인사이트

DMARC로 이메일 스푸핑 공격 및 피싱 공격을 차단하는 방법

작성자: Jack Zagorski | 2025. 11. 7 오전 10:18:37

이메일은 비즈니스 커뮤니케이션을 위한 가장 중요한 도구 중 하나이지만, 가장 쉽게 악용될 수 있는 도구 중 하나이기도 합니다. 공격자는 스푸핑 및 피싱 캠페인을 사용하여 신뢰할 수 있는 발신자를 사칭하고 자격 증명을 도용하며 멀웨어를 배포합니다.

스푸핑된 이메일은 진짜와 구별할 수 없어 금전적 손실과 평판 손상으로 이어질 수 있습니다. 좋은 소식은? DMARC를 사용하면 이러한 공격을 원천적으로 차단할 수 있습니다.

이메일 스푸핑이란 무엇인가요?

이메일 스푸핑은 이메일의 '보낸 사람' 주소를 위조하여 다른 사람(주로 합법적인 회사나 동료)이 보낸 것처럼 보이게 하는 행위입니다. 스푸핑은 모든 업계의 비즈니스에서 발생할 수 있습니다.

공격자는 이렇게 합니다:

  • 사용자를 속여 민감한 데이터(자격 증명, 결제 정보 등)를 공유하도록 유도합니다.
  • 악성 첨부파일 또는 링크 전송
  • 비즈니스 이메일 침해(BEC) 사기 수행

적절한 인증이 없으면 이메일 서버는 '보낸 사람' 주소가 진짜인지 위조된 것인지 알 방법이 없습니다.

DMARC란 무엇인가요?

DMARC(도메인 기반 메시지 인증, 보고 및 준수) 는 권한이 없는 발신자가 도메인을 사용하는 것을 방지하는 개방형 표준입니다.

기존의 두 가지 인증 방법을 기반으로 합니다:

  • SPF(발신자 정책 프레임워크 ) - 발신자의 IP가 도메인을 대신하여 전송할 수 있는지 확인합니다.
  • DKIM(도메인키 식별 메일) - 암호화 서명을 사용하여 메시지 무결성 및 진위 여부를 확인합니다.

DMARC는이러한 메커니즘 위에 정책 계층역할을 합니다.이메일이SPF 또는 DKIM 검사에 실패할경우 수신 서버에 수행해야 할 작업을 알려주고, 누가 도메인을 사용하여 메일을 보내는지 확인할 수 있도록 보고서를 제공합니다.

DMARC 작동 방식(단계별)

  1. SPF 및 DKIM 유효성 검사
     이메일이 도착하면 수신자의 메일 서버는 발신자의 IP가 도메인의 SPF 레코드에 나열되어 있는지 여부와 DKIM 서명이 DNS에 게시된 유효한 키와 일치하는지 여부를 확인합니다.

  2. 정렬 확인
     DMARC는 이메일의 보낸 사람 : 헤더에 있는 도메인이 SPF 또는 DKIM으로 인증된 도메인과 일치하는지(또는 일치하지 않는지) '정렬'을 확인합니다. 이를 통해 공격자가 관련 없는 도메인을 사용하여 SPF 또는 DKIM을 통과하지 못하도록 차단합니다.

  3. 정책 적용
    수신 서버는 DMARC정책(p=없음, p=검역 또는 p=거부)에 따라이메일을 전달할지, 스팸 폴더에 넣을지 또는 거부할지 여부를 결정합니다.

  4. 보고 및 가시성
     DMARC는 두 가지 유형의 보고서를 제공합니다:
    1. RUA(집계 보고서): 도메인에 대해 메일을 보내는 IP를 보여주는 요약된 일일 보고서입니다.
    2. RUF(포렌식 보고서): 보다 심층적인 조사를 위한 개별 실패 메시지의 상세 사본입니다.

이러한 보고서는 DMARC 레코드에 지정한 주소로 전송되며 시각화 도구로 분석할 수 있습니다.

SPF와 DKIM만으로는 충분하지 않은 이유

SPF와 DKIM은 필수적이지만 그 자체만으로는 직접적인 도메인 스푸핑으로부터 보호할 수 없습니다.

예를 들어

  • SPF는 보이는 발신자(보낸 사람:) 헤더가 아닌 발신자(Return-Path:)만 확인합니다.
  • DKIM은 메시지 콘텐츠를 인증할 수 있지만 공격자는 여전히 '보낸 사람' 필드에 다른 도메인을 사용할 수 있습니다.

