Q1 2026 데이터: .za는 p=reject 51.0%로 적용 1위, .cz는 p=none 68.7%로 최하위, .au는 p=quarantine 52.6%로 단계적 도입.
도메인이 등록된 국가는 소유자가 DMARC를 얼마나 적극적으로 적용하는지를 좌우합니다. DMARCeye Q1 2026 산업 리포트에서 남아프리카공화국 (.za) 도메인은 51.0%가 p=reject에 도달해 적용 수준이 가장 높습니다. 체코 (.cz) 도메인은 가장 관대해, 68.7%가 여전히 p=none에 머물고 완전 적용 단계는 10.2%에 불과합니다. 호주 (.au) 도메인은 전혀 다른 경로를 택했습니다. 52.6%가 p=quarantine에 있는데, 이는 다른 어떤 최상위 도메인도 거의 선호하지 않는 중간 단계의 단계적 설정입니다.
이 글은 Q1 2026 리포트의 한 가지 관점을 다룹니다. DMARCeye가 가장 집중적으로 모니터링하는 11개 최상위 도메인의 DMARC 정책 분포입니다. 수치는 DMARCeye가 능동적으로 모니터링하는 수천 개 도메인의 결과를 반영합니다. 모니터링되지 않는 더 넓은 도메인 영역의 상황은 거의 확실하게 다를 것이며, 더 나쁠 가능성이 높습니다.
국가 TLD가 DMARC에 대해 알려주는 것
최상위 도메인, 즉 TLD는 도메인 이름 끝에 붙는 접미사입니다. .com, .org, .net은 누구나, 어디서나 등록할 수 있는 일반 TLD (gTLD)입니다. .za, .cz, .de, .au는 특정 국가의 레지스트리에 연결된 국가코드 TLD (ccTLD)입니다 (전체 목록은 Public Suffix List에서 관리됩니다). TLD 자체는 프로토콜로서의 DMARC 동작 방식에 직접 영향을 주지 않습니다. TLD가 알려주는 것은 도메인이 어떤 관할권의 규제 환경, 어떤 업종 구성, 어떤 운영자 관행 아래에서 운영되는지입니다.
DMARC 도입은 국가마다 균일하지 않습니다. 각 관할권의 규제기관, 은행, 대형 플랫폼이 서로 다른 속도로 압박하기 때문입니다. 국가 사기 방지 규정을 준수해야 하는 남아공 은행은 운영 도메인에 p=reject를 게시합니다. 아직 아무도 압박하지 않은 체코의 소규모 사업체는 무기한 p=none에 머무르며 DMARC 리포트를 모니터링하지만 수신측에 조치를 요청하지는 않습니다. TLD가 이런 차이를 만드는 것은 아니지만, 도메인이 운영되는 환경을 가늠하는 유용한 지표입니다.
국가 TLD별 DMARC 정책
Q1 2026 산업 리포트는 DMARCeye가 가장 집중적으로 모니터링하는 11개 최상위 도메인의 DMARC 정책 분포를 측정했습니다. 아래 각 행은 해당 TLD에서 모니터링되는 도메인 중 각 정책 수준이 차지하는 비율을 보여줍니다.
특정 시장을 비교하려는 독자를 위한 TLD별 정확한 수치는 다음과 같습니다.
| TLD | p=none |
p=quarantine |
p=reject |
|---|---|---|---|
| .com | 43.3% | 34.2% | 22.4% |
| .za | 35.7% | 13.3% | 51.0% |
| .de | 39.3% | 24.8% | 36.0% |
| .ca | 55.1% | 17.8% | 27.1% |
| .fr | 49.6% | 23.9% | 26.5% |
| .au | 24.2% | 52.6% | 23.3% |
| .be | 37.3% | 41.3% | 21.3% |
| .uk | 49.0% | 31.1% | 19.9% |
| .eu | 47.7% | 33.8% | 18.5% |
| .nl | 43.0% | 38.8% | 18.2% |
| .cz | 68.7% | 21.1% | 10.2% |
p= 태그가 게시되지 않은 도메인은 제외했습니다.몇 가지 패턴이 두드러집니다.
