발신자 위치 정보와 DMARC: 다른 국가에서 온 메일은 스푸핑일까요?

운영한 적도 없는 국가에서 도메인의 이메일이 발송된 것처럼 보이면, 스푸핑이 아닐까 하는 불안이 가장 흔히 시작됩니다. 거의 모든 경우 이는 잘못된 경보입니다. 이런 IP 주소는 보통 공격자가 아니라, 전 세계 데이터센터에서 운영되는 이메일 제공업체의 발송 인프라에 속합니다. 스푸핑의 진짜 신호는 외국 위치 그 자체가 아니라, 여러분이 알지 못하는 출처가 도메인을 달고 메일을 발송하면서 DMARC를 통과하지 못하는 경우입니다. 그것도 여러분이 진출한 적 없는 곳에서 발생하는 경우가 많습니다.

이 가이드의 내용

• 이메일이 어디에서 발송되는지 어떻게 알 수 있나요?
• DMARC 보고서에 여러 국가로 추적되는 IP가 표시되는 이유는 무엇인가요?
• 발신자 위치 정보는 무엇을 측정하나요
• 다른 국가에서 온 메일은 스푸핑을 당하고 있다는 뜻인가요?
• 보고서에서 스푸핑의 진짜 신호는 무엇인가요?
• 낯선 발송 위치는 어떻게 점검하나요?
• DMARCeye는 발송 위치를 어떻게 지도에 표시하나요

이메일이 어디에서 발송되는지 어떻게 알 수 있나요?

간단히 답하면 DMARC 보고입니다. 보고용 주소가 포함된 DMARC 레코드를 게시하면, Google, Microsoft, Yahoo 같은 메일박스 제공업체가 일일 집계 보고서를 보내줍니다. 각 보고서에는 도메인을 사용한 모든 출처, 그 출처가 발송한 IP 주소, 그리고 인증 통과 여부가 나열됩니다.

이 보고서에는 장소가 아니라 IP 주소가 나열됩니다. 단일 IP를 위치 조회 도구에 붙여 넣으면 그 IP가 등록된 국가를 확인할 수 있습니다. 많은 스푸핑 불안은 이렇게 시작됩니다. 누군가 보고서에서 IP 하나를 골라 확인했더니, 자기 회사가 진출한 적 없는 국가로 나오는 것입니다. 모든 발송 IP를 손으로 일일이 확인하는 것은 현실적이지 않으므로, 가장 좋은 방법은 모든 IP의 위치를 파악해 지도에 표시해 주는 DMARC 모니터링 플랫폼(예: DMARCeye)을 사용하는 것입니다.

DMARC 보고서에 여러 국가로 추적되는 IP가 표시되는 이유는 무엇인가요?

이제 자체 이메일을 직접 발송하는 회사는 거의 없습니다. 여러분의 메일은 제공업체를 통해 나갑니다. 마케팅 플랫폼, CRM, 헬프데스크, Google Workspace 또는 Microsoft 365, 결제 처리업체 같은 곳입니다. 각 제공업체는 전 세계 데이터센터에서 서버를 운영하며, 여러분이 보는 위치는 그 메시지를 처리한 서버의 위치입니다.

DMARC 집계 보고서에는 도메인을 사용해 메일을 발송한 모든 출처와 각 출처가 사용한 IP 주소가 나열됩니다. DMARCeye 같은 서비스가 이 IP들을 지도에 표시하면, 한 번의 뉴스레터 발송이 동시에 서너 개 국가에서 온 것처럼 보일 수 있습니다. 이렇게 흩어지는 모습이 바로 현대 이메일의 형태입니다. 소수의 서비스가 여러 대륙에 걸친 인프라에서 여러분을 대신해 메일을 보내기 때문입니다.

DMARCeye 플랫폼 화면입니다.

발신자 위치 정보는 무엇을 측정하나요

위치 정보는 어떤 네트워크가 해당 IP를 소유하는지 조회하여 IP 주소를 장소로 변환합니다. 지역 인터넷 레지스트리는 IP 주소 블록을 인터넷 제공업체, 호스팅 회사, 클라우드 플랫폼에 배정하며, 위치 정보 데이터베이스는 각 블록이 어디에 등록되고 사용되는지 기록합니다. 따라서 발송 IP에 붙은 위치는 키보드를 두드리는 사람이 아니라, 그 IP를 소유한 인프라를 가리킵니다.

이 조회는 추정치이며, 국가 단위 아래로 내려가면 정확도가 빠르게 떨어집니다. 국가는 신뢰할 만하지만, 지역이나 주는 훨씬 덜 정확하고, 도시는 틀리는 경우가 많습니다. 클라우드 제공업체, VPN, 콘텐츠 전송 네트워크는 실제 사용자로부터 수백 킬로미터 떨어진 곳에 IP를 배치할 수 있습니다. 업계 위치 정보 데이터의 상당 부분을 공급하는 MaxMind는 자체 정확도 안내에서 이러한 한계를 분명히 밝히고 있습니다. 발송 위치는 사실이 아니라 대략적인 신호로 읽으십시오.