DMARC는 도메인 정렬을 적용하여 고객에게 표시되는 도메인이 SPF 또는 DKIM으로 인증된도메인과 동일한지 확인함으로써 이러한 격차를 해소합니다.

DMARC를 구현하는 방법(단계별 가이드)

DMARC를 구현하는 데는 새로운 하드웨어나 소프트웨어가 필요하지 않으며 DNS 액세스, 계획, 몇 주간의 관찰만 있으면 됩니다. 다음은 구체적이고 신뢰할 수 있는 로드맵입니다.

1단계: 모든 합법적인 이메일 소스 인벤토리 만들기

게시하기 전에 도메인을 사용하여 메일을 보내는 모든 서비스의 전체 목록을 작성하세요. 여기에는 일반적으로 다음이 포함됩니다:

  • 기본 메일 서버(예: Microsoft 365, Google Workspace)
  • 트랜잭션 발신자(예: SendGrid, Amazon SES)
  • 마케팅 플랫폼(예: HubSpot, Mailchimp)
  • 헬프데스크/티켓팅 시스템(예: Zendesk)
  • 청구서를 보내는 청구 또는 ERP 도구

팁: 로그 또는 DMARC 보고서에서 도메인 아래의 '보낸 사람' 주소를 검색하여 숨겨져 있거나 잊어버린 출처를 찾아보세요.

2단계: 각 발신자에 대해 SPF 및 DKIM 구성하기

DMARC는 SPF 및 DKIM이 올바르게 구성되어 있어야 합니다.

SPF의 경우:

각 공급업체의권장 포함 문구를 수집합니다. 예를 들어

  • Google Workspace: include:_spf.google.com
  • Microsoft 365: include:spf.protection.outlook.com
  • Mailchimp: include:servers.mcsv.net

가능하면 하나의 SPF 레코드로 결합하세요:

v=spf1 include:_spf.google.com include:servers.mcsv.net -all

이 레코드를 루트 도메인의 DNS에 TXT 항목으로 게시합니다.

DKIM의 경우:

이메일 플랫폼에서 DKIM 서명을 사용 설정합니다(대부분 자동으로 키를 생성합니다).

일반적으로 다음과 같은 하위 도메인에 DNS에 DKIM공개 키를 게시합니다:

google._domainkey.yourdomain.com과 같은 하위 도메인에 게시합니다.

Gmail 또는 Outlook 계정으로테스트 이메일을보낸 다음 전체 헤더에 "DKIM=pass"가 있는지검사하여 설정을 확인합니다 .


3단계: 기본 DMARC 레코드 게시하기

SPF와 DKIM이 작동하면 초기 DMARC 레코드를 추가합니다:

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com; fo=1

이 레코드:

  • "모니터" 모드에서 DMARC를 활성화합니다(아직 적용되지 않음).
  • 나열된 주소로 집계(RUA) 및 포렌식(RUF) 보고서를 보냅니다.
  • 모든 장애에 대해 포렌식 보고서를 요청할 때 fo=1을 사용합니다.

TXT레코드로 게시합니다:
_dmarc.yourdomain.com

4단계: 보고서 모니터링 및 분석

앞으로 몇 주 동안 전 세계 메일 서버에서 XML 기반 DMARC 보고서를 받기 시작합니다.

여기에는 다음이 포함됩니다:

  • 소스 IP 주소
  • 보내는 도메인
  • SPF 및 DKIM에 대한 합격/불합격 결과
  • 발신자당 메시지 수

이러한 보고서는 수동으로 처리하거나 발신자, 볼륨 및 인증 결과를 시각화하는 DMARC 보고 도구를 통해 보다 현실적으로 처리할 수 있습니다.

목표:모든 합법적인 출처를식별하고, 잘못된 구성을 수정하고, 알 수 없는 발신자(스푸퍼 또는 잘못 구성된 공급업체일 가능성이 있는)에 플래그를 지정합니다.

5단계: 정책을 점진적으로 강화하기

모든 합법적인 이메일 흐름이 인증되고 조정되었다는 확신이 들면 단계적으로 정책을 적용하기 시작하세요:

검역소로 이동

 v=DMARC1; p=검역; pct=25; rua=mailto:dmarc-reports@yourdomain.com

  • 실패한 메시지(스팸으로 전송)의 25%를 격리합니다.
  • 영향을 안전하게 모니터링할 수 있습니다.
  • 안정화되면 점차적으로 100%로 증가합니다.

