPay88, Adyen Malaysia, GHL Cardpay, Revenue Monster | | **중개 송금 기관** | MoneyGram, Western Union, Merchantrade Asia, Tranglo | 실질적으로 조직이 말레이시아 금융 부문에서 운영하기 위해 BNM 라이선스, 등록 또는 승인을 보유하고 있다면 RMiT가 적용됩니다. ## 4. 2025년 11월 이전의 BNM 인증 요구 사항은 어떠했나요? 2025년 11월 업데이트 이전에도 RMiT에는 의미 있는 인증 요구 사항이 포함되어 있었지만, 많은 부분이 의무적 표준이라기보다는 가이드라인 수준에 머물러 있었습니다. 기준선을 이해하면 얼마나 변경되었는지 명확하게 파악할 수 있습니다. ### 4.1 MFA 제어 - 특히 개방형 제3자 자금 이체 및 [결제](https://www.corbado.com/passkeys-for-payment) 거래와 같은 고위험 거래에 MFA가 요구되었습니다. - 10,000링깃 이상의 거래에 특별히 초점을 맞췄지만, 2023년 버전부터는 모든 디지털 거래에 대해 MFA 적용을 권장하기 시작했습니다. - 2023년 버전에서는 "가로채기나 조작에 저항하는" 인증으로의 전환을 명시적으로 권장하며 SMS 기반 OTP의 종말을 예고했습니다. - MFA는 2023년에 "가이드라인"(모범 사례)에서 "표준"(의무 사항)으로 상향 조정되었습니다. ### 4.2 인증 제어 및 액세스 관리 - 기관은 최소 권한의 원칙을 적용하고 최소 연 1회 액세스 매트릭스를 검토해야 했습니다. - 권한이 부여된 계정은 액세스가 내부 또는 외부인지에 관계없이 필수 MFA를 포함하여 더 엄격한 제어가 요구되었습니다. - 내부 네트워크에 대한 원격 액세스(예: VPN을 통한 연결)에는 협상 불가능한 표준으로 MFA가 요구되었습니다. ### 4.3 디지털 서비스 제어 2023년 RMiT의 부록 11은 디지털 [뱅킹](https://www.corbado.com/passkeys-for-banking) 보안의 핵심 참조 문서였습니다. 이 문서에서는 거래 서명(MFA를 수취인 및 금액과 같은 거래 세부 정보와 연결), 기기 바인딩(사용자의 디지털 신원을 신뢰할 수 있는 기기와 연결) 및 일반적인 사기 대응책을 요구했습니다. ## 5. BNM RMiT 정책의 가장 중요한 변경 사항은 무엇인가요? 2025년 11월 업데이트는 2022년 및 2024년 사기 대응책 사양을 포함하여 이전의 여러 회람 및 사양을 통합하고 강화합니다. 그 결과, 기관이 사용자를 인증하고 디지털 서비스를 보호하는 방법에 대한 더 날카롭고 의무적인 요구 사항을 갖춘 단일의 포괄적인 정책이 탄생했습니다. 가장 중요한 5가지 영역은 다음과 같습니다. ### 5.1 기본적으로 사용자당 하나의 기기 _"계정 소유자당 기본적으로 하나의 모바일 기기 또는 보안 기기로 디지털 서비스 거래 인증을 제한하기 위해 안전한 바인딩 및 바인딩 해제 프로세스를 보장할 것"_ — RMiT 부록 3, 단락 3(a) 이는 합법적인 기기가 활성화되어 있는 동안 사기꾼이 기존 계정에 새 기기를 등록하고 자금을 빼돌리는 SIM 스와핑 사기 및 계정 탈취 공격에 대한 직접적인 대응입니다. "기본"이라는 틀이 중요합니다. 고객은 여러 기기를 사용하도록 선택할 수 있지만, 명시적으로 이를 요청하고 관련 위험을 감수해야 합니다. 기관은 다중 기기를 기본값으로 설정할 수 없습니다. 