- .za는 적용 수준에서 선두입니다. 모니터링되는 .za 도메인의 51.0%가
p=reject에 있어, .com 기준선 (22.4%)의 두 배가 넘습니다. 차트에서 모니터링 도메인의 과반이 완전 적용에 도달한 유일한 TLD가 남아공입니다. - .cz는 가장 관대합니다. 모니터링되는 .cz 도메인의 68.7%가 여전히
p=none에 있습니다. 이는 인증 실패에 대해 수신측 조치를 요청하지 않는 모니터링 전용 설정입니다.p=reject비율은 10.2%에 그칩니다. DMARCeye는 체코에 본사를 둔 제품이므로 이 결과는 팀에 익숙하면서도 공개적으로 언급할 가치가 있습니다. .cz 영역은 개선 여지가 상당합니다. - .au는 의도적으로 중간에 있습니다. 모니터링되는 .au 도메인의 52.6%가
p=quarantine에 있습니다. 이는 수신측에 인증 실패를 의심스럽게 다루되 완전히 폐기하지는 말라고 알리는 단계적 설정입니다. 대부분의 TLD는 "모니터링 단계를 넘어선" 비율을p=reject로 보내지만, 호주는p=quarantine으로 보냅니다. .au의 적용 비율 합계 (격리 + 거부)는 75.9%로, .za 다음으로 높습니다. - .de는 .com 기준선보다 적용 수준이 높습니다. 독일 도메인은
p=reject비율이 36.0%로, .com의 22.4%를 크게 웃돕니다. .de에서p=quarantine또는p=reject에 있는 도메인의 합계 비율은 60.8%로, .com의 56.6%를 넘습니다. - 유럽 TLD는 한 무리로 모입니다. .fr, .uk, .eu, .nl, .be 모두
p=reject에서 18%에서 27% 사이에 있으며, 대체로 .com 기준선과 비슷합니다. 유럽의 DMARC 양상은 국가 간 편차보다는 공유된 완만한 도입 곡선의 이야기에 가깝습니다. - .ca는 주요 TLD 중 적용 수준에서 뒤처집니다. 캐나다 도메인은
p=none비율이 55.1%로 두 번째로 높고,p=reject에 도달한 비율은 27.1%에 불과합니다.
지역 패턴을 이끄는 요인
Q1 데이터는 우리가 관측한 결과를 보여줄 뿐, 이유를 보여주지는 않습니다. 아래 패턴은 데이터셋에서 도출한 결론이 아니라 검증해 볼 가설입니다.
가능한 이유 (데이터에서 입증되지 않음):
- 남아공은 이메일 인증을 일찍부터 추진했고, 그 동력은 은행이었습니다. 남아프리카준비은행의 피싱 방지 지침과 금융 사기에 대한 높은 노출은 .za의 대형 발신자가 완전 적용에 도달할 강한 유인을 만들었습니다. 은행이 움직이자 소규모 .za 조직이 그 흐름을 따라갔습니다. 이것이 실제 원인인지는 산업 단위 데이터로 검증해 볼 만한 부분입니다.
- 호주의 규제 압박은 절대적이기보다 단계적이었습니다. 호주 연방 사이버보안 지침은 DMARC 도입을 장려해 왔지만, 다른 일부 관할권처럼
p=reject를 특별히 강하게 밀어붙이지는 않았습니다.p=quarantine비율이 높은 것은, 운영자가 사양에 기술된 단계적 롤아웃 패턴을 따르되 마지막 단계까지는 가지 않은 상태와 일치합니다. - 체코 시장은 같은 수준의 규제 압박을 받지 않았습니다. .cz 도메인은 DMARC가 주요 컴플라이언스 주제가 아닌 시장에서 운영됩니다. 체코 국가사이버정보보안청 (NÚKIB)은 다른 관할권이 발행한 것과 같은 구속력 있는 이메일 인증 지침을 발행하지 않았습니다. 규제라는 강제 요인이 없으면 대부분의 운영자는 무기한
p=none에 머무릅니다. 이것은 결론이 아니라 가설입니다. - 독일의 높은 적용 비율은 업종 구성을 반영할 가능성이 큽니다. 독일 조직은 DMARCeye 데이터셋에서 강한 컴플라이언스 압박을 받는 은행, 보험, 산업 부문 (BaFin, BSI 지침)에 폭넓게 분포해 있습니다. 이 구성이 .de 평균을 위로 끌어올립니다.
