• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

포춘 500대 기업의 DMARC 도입 현황, 8%에 그쳐 2017.08.24

이메일 출처 확인해주는 보안 기술, 5년 동안 도입되지 않아
3단계 도입 단계 중 ‘모니터링’은 도입 안 한 것과 마찬가지

[보안뉴스 문가용 기자] 포춘 500대 기업 중 90% 이상이 아직도 이메일 보안 표준 기술인 DMARC(Domain-based Message Authentication, Report & Conformance)를 도입하지 않고 있다는 연구 결과가 나왔다. 이 때문에 해당 기업은 물론 그 기업들과 얽힌 파트너사, 고객, 하청업체들이 전부 피싱 공격에 노출되어 있는 셈이라고 해당 연구 결과는 밝혔다.

[이미지 = iclickart]


먼저 DMARC란 이메일의 발송지가 정말 주소란에 적힌 그 도메인인지 확인해주는 표준 기술이다. 확인된 송신자의 목록을 만들어(화이트리스팅), 인증이 완료된 이메일만이 배달되도록 강제한다. 가짜 메시지들은 사용자가 확인하기도 전에 삭제한다. 사이버 사기꾼들이 기업 정보를 어떤 식으로 활용하는지를 확인하고 분석할 때도 DMARC가 사용된다.

DMARC는 2007년 야후와 페이팔이 피싱 공격을 막으려고 이런 저런 실험을 진행하다가 나온 결과물이다. 구글, 뱅크오브아메리카, 애거리(Agari) 등의 각 산업 내 리더들도 후에 이 실험에 참여했고, 2012년 DMARC란 이름으로 공식 발표됐다. 이 중 애거리가 최근 공공 DNS 기록들을 바탕으로 기업의 DMARC 도입 현황을 조사했는데, 그 결과가 상기한 것과 같다.

DMARC를 도입한다는 건 여러 단계를 통해 진행되는 일이다.
1) 모니터링 : 인증 받지 못한 메시지들을 파악은 하되 인박스로 보내기는 한다.
2) 격리 : 인증 받지 못한 메시지들을 스팸 폴더로 보낸다.
3) 거부 : 인증 받지 못한 메시지들은 아예 조직 내 네트워크로 들어오지도 못하게 한다.

포춘 500대 기업들 중 이 세 가지 DMARC 단계 중 어느 것도 도입하지 않은 기업이 2/3 수준이었다. 1/4는 모니터링 수준으로 도입하고 있었고, 3%는 격리 수준을 유지하고 있었다. 아예 거부하는 조직은 5%였다.

모니터링 단계에 있다는 건 악성 이메일이 들어오고 있다는 걸 눈 뜨고 보고 있기만 한다는 뜻이다. 물론 그런 이메일들을 모아 공격을 분석하거나 추후 조치를 취할 수는 있다. 그렇지만 소비자들을 취약하게 만드는 것이라고 한다. 즉 적어도 격리시키는 조치를 취하지 않는 이상, DMARC는 효용성을 제대로 발휘하지 못한다. 그렇기에 애거리는 92% 기업이 DMARC를 도입하지 않고 있다고 발표한 것이다.

애거리의 창립자인 패트릭 피터슨(Patrick Peterson)은 DMARC의 ‘모니터링’ 단계에 대해 이런 식으로 표현한다. “사실상 있으나 마나한 수준의 도입 방식이죠. 아무런 보호도 이뤄지지 않고, 그냥 지켜본다는 건데 무슨 의미가 있나 싶습니다. 모니터링만 해놓고 DMARC 도입했다고 주장하는 건 정말 ‘눈 가리고 아웅’의 참된 예시입니다.”

포춘지 선정 기업 외에 또 다른 ‘대기업’의 기준이 되는 파이낸셜타임즈 증권거래소(FTSE) 선정 100대 기업 중 DMARC를 도입한 기업은 어느 정도일까? 모니터링 수준으로 도입한 기업은 26%, 격리 수준은 1%, 거부 수준은 6%였다. 오스트레일리아 증권거래소(ASX) 선정 100대 기업 중 73%는 DMARC를 전혀 도입하지 않고 있었고, 모니터링 수준의 도입 기업은 23%, 격리는 1%, 거부는 3%였다.

피터슨은 조사를 마치고 “경악했다”고 말한다. 하지만 피터슨은 그 이유에 대해 분석하기 시작했다고 한다. “왜 기업들은 DMARC를 도입하는 데에 이처럼 소극적인 걸까요? 조사를 해보니 가장 큰 이유는 교육 문제였습니다. 아직 DMARC를 모르는 보안 팀이 많다는 겁니다. 또한 알고 있지만 ‘충분히 검증될 때까지’ 사용하지 않겠다는 이들도 보안 업계엔 많지요. 이미 나온지 5년이나 넘은 기술이지만 인공지능이나 클라우드 등에 밀려 주목받지 못했던 것 같습니다.”

피터슨이 조사해서 파악한 두 번째 이유는 “이메일로 들어오는 공격의 실상을 제대로 인지하지 못하고 있어서”다. “피싱 공격이 가장 주된 공격 방법인데도 보안 전문가들은 이메일 보안을 무시하는 경향이 큽니다. 이메일로 공격 들어와 봐야 얼마나 대단하겠느냐, 라는 생각이 깔려 있어요. 또한 일반 임직원들에게 있어서 이메일은 가장 중요한 통신 수단 중 하나고요. 이 두 개가 조합되니 이메일 쪽을 잘 건드리지 않게 되는 것이죠.”

그러다보니 가뜩이나 바쁜 CISO들에게 있어 DMARC 도입은 “나중에 생각할” 문제가 되고 있다고 피터슨은 말한다. “그래도 금융 산업의 DMARC 도입 비율은 꽤나 높은 편입니다. 가장 보안에 민감한 산업에서 이런 움직임을 보인다는 건, 다른 산업에서도 곧 비슷한 일이 일어날 것이라는 징조이기도 합니다. 지난 5년의 성적은 그리 좋지 않지만, 앞으로를 기대해볼 수는 있을 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>