실질적으로 이는 온보딩 및 인증 흐름이 기기 등록을 추적하고, 기본적으로 단일 바인딩을 적용하며, 고객이 요청한 예외 사항에 대해 명확하고 감사 가능한 프로세스를 유지해야 함을 의미합니다. ### 5.2 전화번호 변경에 대한 강력한 인증 _"새 휴대폰 번호의 등록 또는 기존 휴대폰 번호의 교체는 고객의 진위 여부를 확인하기 위해 강력한 인증 방법을 적용한 후에만 처리할 것"_ — RMiT 부록 3, 단락 3(c) 많은 기관이 여전히 현재 번호로 전송된 OTP만으로 전화번호 변경을 처리하고 있습니다. 번호가 이미 손상되었거나 SIM이 스와핑된 경우 이러한 접근 방식은 실패합니다. BNM이 말하는 "강력한 인증"이란 변경되는 채널을 넘어서는 방법을 의미합니다. 여기에는 신원 재확인, 생체 인식을 사용한 스텝업 인증 또는 고위험 변경 시 지점 방문 확인 등이 포함됩니다. ### 5.3 새 기기에 대한 숙려 기간 및 거래 한도 _"디지털 서비스 또는 보안 기기의 최초 등록 및 연속적인 대규모 거래 또는 기타 비정상적인 거래 패턴에 대해 적절한 인증 및 숙려 기간을 적용할 것"_ — RMiT 부록 3, 단락 3(e) 새로 등록된 기기는 즉시 전체 거래 기능을 가져서는 안 됩니다. 기관은 기기와 사용자 행동이 신뢰 기록을 구축함에 따라 점진적으로 해제되는 시간 기반 제한 및 속도 제어를 구현해야 합니다. 해커가 액세스 권한을 얻으면 일반적으로 일일 이체 한도를 높이고 즉시 자금을 이동하려고 시도합니다. 숙려 기간은 합법적인 소유자와 은행의 사기 방지 팀이 세션을 탐지하고 중지할 수 있는 창을 제공합니다. 실시간 행동 프로파일링 및 위험 점수 매기기를 요구하는 사기 탐지 표준과 결합될 때, 이는 분명한 기대치를 생성합니다. 즉, 인증 계층은 자격 증명뿐만 아니라 컨텍스트도 인식해야 합니다. ### 5.4 암호화되지 않은 SMS보다 더 안전한 MFA 이것은 업데이트에서 가장 중요한 인증 요구 사항입니다. 이는 수년간의 BNM 가이드라인을 바탕으로 하며 이를 구속력 있는 표준으로 전환합니다. _"암호화되지 않은 SMS보다 더 안전한 MFA 기술 및 채널 구축 ... MFA 솔루션은 인증 프로세스 전반에 걸쳐 제3자에 의한 가로채기 또는 조작에 저항력이 있을 것"_ — RMiT 부록 3, 단락 5 및 6 이 정책은 **거래 바인딩**을 도입하여 한 걸음 더 나아갑니다. _"인증 코드는 MFA를 사용하여 지불인/송금인이 로컬에서 개시하고 생성해야 함 ... 지불인/송금인이 생성한 인증 코드는 확인된 특정 수취인 및 금액과 구체적으로 일치해야 함"_ — RMiT 부록 3, 단락 6(c) 및 6(d) 거래 바인딩은 인증 코드가 세션이나 로그인에만 연결되는 것이 아니라 특정 거래 세부 정보(수취인 및 금액)와 연결되어야 함을 의미합니다. 이는 사용자가 이미 인증한 후 사기꾼이 거래를 조작하는 "OTP 우회" 공격을 직접적으로 해결합니다. 계정 A로의 500링깃 [결제](https://www.corbado.com/passkeys-for-payment)를 위해 생성된 OTP는 계정 B로의 50,000링깃 결제를 승인하는 데 재사용될 수 없습니다. 여전히 SMS OTP를 기본 두 번째 요소로 사용하는 기관의 경우, 이는 전환 경로가 더 이상 선택 사항이 아님을 보여주는 가장 분명한 신호입니다. 