다른 국가에서 온 메일은 스푸핑을 당하고 있다는 뜻인가요?

외국 IP 주소만으로는 스푸핑을 당하고 있다고 볼 수 없습니다. 이는 사람들이 자기 도메인이 탈취되었다고 짐작하는 가장 흔한 이유이지만, 그 자체만으로는 어느 쪽도 입증하지 못합니다. 여러분의 이메일 서비스 제공업체가 독일이나 버지니아의 데이터센터에서 발송한다면, 여러분의 메일은 독일이나 버지니아로 위치가 표시되며, 아무 문제도 없습니다.

이는 DMARC 도입률이 지역마다 어떻게 다른지와는 별개의 문제로, 여러분 자신의 도메인에 대한 신호라기보다 더 넓은 데이터에 나타나는 패턴입니다. 이 거시적 관점이 궁금하다면, 지역별 DMARC 준수율 차이와 국가 TLD별 DMARC 정책에서 다룬 바 있습니다. 자신의 보고서를 점검할 때 위치는 인증 결과와 함께 읽을 때 비로소 의미가 있으며, 그 전에는 아닙니다.

보고서에서 스푸핑의 진짜 신호는 무엇인가요?

진짜 신호는 한 출처가 두 가지를 동시에 하는 경우입니다. 도메인을 달고 메일을 발송하면서, 그 메일이 DMARC를 통과하지 못하는 것입니다. DMARC는 메시지가 SPF 또는 DKIM을 통과하는지, 그리고 그 결과가 보이는 보낸사람 주소의 도메인과 일치하는지를 확인합니다. 여러분이 설정해 둔 발신자는 이 검사를 통과합니다. 자신의 서버에서 여러분의 도메인을 위조하는 공격자는 보통 통과하지 못하는데, 여러분의 SPF 레코드나 DKIM 키를 제어할 수 없기 때문입니다.

위치는 인증 결과에서 출발할 때 비로소 유용해집니다. 여러분이 제공업체도 없고 운영도 하지 않는 국가에서 실패하는 출처는, 바로 옆 동네에서 실패하는 출처보다 더 강한 단서입니다. 실패가 먼저이고, 지도는 그 단서를 더 선명하게 만들어 줍니다.

낯선 발송 위치는 어떻게 점검하나요?

지리적 위치가 아니라 인증부터 시작하십시오. 낯선 위치가 눈에 띄면 다음 순서대로 살펴보십시오.

1. 해당 출처가 DMARC를 통과하는지 실패하는지 확인합니다. 통과한다면 거의 확실히 여러분의 제공업체이므로 거기서 멈춰도 됩니다.
2. 실패한다면 발송 서비스를 식별합니다. 실패하는 출처의 상당수는 공격자가 아니라, 아직 완전히 인증되지 않은 여러분 자신의 도구입니다.
3. 그 위치를 여러분이 운영하는 지역, 그리고 여러분이 메일을 보내는 경로와 대조합니다. 아무런 연관이 없는 지역에서 실패하는 출처는 더 자세히 살펴볼 가치가 있습니다.
4. 발송량과 추세를 지켜봅니다. 알 수 없는 출처에서 실패 메일이 갑자기 급증하는 것은, 몇 통의 메시지보다 더 분명한 경고입니다.

DMARCeye는 발송 위치를 어떻게 지도에 표시하나요

DMARCeye는 한 출처의 모든 발송 IP를 군집형 지도(위 그림 참고)에 표시해, 대규모 발신자도 한눈에 알아볼 수 있게 하고, 개별 IP를 열어 그 위치를 인증 결과와 나란히 볼 수 있게 합니다. 핵심은 이 짝지음에 있습니다. 위치가 그 출처의 DMARC 통과 여부 바로 옆에 놓여, 정상적인 글로벌 인프라와 한 번 더 살펴봐야 할 출처를 구분할 수 있게 해 줍니다.

DMARCeye 플랫폼 화면입니다. 표시된 IP 주소는 실제 주소가 아니라 예시입니다.

인증 결과와 위치가 하나의 화면에 함께 있기 때문에, 추측하는 데 드는 시간은 줄고 주의가 필요한 한두 개의 출처에 더 집중할 수 있습니다.

발신자 위치 정보는 그 자체로 판정을 내리는 것이 아니라, 인증 결과를 더 날카롭게 해 주는 맥락입니다. 여러 국가에서 온 메일은 정상입니다. 여러분의 제공업체가 전 세계 인프라에서 여러분을 대신해 발송하기 때문입니다. 잡음과 진짜 위협을 가르는 것은 그 조합입니다. 낯선 출처가 여러분의 도메인으로 발송하면서 DMARC를 통과하지 못하고, 그것도 여러분이 진출한 적 없는 위치에서 발생하는 경우입니다. 위치와 인증 결과를 하나의 화면에서 함께 보는 것이 바로 그 조합을 도드라지게 만들며, 이것이 발송 위치를 지도에 표시하는 이유입니다. DMARCeye는 그 둘을 나란히 보여주므로, 진짜 사칭 시도를 쉽게 알아볼 수 있습니다.