거부로 이동

 v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com

  • 인증되지 않은 이메일 완전 차단
  • 스푸핑으로부터 최대한의 보호 제공

6단계: 유지 및 확장

DMARC는 "설정하고 잊어버리는" 기능이 아닙니다. 관리해야 합니다:

  • 정기적으로 보고서를 검토하여 새로운 무단 소스를 탐지하세요.
  • 인프라가 발전함에 따라 SPF/DKIM에 새로운 공급업체를 추가합니다.
  • 하위 도메인이 메일도 보내는 경우 DMARC를 적용합니다(admissions.yourdomain.com, news.yourdomain.com 등).
  • 받은 편지함에 브랜드 로고를 표시하는 BIMI 레코드를 추가하는 것도 고려하세요(DMARC가 적용된 경우에만 사용 가능).

다음은 DMARC 구현 타임라인 예시입니다.

조치
1 발신자 인벤토리, SPF/DKIM 구성
2-3 p=none으로 DMARC 게시
4-6 보고서 분석, 문제 해결
7-8 p=검역으로 이동(부분, 그다음 전체)
9+ p=거부 및 유지로 이동

문제 해결 팁

  • 문제: 정상 이메일이 시행 후 스팸으로 전환되는 경우
    → 해당 발신자에 대한 DKIM 정렬 및 SPF 포함 여부를 확인하세요.
  • 문제: SPF 레코드가 너무 길어요(255자 초과).
    → 하위 도메인 또는 타사 플래트닝 도구를 사용하세요.
  • 문제: DMARC 보고서가 누락됨
    RUA 사서함이 XML 첨부파일을 받을 있는지 확인하세요.

피싱으로부터 보호하는 DMARC

피싱은 신뢰에 의존합니다. 공격자는 잘 알려진 브랜드나 동료를 사칭하여 피해자가 악성 링크를 클릭하거나 정보를 공유하도록 속입니다.

DMARC는 인증되지 않은 이메일이 받은 편지함에 도달하는 것을 방지하여 이러한 신뢰 기반 공격을 약화시킵니다. 사이버 범죄자가 "support@yourdomain.com"에서 메일을 보내려고 시도하지만 승인되지 않은 경우 해당 이메일은 확인되기도 전에 거부됩니다.

고객, 파트너, 직원의 경우 합법적인 커뮤니케이션과 사기를 구분할 수 있습니다.

DMARC를 넘어: 이메일 보안 태세 강화하기

DMARC는 중요한 단계이지만 완전한 솔루션은 아닙니다. 포괄적인 보호를 구축하려면

  • BIMI(메시지 식별을 위한 브랜드 표시)를 사용하여 받은 편지함에 확인된 브랜드 로고를 표시하세요.
  • 변조 방지 DNS 인증을 위해 DMARC와 DNSSEC를 결합합니다.
  • 직원들에게 소셜 엔지니어링 및 피싱에 대한 인식을 교육하세요.

이를 통해 기술적 보안 제어와 인적 보안 제어가 결합된 계층화된 방어 체계를 구축할 수 있습니다.

DMARCeye가 DMARC 구현 및 모니터링을 간소화하는 방법

DMARC를 수동으로 구현하는 것은 가능하지만, 데이터를 해석하고, 여러 서비스에서 기록을 일관되게 유지하고, 인프라가 발전함에 따라 적용을 유지하는 일은 금방 복잡해질 수 있습니다.

DMARCeye는 DMARC 관리를 간단하고 투명하며 실행 가능하도록 설계된 AI 기반 가시성 및 보고 플랫폼입니다. 원시 XML 보고서를 명확하고 사람이 읽을 수 있는 대시보드로 변환하여 사용할 수 있습니다:

  • 승인된 발신자와 승인되지 않은 발신자 즉시 확인
  • 모든 도메인에서 SPF, DKIM 및 DMARC 정렬 상태를 추적합니다.
  • 스푸핑 시도를 실시간으로 식별하고 차단합니다.
  • 모니터링에서 완전한 시행으로 자신 있게 전환
  • 브랜드 평판을 보호하면서 전달 가능성 유지

안내 설정, 자동화된 분석, 지속적인 모니터링을 통해 모든 규모의 조직이 이메일 스푸핑 및 피싱 위협으로부터 도메인을 보호하는 데 필요한 제어 및 명확성을 제공하는 DMARCeye는 심층적인 DNS 전문 지식이 없어도 사용할 수 있습니다.

지금 DMARCeye 무료 체험판을 다운로드하고 이메일 도메인 보호를 시작하세요.
전체 게시물 보기