발송 풋프린트: 내 도메인으로 이메일을 보내는 IP는 몇 개인가

월 10,000통 미만의 이메일을 발송하는 도메인도 평균 107개의 서로 다른 서버가 해당 도메인을 대신해 이메일을 보내고 있습니다. 뉴스레터 플랫폼, 헬프데스크, CRM, 결제 시스템, 일정 관리 도구 등 각 서비스는 자체 서버를 사용하며, DMARC 리포트에는 각각 별도의 발송 소스로 기록됩니다. 대부분의 도메인 소유자는 자신의 도메인에서 이메일을 보내는 IP가 얼마나 많은지 모릅니다. 아래 데이터는 수천 개의 모니터링 도메인을 대상으로 한 DMARCeye Q1 2026 산업 리포트에서 가져온 것입니다.

이 글에서는 DMARCeye Q1 2026 산업 리포트의 발송 풋프린트 분석 결과를 자세히 살펴봅니다. 전체 리포트와 분석 방법론은 아래에서 확인할 수 있습니다.

발송 IP란 무엇이고, 왜 이렇게 많은가

회사에서 누군가가 이메일을 보내면 해당 이메일은 서버를 통해 발송됩니다. 이 서버에는 IP 주소가 있습니다. IP 주소는 건물의 도로명 주소처럼 인터넷에서 해당 서버를 식별하는 고유한 번호입니다. 도메인 이름으로 이메일을 보내는 모든 도구나 서비스는 자체 서버(또는 서버 그룹)를 사용하며, 각각 다른 IP 주소를 갖고 있습니다.

예를 들어 회사에서 다음 서비스를 사용한다고 가정해 보겠습니다.

• Google Workspace: 일상 업무 이메일
• Mailchimp: 월간 뉴스레터
• Zendesk: 고객 지원 티켓
• Stripe: 결제 영수증
• Calendly: 미팅 초대

이 서비스들은 모두 "보낸 사람" 필드에 회사 도메인 이름을 사용하여 이메일을 발송합니다. 각 서비스는 서로 다른 서버를 사용합니다(Google만 해도 수천 대의 메일 서버를 운영하므로, 기본 업무 이메일조차 하루에 수십 개의 IP 주소에서 발송될 수 있습니다).

회사가 도메인에 연결한 모든 도구를 합산하면 이 숫자는 빠르게 증가합니다. 일부 도구는 이미 퇴사한 직원이 수년 전에 설정한 것일 수 있습니다. 다른 도구는 마케팅 팀이 일회성 캠페인을 위해 추가했거나, 일주일간 시험적으로 사용한 후 잊어버린 것일 수 있습니다. 이런 서비스들이 여전히 회사 도메인으로 이메일을 보내고 있을 수 있습니다.

비슷한 규모의 도메인에서 발송하는 IP는 얼마나 되는가

DMARCeye Q1 2026 산업 리포트는 수천 개의 모니터링 도메인을 대상으로, 월간 이메일 발송량 구간별로 도메인당 평균 고유 발송 IP 수를 측정했습니다.

발송량 구간별 수치는 다음과 같습니다.

• 월 10,000통 미만: 평균 107개의 고유 발송 IP. 소규모 기업, 프리랜서, 단일 도메인 보유 회사가 이 구간에 해당합니다. 이 규모에서도 모든 발송 소스를 수동으로 추적하기에는 이미 너무 많은 수입니다.
• 월 10,000~100,000통: 575개 IP. 뉴스레터, CRM, 트랜잭션 이메일, 여러 서드파티 연동을 운영하는 중견 기업 규모입니다. 스프레드시트로 관리할 수 있는 범위를 이미 넘어섰습니다.
• 월 100,000~500,000통: 962개 IP. 이 발송량의 기업은 보통 여러 마케팅 도구, 다수의 트랜잭션 플로우, 동일 캠페인의 지역별 변형을 운영합니다.
• 월 500,000~1,000,000통: 1,309개 IP. 이 규모에서는 전용 IP 풀, 복수의 ESP 계약, 공유 IP와 전용 IP의 혼합 사용이 일반적입니다.
• 월 1,000,000통 이상: 평균 3,137개 IP. 복잡한 멀티 벤더 스택, 글로벌 운영, 아무도 정리하지 않은 레거시 시스템을 보유한 엔터프라이즈 발송자가 이 구간에 해당합니다.

도메인의 이메일 발송량이 많을수록 관련 서버 수도 늘어납니다. 하지만 가장 작은 구간인 107개 IP조차 대부분의 기업이 예상하는 것보다 훨씬 많은 수치입니다.

이 많은 IP는 어디서 오는가

도메인 이름으로 이메일을 보내는 IP는 크게 몇 가지 유형으로 나뉩니다.

회사가 인지하고 있는 승인된 서비스. 이메일 서비스 제공업체, 마케팅 자동화 플랫폼, 트랜잭션 이메일 발송 서비스 등이 이에 해당합니다. 의도적으로 설정하고 적절한 SPF와 DKIM 인증을 구성한 서비스입니다. DMARC 검사를 문제없이 통과해야 합니다.

