인터넷 도메인의 28%는 DMARC가 없습니다: Q1 2026 분석

DMARC는 누군가 여러분의 도메인을 사칭해 메일을 보낼 때 전 세계 메일 서버가 어떻게 처리해야 하는지 알려주는 짧은 DNS 설정입니다. 이것이 없으면 누구나 여러분 행세를 하며 이메일을 보낼 수 있고, 도메인 쪽에서는 이를 막을 방법이 전혀 없습니다. 공개 인터넷에 노출된 수천 개 도메인을 분석한 결과, 28%는 DMARC 레코드를 아예 가지고 있지 않았습니다. 도메인을 보유하고 있지만 DMARC를 한 번도 설정해 본 적이 없다면, 4분의 1 정도의 확률로 이 그룹에 속해 있을 가능성이 있습니다.

이 글은 DMARCeye Q1 2026 산업 리포트의 "관리되는 도메인 vs 일반 인터넷 도메인" 비교 데이터를 풀어서 설명합니다. 12개 차트와 방법론이 모두 담긴 전체 리포트는 아래에서 확인할 수 있습니다.

도입 격차

Q1 리포트는 두 집단을 비교합니다. 첫 번째는 DMARC를 적극적으로 다루는 그룹으로, DMARCeye 플랫폼에서 모니터링되고 있는 도메인입니다. 두 번째는 공개 인터넷에 노출된 도메인을 무작위로 스캔하여 DMARC, SPF, DKIM 레코드 유무를 확인한 광범위한 샘플입니다.

핵심 차이는 숫자로 보면 다음과 같습니다.

• 공개 인터넷 도메인 (스캐너 샘플): 28%는 DMARC 레코드 없음, 32%는 p=none, 22%는 p=quarantine, 18%는 p=reject.
• DMARC 모니터링 중인 조직: 정의상 DMARC 레코드 없음 0%, 36.7%는 p=none, 36.8%는 p=quarantine, 26.5%는 p=reject.

모니터링 중인 그룹에서는 더 엄격한 정책이 흔하게 보입니다. p=reject 비율이 27%로, 일반 인터넷의 18%보다 높습니다. 그런데 더 의미 있는 차이는 반대편에 있습니다. 도메인 소유자가 DMARC를 진지하게 모니터링하기 시작하는 순간, "레코드 없음" 구간은 사라집니다. 반면 일반 인터넷에서는 이 구간이 전체 도메인의 4분의 1을 넘습니다.

"DMARC 없음"이 실제로 의미하는 것

DMARC 레코드가 없으면 도메인은 침묵 상태로 남습니다. 누군가가 여러분을 사칭한 메일을 보냈을 때, 받는 메일 서버(Gmail, Yahoo, Seznam 등 어디든)는 처리 방법에 대해 여러분 쪽에서 받은 지시가 전혀 없습니다. 결국 자체 필터링 규칙에 맡길 수밖에 없습니다. 어떤 사칭 메일은 받은편지함에 도달하고, 어떤 것은 스팸함으로 가고, 어떤 것은 거부됩니다. 결과는 제각각이고, 여러분은 어느 쪽도 알 수 없습니다.

도메인 소유자 입장에서 실제로 벌어지는 일은 이렇습니다.

• 누구나 여러분 이름으로 메일을 보낼 수 있고, 이를 막는 강제 조치가 없습니다. 사칭 메일은 받는 쪽에서 정상 메일일 가능성도 있다고 평가받습니다. 다르게 말해 줄 정책 자체가 없기 때문입니다.
• 피드백이 전혀 들어오지 않습니다. DMARC 레코드가 없으면 집계 리포트도 받을 수 없습니다. 누가 여러분 도메인 이름으로 메일을 보내고 있는지, 정상이든 아니든 알 길이 없습니다.
• 대량 발송자 요건을 충족하지 못합니다. Google과 Yahoo의 2024년 2월 발송자 규정에 따르면 Gmail이나 Yahoo 주소로 하루 5,000통 이상을 보내는 발송자는 DMARC 레코드를 게시해야 합니다. 레코드가 없다는 건 곧 규정 미준수를 뜻하며, 예외는 없습니다.

"DMARC 없음" 상태를 해결하는 것은 "p=none에서 멈춰 있는" 상태를 해결하는 것보다 훨씬 간단합니다. DNS 레코드 두 개와 몇 시간의 집중이면 됩니다.

이렇게 많은 도메인이 아무것도 게시하지 않는 이유

Q1 데이터는 격차의 크기를 보여줄 뿐, 그 원인까지 보여주지는 않습니다. 아래의 이유는 데이터셋에서 도출된 결과가 아니라, 고객 사례 전반에서 반복적으로 관찰되는 패턴입니다.

