DMARCbis에서 무엇이 바뀌는가

DMARC 표준의 개정판인 DMARCbis가 공식 발표를 눈앞에 두고 있습니다. 2026년에 공개될 예정이며, 현재의 RFC 7489 규격을 대체합니다. 이메일을 보내는 도메인을 운영하고 있다면, 새 표준이 실제로 어떤 의미인지 쉬운 말로 짚어 드립니다.

DMARC는 당신 도메인을 사칭한 메일인지 진짜 당신이 보낸 메일인지 수신함 서비스가 판별할 수 있도록 알려 주는 장치입니다. 청구서, 뉴스레터, 비밀번호 재설정 메일 등을 자사 도메인으로 발송한다면, 사기꾼이 당신을 사칭하지 못하게 막아 주는 것이 바로 DMARC입니다. DMARCbis가 바꾸는 내용 대부분은 눈에 띄지 않는 내부 배관 작업입니다. 그러나 한 가지는 조용하지 않고, 도메인을 운영하는 누구에게나 중요합니다.

핵심 요약

이번 개정의 전부를 다섯 가지로 정리하면 이렇습니다.

• 기존 DMARC 레코드는 그대로 작동합니다. 바꿀 필요가 없습니다. DMARC 레코드를 식별하는 태그(v=DMARC1)는 그대로 유지됩니다.
• 단계적 적용 기능이 사라집니다. DMARC에는 볼륨 다이얼처럼 보호 수준을 천천히 올릴 수 있도록 한 기능이 내장되어 있었습니다. 예를 들어 의심스러운 메일의 10%에만 먼저 규칙을 적용하고 차츰 100%까지 높이는 식이었죠. 그런데 이 다이얼이 실제로는 제대로 작동한 적이 없습니다. DMARCbis는 이 기능을 아예 빼 버립니다.
• 내부 배관 일부가 교체됩니다. 지금까지 수신함 서비스는 당신 조직 도메인이 어디서 끝나는지 판단하기 위해 외부 목록에 의존했습니다. 앞으로는 DNS에 직접 물어봅니다. 대부분의 도메인 소유자는 체감하지 못할 변화입니다.
• 메일링 리스트를 쓰는 도메인을 위한 공식 지침이 새로 생겼습니다. 당신 도메인 사용자가 오픈소스 프로젝트 리스트, 업계 포럼, 협회 뉴스레터 같은 메일링 리스트에 글을 올린다면 DMARC를 끝까지 조이지 마세요. 리스트가 망가집니다.
• 거의 쓰이지 않던 몇몇 태그는 이름이 바뀌거나 사라집니다. 당신 레코드에는 영향이 없습니다. 계속 잘 작동합니다.

이 글의 나머지는 볼륨 다이얼 이야기입니다. 이번 개정에서 진짜 중요한 변화는 그것 하나이기 때문입니다.

정말로 중요한 변화

DMARC는 세 단계의 설정이 있다고 생각하면 됩니다.

• 꺼짐 (기본값 p=none): 아무 규칙도 적용하지 않습니다. 리포트는 받지만, 수신함 서비스는 의심스러운 메일에 아무 조치도 취하지 않습니다.
• 격리 (p=quarantine): 의심스러운 메일을 스팸 폴더로 보냅니다.
• 차단 (p=reject): 의심스러운 메일이 누구에게도 도착하지 못하도록 막습니다.

'꺼짐'에서 곧장 '차단'으로 넘기는 것이 가장 위험한 선택입니다. 스위치를 올리는 그 순간, 당신이 잊고 있던 발송 출처, 예를 들어 결제 대행 업체, 예전에 쓰던 마케팅 도구, 오래된 CRM, 잊혀진 청구 플랫폼에서 보낸 메일이 조용히 차단되기 시작합니다. 진짜 메시지가 사라집니다. 영수증을 기다리던 고객에게 영수증이 가지 않습니다. 이런 상황이 두려워서 많은 팀이 몇 년째 '꺼짐' 상태에 머물러 있습니다.