- 유럽 TLD가 한 무리로 모이는 것은 공유된 규제 기반을 반영합니다. .fr, .uk, .eu, .nl, .be는 대체로 유사한 압박 (NIS2, GDPR, 각국 CERT) 아래에서 운영됩니다. 도입 곡선이 비슷한 것은, 어느 한 국가가 다른 국가들보다 극단적으로 강하게 밀어붙이지 않는 가운데 공유된 컴플라이언스 기대치라는 기준선과 일치하는 결과입니다.
이것이 여러분의 설정에 의미하는 바
TLD 관점은 두 가지 독자 역할에 가장 실행 가능한 시사점을 제공합니다.
여러 국가 TLD에 걸쳐 마케팅을 운영하는 경우 (서브브랜드용 별도 도메인, 지역별 스토어프론트, 제휴 네트워크 등), 이 차트는 여러분 자신의 자세만큼이나 청중의 도달률 환경을 설명합니다. 모니터링되는 동종 도메인의 51%가 p=reject에 있는 시장에서 .za로 발신하는 것은, 대응 비율이 10.2%인 .cz로 발신하는 것과는 다른 환경입니다. 적용 수준이 높은 환경의 수신측은 해당 환경의 발신자가 보내는 인증 신호에 더 민감합니다. 도메인 인증은 그에 맞게 깨끗해야 하며, 특히 도달률이 매출에 직접 영향을 미치는 거래성 및 주문 관련 메일에서 그렇습니다.
국제 IT 담당자로서 여러 국가 TLD에 자회사를 둔 조직의 인프라를 운영한다면, 이 차트는 기획 입력값입니다. 독일, 체코, 남아공에서 사업을 운영하는 다국적 조직은 세 가지 서로 다른 DMARC 환경을 동시에 다루고 있습니다. .de 측은 이미 p=quarantine 또는 p=reject에 있을 가능성이 높고, .za 측은 정의된 적용 경로 위에 있을 가능성이 크며, .cz 측은 p=none 단계를 넘어가기 위해 적극적인 후원이 필요할 수 있습니다. 서브도메인 정책 공백은 어디에 있고, 각 자회사의 TLD 수준 기준선과 어떻게 상호작용할까요?
어느 쪽이든 중요한 정책은 TLD 평균이 아니라 여러분 도메인의 정책입니다. 우선 여러분 도메인에 현재 어떤 DMARC 레코드가 게시되어 있는지 확인하는 것부터 시작하세요.
발신 출처별로 시간에 따른 DMARC 준수 현황을 확인하려면, 다중 지역 운영에서 흔히 문제가 발생하는 지점이기도 한데, DMARC 리포트를 지속적으로 처리해야 합니다. DMARCeye의 무료 플랜은 한 개 도메인에 대해 전체 리포트 파싱을 지원합니다.
핵심 정리
DMARC 도입은 국가 간 균일하지 않습니다. Q1 2026 데이터는 가장 많이 모니터링되는 11개 TLD의 p=none 비율이 약 60포인트 차이로 벌어져 있음을 보여줍니다.
TLD가 이 차이를 직접 만드는 것은 아닙니다. TLD가 알려주는 것은 도메인이 운영되는 규제 및 시장 환경이며, 이는 어떤 레코드가 게시되기 전부터 DMARC 자세를 좌우하는 두 가지 상위 요인 중 하나입니다. 다른 하나는 DNS 공급업체 선택으로, 규제 맥락이 아니라 운영 성숙도를 보여주는 요인입니다.
여러 국가 TLD에 걸쳐 DMARC 모니터링을 운영하고 있다면, 이 차트는 벤치마크라기보다 여러분 자신의 수치를 해석하는 맥락입니다. DMARCeye는 DMARC 리포트를 파싱해, 여러분이 직접 원시 XML을 해석할 필요 없이 특정 도메인에 대해 무엇이 통과되고, 무엇이 실패하며, 다음으로 무엇을 수정해야 하는지 알려줍니다.