조직의 이메일에 NIS2가 어떤 영향을 미치는지 파악하고 있다면, 이 가이드가 도움이 될 것입니다. NIS2는 유럽 연합이 개정한 사이버 보안 법으로, 공식 명칭은 지침(EU) 2022/2555입니다. 기존 규정의 적용 범위를 훨씬 많은 조직으로 넓히고, 이들이 갖춰야 하는 보안 조치에 대해 더 엄격한 요건을 정하고 있습니다.
사람들이 가장 먼저 묻는 질문 중 하나는 NIS2가 DMARC를 요구하는지 여부입니다. DMARC는 다른 사람이 귀하의 도메인으로 이메일을 보내는 것을 막는 표준입니다. 솔직한 대답은 두 부분으로 나뉩니다. NIS2는 본문 어디에서도 DMARC를 명시하지 않습니다. 하지만 조직이 스푸핑으로부터 이메일을 보호하도록 요구하며, 단지 감시하는 데 그치지 않고 위조 메일을 차단하는 수준으로 그렇게 하도록 요구합니다. 실무적으로 이것이 집행 단계의 DMARC가 제공하는 것입니다.
이 가이드는 NIS2가 누구에게 적용되는지, 이메일 인증이 그 요건 안에서 어디에 들어맞는지, 그리고 자체 DNS를 관리하든 이를 담당하는 누군가에게 의존하든 NIS2가 귀하의 조직에 적용될 경우 무엇을 해야 하는지를 다룹니다.
아니요, 이름으로는 요구하지 않습니다. NIS2는 본문 어디에서도 DMARC, SPF, DKIM을 언급하지 않습니다. NIS2가 요구하는 것은 적용 대상 조직이 사이버 보안 위험을 관리하기 위해 적절하고 비례하는 조치를 취하고, 그것을 입증할 증거를 제시할 수 있어야 한다는 점입니다.
이메일 인증은 그 의무의 일부를 충족하는 방법입니다. 스푸핑된 이메일은 공격자가 귀하의 보안을 뚫는 가장 흔한 방법 중 하나이며, 귀하의 도메인에서 위조 이메일이 발송되지 못하게 막는 것은 이 지침이 기대하는 바로 그런 종류의 조치입니다. 이것이 DMARC가 설계된 목적이므로, NIS2가 DMARC를 요구하느냐는 질문에 대한 실무적인 대답은 명시적이지는 않더라도 "그렇다"에 가깝습니다.
NIS2는 에너지, 운송, 은행, 의료, 식수, 디지털 인프라, 공공 행정, 우편 서비스를 포함한 18개 부문에 걸친 중견 및 대형 조직을 대상으로 합니다. 이들 부문 중 하나에서 중견 또는 대형 조직을 운영하고 있다면, 스스로를 핵심 인프라라고 생각해 본 적이 없더라도 적용 대상일 가능성이 높습니다.
NIS2는 이들 조직을 두 등급으로 분류합니다. 가장 중요한 부문의 대형 운영자인 필수 기업은 사전적 감독과 가장 무거운 처벌을 받습니다. 나머지 적용 대상 조직인 중요 기업은 대체로 사고 이후에 적용되는 더 가벼운 감독을 받습니다.
필수 기업은 규정 미준수에 대한 벌금으로 최대 1,000만 유로 또는 전 세계 연간 총 매출의 2% 중 더 큰 금액을 부과받을 수 있습니다. 중요 기업은 최대 700만 유로 또는 매출의 1.4%를 부과받습니다. NIS2는 또한 고위 경영진에게 개인적 책임을 묻습니다.
NIS2는 제21조에서 보안 의무를 규정하며, 적용 대상 조직이 취해야 하는 위험 관리 조치를 열거합니다. 그 목록은 의도적으로 광범위합니다. 네트워크 보안, 접근 통제, 암호화, 사고 처리, 기본적인 사이버 위생 등이 포함됩니다. 이메일 인증은 별도로 명시되어 있지 않은데, 이 지침은 사용하는 구체적인 방법이나 기술이 아니라 기대하는 보안 결과를 기술하기 때문입니다.