기존 DMARC 규격에는 이런 사태를 막기 위한 기능이 있었습니다. 바로 pct 태그이며, 볼륨 다이얼처럼 작동하도록 설계되었죠. '첫 주에는 의심 메일의 10%에만 차단 규칙을 적용해라, 그다음 50%, 그다음 100%로 올려라' 같은 식으로 수신함 서비스에 지시할 수 있었습니다. 이론상으로는 이 과정에서 잊고 있던 발송 출처를 하나씩 찾아내고, 모든 것이 한꺼번에 망가지는 일을 피할 수 있어야 했습니다.

하지만 실제로는 다이얼이 작동하지 않았습니다. 수신함 서비스마다 비율을 다르게 해석했고, 상당수는 부분 적용 자체를 무시했습니다. 저희 자체 데이터를 보면 pct 태그가 제대로 쓰인 경우는 극히 드물었고, 대부분의 도메인은 아예 쓰지 않았습니다. pct=10을 적어 놓고 기도하는 수준이었고, 실제로 규칙이 적용된 메일 비율은 아무도 몰랐습니다.

DMARCbis는 이 다이얼을 아예 들어냅니다. 가장 비슷한 대체품은 새로 생긴 이진 설정인 t 태그입니다. '테스트' 모드(차단 정책을 격리 정책처럼 취급)와 '완전 적용' 모드(기본값) 둘 중 하나입니다. 퍼센트도 없고, 점진적 단계도 없습니다. 그저 꺼짐 아니면 켜짐입니다.

새 규격은 다이얼을 작동하는 버전으로 교체하지 않습니다. 고장 난 기능을 떼어 내고, 단계적 적용 문제는 당신 몫으로 넘겨 버립니다.

덜 중요한 변화들, 짧게

나머지 항목이 궁금하다면 이렇습니다.

• '당신의 도메인이 어디서 끝나느냐'는 질문은 이제 Public Suffix List라는 외부 목록 대신 DNS 조회로 답해집니다. 단일 도메인을 쓰는 일반 사용자라면 실질적인 변화는 없습니다. 다만 고객용 브랜드 서브도메인을 발급하는 플랫폼(호스팅 사업자, 사이트 빌더, 결제 대행 서비스)을 운영하거나 흔치 않은 공용 서픽스 아래에 도메인이 있다면, DMARC 레코드가 예상대로 해석되는지 확인해 두는 것이 좋습니다.
• 메일링 리스트 관련 지침이 공식화됩니다. 새 규격은 활발한 메일링 리스트 트래픽이 있는 도메인에 완전한 차단 정책을 적용하지 말라고 명시적으로 경고합니다. 이유는 리스트 관리자라면 이미 다 아는 그 문제입니다. 메일링 리스트는 메일 헤더를 재작성하기 때문에 DMARC가 깨지고, 차단 정책은 아무 잘못 없는 구독자를 처벌하게 됩니다. 보통은 분리 운영으로 풉니다. 리스트 트래픽은 별도 서브도메인에 두고 정책을 느슨하게 가져가는 방식이죠.
• 태그 몇 개가 이름이 바뀝니다. 기존 태그 세 개(pct, rf, ri)가 사라지고, 새로운 태그 세 개(psd, np, t)가 들어옵니다. 규격 전문을 보고 싶다면 draft-ietf-dmarc-dmarcbis-41에서 확인할 수 있습니다. 그 밖의 독자에게는 기존 레코드에 아무 영향도 없습니다.

DMARCbis가 해결하지 못하는 것

다이얼을 빼 버린 것은 정직한 결정입니다. 작동하지 않던 기능이었고, 새 규격은 그런 척도 하지 않습니다. 다만 기능을 빼는 것이 근본 문제를 해결해 주지는 않습니다.

2026년 1분기 기준, DMARCeye 플랫폼에서 능동적으로 모니터링되는 도메인을 살펴본 결과는 이렇습니다.