아래 표는 새로운 요구 사항과 일치하는 MFA 방법을 요약한 것입니다. | **MFA 방법** | **피싱 저항성** | **RMiT 준수** | | --------------------------------------- | --------------- | ----------------------------------- | | **SMS OTP** | 아니요 | 아니요 | | **TOTP (예: Google Authenticator)** | 아니요 | 부분적(전환기에만 허용) | | **푸시 알림** | 아니요 | 부분적(전환기에만 허용) | | **거래 세부 정보가 포함된 인앱 OTP** | 부분적 | 예(가로채기 방지 기능이 있는 경우) | | **패스키 (FIDO2 / WebAuthn)** | 예 | 예 | | **하드웨어 보안 키 (FIDO2)** | 예 | 예 | ### 5.5 BNM RMiT를 위한 패스키 및 암호화 키 기반 인증 BNM은 또한 기관이 비밀번호 없는 대안을 제공하도록 명시적으로 요구합니다. _"고객에게 기존 비밀번호 기반 인증 방법에 대한 대안으로 디지털 인증서 또는 비밀번호 없는 인증과 같은 강력한 암호화 키 기반 인증을 제공할 것"_ — RMiT 부록 3, 단락 9 이는 패스키, 하드웨어 지원 인증 또는 인증서 기반 방법으로 이동하라는 명확한 지시입니다. SMS OTP 교체에 초점을 맞춘 MFA 업그레이드와 달리, 이 요구 사항은 비밀번호 자체를 대상으로 합니다. 이 두 가지 요구 사항은 함께 작동합니다. 기관은 두 번째 요소를 위해 SMS를 넘어서야 **하며** 첫 번째 요소로 비밀번호에 대한 대안을 제공해야 합니다. 패스키는 여기에 가장 적합한 방법입니다. 단일 패스키 자격 증명은 두 가지 요구 사항을 동시에 충족합니다. 이것은 암호화 키 기반 인증 방법(단락 9)이며, 암호화되지 않은 SMS보다 더 안전하고(단락 5~6), 패스키가 특정 출처(웹사이트 또는 앱)에 인증을 바인딩하기 때문에 거래 바인딩의 의도도 지원합니다. ## 6. 요약: 2025년 11월 업데이트 전후 | **영역** | **2025년 11월 이전** | **2025년 11월 이후** | | ------------------------- | ---------------------------------------------------------- | ----------------------------------------------------------------------------------------------- | | **기기 바인딩** | 요구되었으나, 다중 기기 설정이 일반적이었고 느슨하게 관리됨 | 기본적으로 사용자당 하나의 기기. 명시적인 고객 요청 및 감사 추적이 있는 경우에만 다중 기기 허용 | | **전화번호 변경** | 종종 현재 번호로 SMS OTP를 보내 처리됨 | 강력한 검증 필요(생체 인식, 지점 방문 또는 독립 채널) | | **새 기기 등록** | 등록 후 즉시 전체 액세스 권한 부여가 일반적이었음 | 의무적인 숙려 기간. 신뢰 구축 단계 동안 거래 한도 적용 | | **SMS OTP** | 권장되지 않았으나 주요 두 번째 요소로 용인됨 | 단독 MFA로는 명시적으로 규정 미준수. 가로채기 방지 방법으로 교체해야 함 | | **거래 바인딩** | 고위험 거래에 요구됨(일반적) | 인증 코드는 수취인 및 금액과 구체적으로 일치해야 하며 로컬에서 생성되어야 함 | ## 7. 지역적 맥락: 말레이시아만의 일이 아닙니다 말레이시아의 업데이트된 RMiT는 더 넓은 지역적 트렌드 속에 있습니다. 