NIS2는 한 조직 집단에 대해서는 한 걸음 더 나아갑니다. 이 지침에는 자체 시행 규정인 집행위원회 시행 규정(EU) 2024/2690이 있으며, 이는 DNS 제공업체, 클라우드 운영업체, 관리형 서비스 제공업체 같은 디지털 인프라 제공업체에 대한 구속력 있는 기술 규칙을 정합니다. 제21조의 일반적인 표현을 이들에 대한 구체적인 요건으로 바꿉니다. 이 규정이 채택된 후, EU 사이버 보안 기관인 ENISA는 2025년 6월에 기술 시행 지침을 발표하여, 각 규칙을 충족하는 방법과 감사인이 어떤 증거를 확인하는지를 제시했습니다. SPF, DKIM, DMARC를 포함한 이메일 인증은 그 이메일 보안 및 네트워크 보안 조치의 일부입니다.
귀하의 조직이 이러한 디지털 인프라 제공업체 중 하나가 아니라면, 시행 규정이 직접 구속하지는 않지만 NIS2 자체는 여전히 적용됩니다. 제21조에 따른 일반적인 의무는 비례하는 보안 조치를 기대하며, 도메인을 스푸핑으로부터 보호하는 것은 그 명확한 예입니다. 이메일 인증은 이를 수행하는 표준적인 방법입니다.
NIS2가 특정 기술을 명시하지 않으므로, DMARC가 아닌 다른 것으로 규정을 준수할 수 있는지 묻는 것은 당연합니다. 일반적인 이메일 위협에 대해서는 여러 도구가 도움이 됩니다. 보안 이메일 게이트웨이, 피싱 방지 필터, 링크 및 첨부 파일 검사, 직원 보안 인식 교육이 그것입니다. 각각은 보안 프로그램 안에서 나름의 역할이 있습니다.
다만 이 중 어느 것도 그 특정 문제를 해결하지는 못합니다. 이런 도구는 메일이 귀하 자신의 받은편지함에 도착할 때 그 메일을 검사합니다. 누군가 귀하의 도메인을 위조하여 사기 이메일이 귀하에게서 온 것처럼 보이게 만들어 귀하의 고객, 협력사, 직원에게 보내는 것을 막는 데는 아무런 역할을 하지 못합니다. 이 위협은 수신이 아니라 발신 방향으로 작동하며, 이를 다루는 유일하게 확립된 방법은 이메일 인증입니다. SPF와 DKIM은 메시지가 귀하의 도메인을 사용하도록 인가되었음을 증명합니다. 그런 다음 DMARC는 이러한 검사를 수신자가 보는 도메인 이름과 연결하고, 검사에 실패한 메일을 어떻게 처리할지 수신 서버에 알려주며, 그 결과를 귀하에게 보고합니다. 진정한 대체재는 없습니다.
여기서 관련된 두 가지 통제 수단이 자주 언급되는데, 어느 것도 인증을 대체하지 않습니다. MTA-STS와 TLS-RPT를 통한 전송 중 암호화 또한 NIS2 기술 지침에 나오지만, 이것은 누가 보냈는지를 증명하는 것이 아니라 메일이 이동하는 동안 그것을 보호합니다. BIMI도 집행 단계의 DMARC에 의존합니다. BIMI는 받은편지함에서 메시지 옆에 귀하의 로고를 표시하므로, 인증을 잘 수행한 데 대한 보상이지 그것의 대안이 아닙니다.
따라서 NIS2가 귀하에게 남긴 선택은 어떤 표준을 채택할지가 아닙니다. 이미 존재하는 그 하나를 어떻게 운영할지입니다. 어떤 제공업체를 쓸지, 어떤 도구를 쓸지, 그리고 그것을 자체적으로 운영할지 아니면 모니터링 서비스를 통해 운영할지입니다. 이것이 지침이 결코 명시하지 않더라도 감사인이 이메일 인증이 갖춰져 있기를 기대하는 이유이기도 합니다.
DMARC 레코드를 게시하는 것은 그것으로 보호받는 것과 같지 않습니다. p=none으로 설정된 레코드는 수신 메일 서버에 감시하고 보고하되 스푸핑된 메시지는 어쨌든 전달하라고 지시합니다. 인증에 실패한 메일을 차단하려면, 정책을 p=quarantine 또는 p=reject로 옮겨야 합니다. 이것이 감시와 보호를 가르는 경계이며, 이 규정들이 요구하는 수준입니다.
대부분의 도메인은 아직 그 경계를 넘지 못했습니다. DMARCeye의 2026년 1분기 데이터셋에서 대부분의 유럽 국가 도메인은 여전히 감시 전용 정책에 머물러 있습니다. .de 도메인의 약 39%, .fr 도메인의 50%, .nl 도메인의 43%가 p=none 상태입니다. 체코 도메인은 이 집합에서 가장 노출이 큰데, 약 69%가 p=none이고 p=reject는 열 곳 중 한 곳에 불과합니다. 이 집단에 속한 도메인은 감사인이 볼 수 있는 DMARC 레코드는 있지만, 그 뒤를 받쳐 주는 집행은 없습니다.
