• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 국토안보부, 120일 안에 DMARC, HTTPS, STARTTLS 도입 지시 2017.10.17

이메일 통한 공격 빈번해 조치 취한 듯...모든 연방 기관 해당돼
DMARC가 핵심...현재 기업과 기관의 도입률 50%도 되지 않아

[보안뉴스 문가용 기자] 미국의 국토안보부가 .gov 이메일과 웹사이트 도메인을 사용하는 모든 연방 정부 기관에 추가적인 보안 조치를 취할 것을 지시했다. 이제 미국의 모든 정부 기관들은 이메일 보안 표준인 DMARC와 HTTPS, STARTTLS를 일정 기간 안에 반드시 도입해야만 한다.

[이미지 = iclickart]


먼저 DMARC의 경우 모든 기관들은 30일 안에 구축 계획부터 마련해야 한다. DMARC는 Domain-based Message Authentication, Reporting & Conformance의 약자로, 이메일 발송자들의 화이트리스트와 이메일을 비교 및 대조해봄으로써 스팸과 피싱을 막아주는 기능을 한다. 또한 인증 받지 않은 이메일 주소로 메일을 보내는 것도 불가능하게 만들기 때문에 은둔의 IT(shadow IT)의 사용 역시 줄어드는 효과가 창출된다. 직원들은 업무적인 연속성을 위해 개인 계정 등으로 메일을 보내 집에서나 외부에서 개인기기로 받아보는 행위를 계속해왔고, 이 때 은둔의 IT가 자주 활용됐다.

30일 안에 DMARC 도입 계획을 마련했다면 그 다음 90일 동안은 DMARC를 실제 도입해야 한다. 그리고 최소한의 이메일 모니터링을 시작해야 한다. 국토안보부는 앞으로 수년 안에 연방 기관으로 들어가는 피싱 메일과 스팸 메일을 100% 차단하겠다는 계획을 가지고 있다. 국토안보부 내에서 사이버 보안 및 소통을 담당하고 있는 자넷 만프라(Jeanette Manfra)는 “대국민 서비스 및 각종 정부 서비스를 이용하는 고객들이 보안을 불안해 한다는 건 있을 수 없는 일”이기 때문에 이러한 계획을 마련해 실천하는 것이라고 설명했다.

여기에 더해 연방 정부 기관들은 다음 120일 동안 웹사이트 암호화 표준인 HTTPS와 STARTTLS도 도입해야만 한다. DMARC를 작년부터 검토하고 실험해온 국토안보부로서 “DMARC만으로는 충분치 않다”고 결론을 내린 것으로 보인다. “모든 기관들과 이야기를 나눠봤습니다. 그 결과 DMARC만 구축한다고 해서 이메일 보안이 온전해질 것 같지 않았습니다. 뭔가 더 조치가 필요해보였고, 그건 바로 암호화 기술이었습니다.”

사실 DMARC를 이미 도입한 곳은 많다. 구글이나 야후, MS가 제공하는 이메일 서비스 전부 DMARC를 지원한다. 국토안보부의 통계에 따르면 전 세계 이메일 함의 76%가 DMARC에 의해 보호를 받는다고 한다. 약 48억개 정도라고 볼 수 있다. 하지만 연방 정부나 기업의 이메일 함 중 DMARC를 도입한 곳은 50%도 되지 않는다. 포춘지 선정 500대 기업의 2/3이 DMARC 표준을 아예 사용하지 않고 있을 정도다.

이런 현상은 DMARC 도입의 어려움을 방증하기도 한다. 이메일 보안 전문 업체 밸리메일(ValiMail)에 의하면 DMARC 도입 시도의 62~80%가 실패로 돌아간다고 할 정도다. 여기에는 여러 가지 이유가 있는데 그 중 하나는 사용자 교육이다. 익숙한 것에 새로운 기술을 도입하는 거부감도 한 몫 거든다는 게 전문가들의 의견이기도 하다. 밸리메일은 “복잡한 DNS 테이블 때문에 이메일 시스템의 백엔드를 수정하는 것 또한 상당히 어려운 일”이라고 짚는다.

그러나 글로벌 사이버 얼라이언스(Global Cyber Alliance, GCA)의 쉐자드 미르자(Shehzad Mirza)에 의하면 DMARC 도입이 그리 어려운 일만은 아니다. “이메일 도메인을 가지고 있는 사람은 사업장이나 조직의 규모와 상관없이 DMARC를 바로 도입할 수 있습니다.” GCA는 실제로 홈페이지를 통해 DMARC 구축 가이드를 제공하는데, 이는 여기서 확인이 가능하다(영문).

보안 업체 애거리(Agari)의 의장인 패트릭 피터슨(Patrick Peterson)은 “DMARC만 도입해도 이메일을 통한 공격이 크게 줄어들 것”이라며 “사이버 공격의 대부분이 이메일을 통해 들어온다는 걸 반드시 기억하라”고 권고한다. “국토안보부가 DMARC 도입을 강제화한 게 전시 행정이나 헛수고라고 여겨서는 안 됩니다. 분명히 가치가 있는 일이기에 이렇게 기한까지 정해놓고 엄격하게 진행하는 것이죠.”

밸리메일의 공동 창립자이자 CTO인 피터 골드스타인(Peter Goldstein) 역시 피터슨의 말에 동의한다. “국토안보부의 결정에 동의합니다만, DMARC만으로 충분하지는 않다는 걸 기억해야 합니다. DMARC도 여러 단계로 도입이 가능한데 1단계에 해당하는 ‘모니터링’ 수준에서는 아무런 보안 조치가 취해지지 않는 것과 마찬가지입니다. DMARC의 참 가치를 살리려면 최소한 위험한 메일에 ‘스팸’ 경고 딱지가 붙게 만들어야 합니다.”

이메일 보안은 전통적으로 ‘무시받는’ 경향이 있다는 골드스타인은 “이번 국토안보부의 결정으로 인해 이메일 보안의 새로운 지평이 열릴 것으로 기대한다”고 말하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>