아시아 태평양 전역의 금융 규제 기관들은 기기 바인딩 자격 증명, 피싱 저항성 MFA, 비밀번호 및 SMS OTPからの 탈피라는 동일한 요구 사항으로 수렴하고 있습니다. - **싱가포르 (MAS):** 싱가포르 통화청은 오랫동안 디지털 [뱅킹](https://www.corbado.com/passkeys-for-banking)을 위해 기기 바인딩과 거래 서명을 요구해 왔으며, 기술 위험 관리(TRM) 가이드라인을 BNM의 접근 방식과 매우 유사한 방향으로 점진적으로 강화해 왔습니다. - **인도 (RBI):** 인도 중앙은행은 특히 비대면 카드 거래 및 UPI 거래에 대해 추가 인증 요소와 거래별 승인을 요구해 왔습니다. - **홍콩 (HKMA):** 홍콩 금융관리국의 전자 뱅킹 가이드라인은 고위험 작업에 대해 강력한 고객 인증과 기기 등록 제어를 요구합니다. - **베트남 (베트남 중앙은행):** 베트남 중앙은행의 회람 45/2025는 은행이 특정 고액 거래를 위해 칩 기반 국민 신분증 또는 국가 데이터베이스를 상대로 고객의 생체 정보를 확인하도록 요구하여 중앙화된 검증 단계를 도입했습니다. 암호화 기기 바인딩, 패스키, 거래 수준 인증 등 RMiT 규정 준수에 필요한 아키텍처는 전체 지역이 향하고 있는 방향입니다. 지금 이 아키텍처에 투자하는 기관은 단일 국가 정책뿐만 아니라 규제의 지역적 수렴에 대비하고 있는 것입니다. ## 8. Corbado가 금융 기관의 업데이트된 RMiT 준수를 돕는 방법 Corbado의 플랫폼은 업데이트된 RMiT가 해결하고자 하는 인증 과제를 위해 구축되었습니다. 다음은 핵심 요구 사항이 Corbado의 기능과 어떻게 매핑되는지 보여줍니다. - [**피싱 저항성 MFA**](https://www.corbado.com/blog/passkeys-phishing-resistant) **및 비밀번호 없는 인증:** Corbado의 패스키 구현은 암호화되지 않은 SMS보다 더 안전한 MFA(단락 5~6) 및 비밀번호 대안으로서의 암호화 키 기반 인증(단락 9)에 대한 BNM의 요구 사항을 준수하는 직접적인 경로를 제공합니다. 단일 패스키 자격 증명으로 두 요구 사항을 동시에 해결합니다. - **기기 바인딩:** Corbado는 특정 기기에 연결된 기기 바인딩 패스키 및 암호화 자격 증명을 지원합니다. 온보딩 흐름은 완전한 감사 추적과 함께 고객 요청 예외 사항에 대한 명확한 메커니즘을 통해 기본적으로 1인 1기기 정책을 시행할 수 있습니다. - **감사 및 규정 준수 준비**: Corbado의 원격 측정, 이벤트 로깅 및 보고 기능을 사용하면 인증 제어가 설계되었을 뿐만 아니라 효과적으로 작동하고 있음을 쉽게 증명할 수 있습니다. Corbado는 ISO 27001 인증 ISMS에 따라 운영되며 SOC 2 Type II 인증을 보유하여 말레이시아 금융 기관에 요구되는 기대치에 자사의 보안 태세를 맞추고 있습니다. ## 9. 결론 2025년 11월 RMiT 업데이트는 수년간의 BNM 인증 보안 가이드라인을 구속력 있는 규제로 바꿉니다. SMS OTP는 더 이상 단독 두 번째 요소로서 규정을 준수하지 않습니다. 기기 바인딩은 기본적으로 의무화됩니다. 거래 인증은 특정 결제 세부 정보와 연결되어야 합니다. 그리고 기관은 비밀번호에 대한 암호화 키 기반 대안을 제공해야 합니다. 이미 SMS에서 벗어나 피싱 저항성 방법으로 마이그레이션을 시작한 기관의 경우, 이 업데이트는 그들이 이미 하고 있던 것을 성문화한 것입니다. 그렇지 않은 기관의 경우, 현재 관행과 새로운 표준 사이의 격차는 크며 규정 준수 일정은 이제 고정되었습니다. 패스키는 업데이트된 요구 사항을 충족하는 가장 직접적인 방법입니다. 단일 패스키 자격 증명은 한 번의 구현으로 MFA 업그레이드, 비밀번호 없는 대안 및 기기 바인딩 요구 사항을 충족합니다. 민감한 작업에 대한 스텝업 인증 및 신규 등록을 위한 숙려 기간 로직과 결합되면, 이는 기관에 패치워크 형태의 포인트 솔루션이 아닌 일관된 아키텍처를 제공합니다. 