이 수치는 DMARC 도입 현황에 관한 DMARCeye의 2026년 1분기 업계 보고서에서 나온 것입니다.
이 양상은 NIS2에만 있는 것이 아닙니다. 같은 집행 기준선은 PCI DSS 피싱 방지 요건과 구글 및 야후 발신자 규칙에서도 나타납니다. 아무것도 차단하지 않는 레코드는 인정되지 않습니다. 귀하 자신의 도메인이 무엇을 게시하고 있는지 확실하지 않다면, 여기서 확인할 수 있습니다.
집행 정책에 이르는 경로는 그 이유가 NIS2든, PCI DSS든, 단지 도메인이 스푸핑되는 것을 원치 않아서든 동일합니다. 순서가 중요한데, 너무 빨리 움직이면 정상 메일이 차단되기 때문입니다.
먼저 귀하의 도메인으로 이메일을 보내는 모든 서비스를 찾아내는 것부터 시작하세요. 자체 메일 플랫폼은 물론, 마케팅 도구, 청구 시스템, 헬프데스크, 그리고 귀하를 대신해 메일을 보내는 그 밖의 모든 것입니다. 각각을 SPF 또는 DKIM으로 인증하여 그 메일이 깨끗하게 통과하도록 하세요. 그런 다음 몇 주 동안 DMARC 집계 보고서를 읽어 정상적인 메일이 실패하고 있지 않은지 확인하고, 그 후에야 정책을 p=quarantine으로, 이어서 p=reject로 옮기세요. 완전한 구현 가이드가 각 단계를 자세히 안내합니다.
이 글을 읽고 있을 가능성이 높은 마케팅 및 커뮤니케이션 담당자를 위한 참고 사항입니다. 조직의 DNS를 관리하지 않는다면, 이것은 혼자 수행하는 변경이 아닙니다. DMARC 레코드는 DNS에 있으므로, 집행으로의 전환은 도메인의 레코드를 통제하는 사람, 보통은 IT 부서나 외부 제공업체의 몫입니다. 귀하의 역할은 보유한 모든 발신 도구가 위 목록에 들어가도록 하여, 정책이 강화될 때 정상적인 메일이 걸리지 않도록 하는 것입니다.
이것이 DMARCeye의 무료 플랜이 메우려는 간극입니다. 무료 플랜은 귀하의 DMARC 보고서를 읽어 어떤 발신자가 통과하고 어떤 발신자가 실패하는지 보여 줍니다. 그런 다음 다음에 무엇을 고쳐야 하는지 알려 주므로, 감시에서 집행으로 옮기는 일이 추측이 아니라 명확한 일련의 단계가 됩니다.
NIS2는 EU 차원에서 발효되었으며, 회원국이 이를 국내법으로 옮겨 적도록 하는 전환 기한은 2024년 10월 17일이었습니다. 많은 국가가 그 기한을 지키지 못했고, 국내법은 그 이후 각자의 일정에 따라 시행되어 왔습니다.
실무적으로 귀하의 정확한 의무는 지침만이 아니라 귀하 국가의 시행법에 달려 있습니다. 다만 기술적 방향은 확정되어 있습니다. 시행 규정과 ENISA의 지침이 무엇이 잘된 모습인지를 기술하며, 집행 정책 수준의 이메일 인증이 그 일부입니다. 규정 준수 프로젝트의 범위를 정하기 전에 귀하 국가의 전환 상황을 확인하세요.
NIS2는 DMARC가 적힌 체크리스트를 건네지 않습니다. NIS2가 건네는 것은 이메일 위험을 관리하고 그렇게 하고 있음을 입증할 의무이며, 집행 정책 수준의 이메일 인증이 그것을 충족하는 방법입니다. 이 지침을 "이제 DMARC가 의무다"라고 읽으면 과장입니다. 집행을 선택 사항으로 취급하면 축소입니다. 정확한 입장은 그 사이에 있습니다.
해야 할 일은 귀하의 이름으로 발송하는 모든 서비스를 파악하고, 각각을 인증하며, 정상적인 메일을 망가뜨리지 않으면서 집행으로 옮기는 것입니다. DMARCeye는 이 작업을 도메인 단위로 눈에 보이고 관리 가능하게 만들기 위해 존재하며, 그 결과 규정 준수는 이메일 보안을 제대로 수행한 데서 따라오는 부수적 결과가 됩니다.