• DMARC가 설정된 도메인 10개 중 4개가 '그저 지켜보기' 모드에 몇 년씩 머물러 있습니다. 규칙이 켜져 있냐고요? 없습니다. 사칭 차단 효과는요? 없습니다. DMARC를 설정하고 모니터링 도구까지 깔아 두고도 아무것도 차단하지 않고 있는 셈입니다.
• 차단을 하는 도메인 중에서도 20개 중 19개가 시험 운용 없이 한 번에 100% 적용으로 스위치를 올렸습니다. 대부분의 경우는 그럭저럭 문제없이 넘어갑니다. 문제가 있는 경우, 첫 징후는 대개 '영수증을 왜 못 받았냐'고 묻는 고객입니다.

결과는 둘이지만 원인은 하나입니다. DMARC에는 지켜보기와 차단 사이를 이어 주는 작동 가능한 중간 단계가 없습니다. 그 공백을 메우기로 했던 기능은 신뢰할 수 없었고, DMARCbis는 그 기능을 뺐지만 작동하는 대체품을 내놓지는 않았습니다.

당신이 해야 할 일

대부분의 도메인 소유자에게 답은 '당장 할 일은 없다'입니다. 상황별로 조금 더 구체적으로 정리하면 이렇습니다.

• DMARC를 한 번도 설정해 본 적이 없다면: '그저 지켜보기' 모드로 우선 설정해 보세요. 당신 도메인을 사칭한다고 주장하는 모든 발송 출처에 대한 리포트를 받아 볼 수 있습니다. DMARCbis가 나올 때까지 기다릴 필요는 없습니다. 오늘 올린 레코드는 새 규격이 적용된 뒤에도 그대로 작동합니다.
• '그저 지켜보기' 모드에 오래 머물러 있었다면: DMARCbis가 당신 상황을 바꿔 주지는 않습니다. 머물러 있었던 이유는 규격 문제가 아니라, 안전하게 건너갈 방법이 없었기 때문입니다. 스위치를 올리기 전에 무엇이 깨질지 미리 보여 주는 도구의 가치는 그 어느 때보다 커졌습니다.
• 점진적 도입을 위해 다이얼(pct 태그)을 쓰고 있었다면: 레코드는 여전히 유효하지만, DMARCbis를 따르는 수신함 서비스는 pct<100 레코드를 100%로 간주합니다. 지금부터 전환을 계획해 두세요. 가장 비슷한 대체 수단은 새로 생긴 t=y 테스트 모드입니다.
• 도메인에 메일링 리스트가 활발히 쓰이고 있다면: 새 공식 지침을 진지하게 받아들이세요. 리스트 트래픽이 있는 도메인에 완전한 차단 정책을 적용하면 정상 구독자가 피해를 봅니다. 대부분의 팀이 택하는 해결책은 분리 운영입니다. 리스트 트래픽은 별도 서브도메인에 두고 정책을 느슨하게 가져가는 방식이죠.

이 변화가 당신에게 요구하는 것

당장 급한 일은 없습니다. DMARCbis 이후에도 DMARC는 여전히 DMARC이고, 오늘 올린 레코드는 새 규격이 공식화되는 날에도 그대로 받아들여집니다. 바뀌는 것은 기술적이라기보다 철학적입니다. '지켜보기'에서 '차단'으로 넘어가는 일을 규격이 내장해 준 기능으로 해결할 문제가 아니라, 가시성과 도구로 풀어야 할 문제로 받아들이라는 뜻입니다.

DMARC 리포트를 지켜보고, 차단을 켜기 전에 알려지지 않은 발송자를 짚어 내며, 더 엄격한 정책 아래에서 무엇이 깨질지 쉬운 말로 알려 주는 도구들의 가치는 표준 자체가 엄격해질수록 더 커집니다. DMARCeye는 정확히 그 역할을 위해 만들어졌습니다. 저희가 제공하는 무료 온라인 도구(DMARC 설정 도우미, SPF, DKIM, BIMI 체커)는 10분 안에 설정 단계를 끝낼 수 있게 도와줍니다.

DMARCeye를 무료로 사용해 보고 규격이 바뀌기 전에 당신 도메인의 이메일 리포트가 실제로 무엇을 말하고 있는지 확인해 보세요.