이 주제에 관한 가장 중요한 질문에 대해 다음과 같이 답할 수 있습니다. - **RMiT 정책이란 무엇이며 누구에게 적용되나요?** RMiT는 은행, 보험사, 전자 화폐 발행사, 결제 시스템 운영자 및 송금 제공업체를 포함하여 말레이시아의 규제를 받는 모든 금융 기관에 적용되는 BNM의 중앙 기술 위험 프레임워크입니다. - **2025년 11월 이전의 인증 환경은 어떠했나요?** 고위험 거래 및 권한이 부여된 액세스에 대해 MFA가 이미 의무화되었지만, SMS OTP는 여전히 용인되었고, 다중 기기 설정은 느슨하게 관리되었으며, 비밀번호 없는 대안은 아직 요구되지 않았습니다. - **인증 및 MFA의 가장 중요한 변경 사항은 무엇인가요?** 기본적으로 사용자당 하나의 기기 적용, 전화번호 변경에 대한 강력한 인증, 새 기기에 대한 의무적인 숙려 기간, 거래 바인딩을 포함하여 SMS보다 더 안전한 MFA, 패스키 또는 암호화 키 기반 인증 제공 요구 등 5가지 변경 사항이 눈에 륍니다. - **패스키는 금융 기관이 규정을 준수하는 데 어떻게 도움이 되나요?** 패스키는 단일 구현으로 MFA 업그레이드, 비밀번호 없는 대안, 기기 바인딩 요구 사항을 충족하는 동시에 피싱, SIM 스와핑 및 OTP 가로채기 공격에 대한 저항성을 갖습니다. ## 자주 묻는 질문(FAQ) ### BNM RMiT 규정 준수와 관련하여 '거래 바인딩'이란 무엇을 의미하나요? 거래 바인딩은 각 인증 코드가 지불인에 의해 로컬에서 생성되고, 승인되는 특정 수취인 계정 및 결제 금액과 수학적으로 연결되도록 요구합니다. 이는 사용자가 이미 인증을 마친 후 사기꾼이 거래 세부 정보를 조작하는 OTP 우회 공격을 방지합니다. 한 계정으로의 결제를 위해 생성된 코드는 다른 결제나 금액을 승인하는 데 재사용될 수 없습니다. ### RMiT 2025 업데이트에서 고객이 새 기기를 등록한 후 숙려 기간을 요구하는 이유는 무엇인가요? 숙려 기간은 계정에 대한 액세스 권한을 얻은 사기꾼이 새로 등록된 기기를 통해 즉시 자금을 이체하는 것을 방지합니다. BNM은 새로 등록된 기기의 초기 신뢰 구축 단계 동안 거래 한도 및 시간 기반 제한을 적용하도록 기관에 요구합니다. 이를 통해 합법적인 계정 소유자와 기관의 사기 방지 팀 모두에게 전체 거래 기능이 해제되기 전 탐지할 수 있는 기회를 제공합니다. ### 말레이시아의 업데이트된 RMiT는 아시아의 다른 국가의 인증 규제와 어떻게 비교되나요? 말레이시아의 RMiT 2025는 싱가포르 MAS, 인도 RBI, 홍콩 HKMA, 베트남 중앙은행이 모두 기기 바인딩 자격 증명, 피싱 저항성 MFA 및 SMS OTP 제거로 수렴하고 있는 아시아 태평양 지역의 추세와 일치합니다. 베트남의 회람 45/2025는 특히 고액 거래에 대해 칩 기반 국가 신분증 문서를 상대로 한 생체 인식 검증을 요구합니다. 따라서 RMiT를 준수하는 아키텍처에 투자하는 기관은 단일 국가의 요구 사항뿐만 아니라 규제의 지역적 수렴에 대비하고 있는 것입니다. ### 고객이 등록된 휴대폰 번호를 변경할 때 BNM RMiT는 이제 어떤 검증을 요구하나요? 업데이트된 RMiT는 단순히 현재 번호로 OTP를 보내는 것을 넘어, 모든 전화번호 변경을 처리하기 전에 강력한 검증을 요구합니다. 허용되는 접근 방식으로는 신원 재확인, 스텝업 생체 인증 또는 지점 방문 확인 등이 있으며, 이를 통해 검증 채널이 교체되는 채널과 독립적이도록 보장합니다. 이는 이미 전화번호를 통제하고 있는 사기꾼이 임의로 변경을 승인할 수 있는 SIM 스와핑 공격을 직접적으로 해결합니다.