• 도메인 소유자가 DMARC라는 것을 들어본 적이 없습니다. 표준은 존재하고, 도구도 충분히 성숙했지만, 도메인 소유자가 작은 사업체나 취미로 도메인을 운영하는 사람이라면 무언가를 게시하라는 안내를 받은 적이 한 번도 없습니다.
• 도메인이 메일을 거의 보내지 않아서 DMARC가 화제에 오른 적이 없습니다. 개인 도메인, 사이드 프로젝트 도메인, 휴면 상태인 사업체 도메인 같은 경우입니다. 발송량이 적어서 소유자가 아직 전달성 문제나 사칭 문제를 겪어보지 않았습니다.
• DMARC가 일반화되기 전에 도메인이 만들어졌습니다. 2008년에 등록되어 그 당시 이메일 설정을 마친 뒤로, 다시 들여다본 적이 없는 도메인입니다.
• 호스팅 또는 이메일 제공업체가 설정을 권하지 않았습니다. 일부 제공업체는 SPF와 DKIM까지는 안내하지만 DMARC에서 멈춥니다. 고객은 그것으로 끝났다고 생각합니다.

여러분이 이 28%에 속해 있다면

작은 사업체, 이커머스 쇼핑몰, 프리랜스 컨설팅, 사이드 프로젝트를 운영하면서 DMARC에 대해 한 번도 생각해 본 적이 없다면, 4분의 1 정도의 확률로 "레코드 없음" 그룹에 속해 있을 가능성이 있습니다. 이대로 두면 다음과 같은 일이 벌어집니다.

여러분의 도메인은 사칭의 무방비 표적이 됩니다. 게시된 정책이 없으니 강제 조치도 없습니다. 받는 서버의 기본 동작이 무엇이든, 그게 그대로 적용됩니다. 메일을 거의 보내지 않는 도메인이라면, 사칭자들은 오랫동안 눈에 띄지 않게 활동할 수 있습니다.

여러분 이름으로 무엇이 발송되고 있는지 전혀 볼 수 없습니다. 집계 리포트가 없으니, 여러분 이름을 도용한 피싱 캠페인을 처음 알게 되는 순간은 보통 고객이나 파트너가 와서 물어볼 때입니다.

발송량이 늘어나는 시점에 압박 속에서 DMARC를 설정해야 합니다. 월 발송량이 Google의 하루 5,000통 기준을 넘어서는 순간, 대량 발송자 요건이 적용되기 시작합니다. 사업을 한창 키우려는 시점에 DMARC 레코드까지 동시에 추가해야 한다는 뜻입니다. 그 시점이 오기 전에, 압박이 없을 때 미리 처리해 두는 편이 훨씬 낫습니다.

해결 방법은 간단합니다

"DMARC 없음"에서 "리포트가 들어오는 모니터링 전용 상태"로 가는 것은 이 영역 전체에서 가장 쉬운 단계입니다. 3~4개 단계, 한나절의 집중, 예산은 필요 없습니다.

1단계: 도메인을 확인하세요. 아래에 도메인을 입력하면 현재 어떤 값이 게시되어 있는지 볼 수 있습니다. 결과에 DMARC 줄이 없다면, 여러분이 어디에 있는지 확인된 셈입니다.

2단계: 리포팅이 포함된 p=none 정책으로 DMARC 레코드를 게시하세요. 가장 기본이 되는 유용한 레코드는 DNS에 한 줄을 추가하는 것입니다. v=DMARC1; p=none; rua=mailto:reports@yourdomain.com 형식이고, rua 주소는 여러분이 직접 관리하는 주소이거나 모니터링 서비스에서 제공하는 주소면 됩니다. 이 한 줄은 "이제부터 지켜보겠다"는 신호입니다.

3단계: 리포트가 들어오게 하세요. DMARCeye의 무료 플랜은 도메인 한 개를 커버합니다. 집계 리포트를 수집하고 분석해서, 여러분 이름으로 실제로 어떤 메일이 발송되고 있는지 보여줍니다. 보통 2~4주치 데이터면 그림을 파악하기에 충분합니다.

4단계: 정상 발송자를 확인한 만큼 정책을 단계적으로 강화하세요. 여러분 도메인 이름으로 무엇이 발송되고 있는지 보이기 시작하면, 정상 발송자를 인증한 뒤 p=quarantine으로, 이후 p=reject로 옮겨 가세요. DMARC의 핵심은 실제로 강제 조치가 작동하는 단계까지 가는 것이지, 레코드 하나 게시하고 멈추는 것이 아닙니다.

현실적인 결론

DMARC가 전혀 없는 도메인이 28%에 달한다는 것은 기술적인 복잡성에 관한 이야기가 아닙니다. 표준이 등장한 지 2015년부터 시간이 한참 흘렀습니다. 레코드는 DNS에 들어가는 짧은 두 줄입니다. DMARCeye를 포함해 모니터링용 무료 도구도 있습니다. 이 도메인 대부분이 아무것도 게시하지 않는 이유는 기술적인 문제가 아닙니다. 인지, 책임, 그리고 누군가 알려주는지의 문제입니다.

DMARC에 관한 이 글을 여기까지 읽었다면, 단지 읽은 것만으로도 여러분은 이미 이 그룹에서 빠져나오고 있는 셈입니다. 다음 단계는 레코드를 직접 게시하는 것입니다.