다른 부서에서 도입한 도구. 영업팀 직원이 새로운 아웃리치 도구를 사용하기 시작합니다. 인사팀이 설문조사 플랫폼을 도입합니다. 재무팀이 새 청구서 발행 서비스를 연결합니다. 이 도구들은 모두 회사 도메인으로 이메일을 보내며, 각각 발송 풋프린트에 IP를 추가합니다. IT 부서는 이런 서비스들이 인증 검사에 실패하거나 DMARC 리포트에 처음 나타날 때 비로소 알게 됩니다. 이를 "섀도 IT(shadow IT)"라고 부르며, 기업의 발송 IP가 예상보다 훨씬 많은 가장 흔한 원인 중 하나입니다. 사용하던 직원이 퇴사한 후 잊혀진 채 남아 있는 경우도 있습니다.

포워딩과 메일링 리스트. 누군가가 이메일을 메일링 리스트나 별칭(alias)을 통해 전달하면, 전달 서버의 IP가 리포트에 기록됩니다. 이 서버를 승인한 적은 없지만, 이 서버가 회사의 메일을 처리하고 있는 것입니다.

비인가 발송자와 공격자. 누구나 회사 도메인 이름으로 이메일 발송을 시도할 수 있습니다. DMARC 적용(enforcement)이 없으면 이런 메시지 중 일부가 수신자의 받은편지함에 도달합니다. 적용이 되어 있더라도 이러한 시도는 DMARC 리포트에 인식할 수 없는 IP의 실패 메시지로 기록됩니다.

발송 소스를 파악하지 못하면 어떤 일이 벌어지는가

승인하지 않은 IP가 반드시 공격자인 것은 아닙니다. 하지만 조사해 보기 전까지는 알 수 없습니다.

정상 이메일이 인증에 실패합니다. 특정 도구가 회사 도메인으로 이메일을 보내지만 SPF 레코드에 등록되어 있지 않거나 DKIM 키로 서명하지 않으면, 수신측에서는 인증되지 않은 이메일로 간주합니다. 도메인이 p=quarantine 또는 p=reject로 설정되어 있다면 해당 이메일은 스팸으로 분류되거나 차단됩니다. 도구 자체는 정상이지만 설정이 누락된 것입니다. DMARC 리포트를 모니터링하지 않으면 이런 문제가 발생하고 있는지 알 수 없습니다.

공격자가 회사 도메인으로 위조 이메일을 보냅니다. 회사 도메인 이름을 사용한 피싱 이메일은 브랜드와 보안 모두에 직접적인 위협입니다. Q1 2026 데이터에 따르면 모니터링 대상 도메인의 36.7%가 여전히 p=none 상태입니다. 이는 수신측에 인증 결과와 관계없이 모든 이메일을 전달하라고 지시하는 것과 같습니다. 이런 도메인의 경우, 공격자가 해당 도메인으로 아무런 제재 없이 이메일을 보낼 수 있습니다.

컴플라이언스 요건은 가시성을 전제로 합니다. Google의 대량 발송자 요건(2024년 2월부터 시행)은 Gmail로 하루 5,000건 이상의 메시지를 보내는 발송자에게 DMARC 인증을 요구합니다. EU의 NIS2 지침은 해당 업종의 조직에 이메일 인프라 관리 및 모니터링을 의무화하고 있습니다. 두 규정 모두 도메인 소유자가 자신의 도메인으로 이메일을 보내는 주체를 파악하고 있다고 전제합니다. 발송 소스를 목록화할 수 없다면 컴플라이언스를 입증할 수도 없습니다.

전체 발송 풋프린트를 확인하는 방법

DMARC에는 이러한 가시성이 기본으로 내장되어 있습니다. 도메인에 DMARC 레코드를 게시하면, Gmail, Outlook, Yahoo 등 수신측 메일 서버가 매일 집계 리포트를 보내기 시작합니다. 각 리포트는 XML 파일로, 해당 도메인으로 이메일을 보낸 모든 IP 주소, 각 IP의 발송 건수, SPF와 DKIM 검사 통과 여부가 기록되어 있습니다.

실제로 적당히 활발한 도메인의 하루치 리포트에는 각기 다른 수신 서버에서 보내온 수백 개의 XML 파일이 포함될 수 있으며, 각 파일에는 수십에서 수백 개의 IP 레코드가 들어 있습니다. 이를 수동으로 읽는 것은 현실적으로 불가능합니다.

DMARC 모니터링 도구는 이러한 리포트를 자동으로 파싱하여 발송 소스, 서비스별, 인증 상태별로 데이터를 분류합니다. XML 파일 더미 대신, 도메인으로 이메일을 보내는 모든 서버 목록과 각 서버의 승인 여부, 인증 통과 여부를 한눈에 확인할 수 있습니다. 지금 바로 도메인의 DMARC 레코드가 어떻게 설정되어 있는지 확인해 보세요.

DMARCeye의 무료 플랜은 도메인 1개, 월 최대 5,000건의 이메일에 대해 전체 리포트 파싱을 지원합니다. 전체 발송 풋프린트를 확인하고 인지하지 못했던 발송 소스를 식별하기에 충분합니다.

핵심 요약

도메인의 발송 풋프린트는 거의 확실히 예상보다 큽니다. 소규모 도메인도 평균 100개 이상의 고유 발송 IP를 보유하고 있으며, 발송량이 늘어날수록 그 수는 급격히 증가합니다. 이 소스들이 모두 승인된 것은 아닙니다.

첫 번째 단계는 발송 소스 목록을 확인하는 것입니다. DMARCeye는 리포트를 자동으로 파싱하여 모든 발송 소스를 서비스별로 분류하고, 각 소스의 인증 상태를 보여줍니다.