이메일 보안의 새로운 표준 DMARC, 아직 북미와 유럽에서만 도입돼
GCA 리더보드라는 새로운 온라인 툴 발표…DMARC 도입 순위 공개해

[보안뉴스 문가용 기자] 아직도 사이버 공격의 대부분은 이메일을 통해 시작된다. 그런 분위기 속에서 글로벌 사이버 얼라이언스(Global Cyber Alliance, GCA)는 ‘도메인 기반 메시지 인증, 보고, 준수(Domain-based Message Authentication, Reporting & Conformance, 이하 DMARC)’라고 불리는 이메일 보안 프로토콜의 사용을 권장하고 나섰다. 그러면서 어떤 도메인이 DMARC를 적용했는지 보여주는 온라인 툴도 발표했다. 보너스로 산업별, 지역별 DMARC 구축 비율도 보여준다고 한다.


“거의 모든 신기술이 그러하지만, 대범하거나 무모한 얼리어답터가 아니라면 대부분의 사람들이 ‘다른 사람은 얼마나 도입(사용)하고 있는가’를 궁금해하고, 이를 근거로 ‘나도 해야지’ 혹은 ‘나도 좀 기다려야지’라는 판단을 합니다. DMARC(‘디마키’라고 읽는다)도 마찬가지에요. 사람들은 늘 ‘다른 사람은 어때?’를 묻습니다. 그래서 이러한 궁금증을 해소시킬 툴을 만든 겁니다.” GCA 운영국장인 셰자드 미르자(Shehzad Mirza)의 설명이다.

GCA는 DMARC 도입 순위를 집계하기 위해 여러 파트너들의 도움을 받고 있다. “한 파트너는 저희에게 50만 개 도메인에 대한 정보를 제공했습니다. 또 다른 파트너는 곧 1천만 개 도메인 정보를 제공할 예정이고요. GCA의 목표는 3천만 개 도메인 목록을 내년까지 확보하는 겁니다.” 미르자의 설명이다.

왜 GCA는 DMARC에 집착하다시피 하는 것일까? “DMARC는 이메일 메시지의 진위 여부를 확실하게 가려, 진짜임을 보증해주는 기술입니다. 스팸에 대항할 수 있는 표준 기법으로서 개발됐고, 갈수록 엄격해지는 과정들로 구성된 등급 시스템을 갖추고 있습니다. 결국 ‘이 도메인은 스팸에 활용되지 않고 있다’는 걸 최종적으로 확인하기 위한 것입니다.”

‘메이저급’에 속하는 이메일 서비스인 마이크로소프트 오피스 365, 구글 지메일, 야후 등은 이미 DMARC를 도입한 상태다. 미국 국토안보부의 경우 민간 연방 기관들에 전부 DMARC를 도입하라는 명령을 내리기도 했다. 2018년 10월 16일까지의 기간이 주어졌는데, 조사해보니 83%가 DMARC를 도입한 상태였다. 하지만 산업체들과 주, 시 등 보다 작은 단위의 정부기관은 DMARC 도입을 거의 하지 않고 있다.

GCA에서 제공하는 DMARC 도입 현황표나 지도를 보면 북미와 유럽에서만 집중적으로 이뤄지고 있는 걸 알 수 있다. 거의 빈 공간처럼 남겨진 곳도 세계 곳곳에서 눈에 띈다. “데이터를 더 협조받으면 지형이 조금 달라질 수도 있습니다. 세계 모든 도메인들을 목록화할 수 있다면 지금 저희가 가지고 있는 맵과는 상당히 다르겠죠.”

GCA 측은 “우리가 제공하는 툴이 결국에는 각 조직의 CISO들에게 도움이 되길 바란다”는 입장이다. “DMARC를 도입하고 싶어도 경영진을 설득할 수 없어 어찌할 바를 모르는 CISO들이 현장에 많은 것으로 알고 있습니다. GCA가 빠른 시일 안에 툴을 완성해서 그런 CISO들에게 힘을 싣고 싶습니다. 자신이 속한 산업군과 세계적인 흐름을 한 눈에 볼 수 있게 된다면 많은 경영진들이 DMARC 도입에 관심을 갖게 될 것이라고 기대합니다.”

GCA가 제공하는 맵은 인터랙티브한 기능을 가지고 있다. 그래서 사용자는 다양한 항목별로 그려진 맵을 열람할 수 있게 된다. 그러나 아직 전체 데이터셋을 전부 공개하고 있지는 않다. 보안 때문이다. 미르자는 “출력되는 결과값을 500개 도메인으로 한정시켰다”고 설명한다. “누군가 전체 데이터베이스를 긁어갈 수 있을까봐 잠정적으로 그런 조치를 취한 것입니다. 하지만 정상적인 조직에서 합당한 필요에 의해 모든 데이터를 열람해야 한다면 요청서를 저희 쪽으로 보내면 됩니다.”

DMARC 도입을 늘리고자 하는 이유 역시 단 하나, 보안이다. 이메일 보안의 근본적인 해결책이 되어줄 것이라고 GCA는 보고 있다. “그래서 DMARC를 홍보하고 알리기 위한 노력을 계속해서 하고 있습니다. 보고서도 내고 홍보 책자도 냈습니다. 이런 노력의 일환으로 완성된 것이 DMARC 순위표나 맵이죠.”

DMARC를 도입하면 제일 먼저 발신자 정책 프레임워크(Sender Policy Framework, SPF)가 시작된다. 한 도메인에서 메일 메시지를 보내도록 승인된 서버들이 무엇인지 확인하고 지정하는 작업이다. 여기서 나온 SPF 기록들은 조직 내 DNS 서버에 저장된다. 이 상태에서 이메일 메시지가 이메일 게이트웨이에 도착하면, DMARC가 메일이 날아온 발송지 서버를 확인한다. 물론 이 때 SPF 기록을 참조한다. 승인이 되면 게이트웨이를 통과해 편지함으로 들어간다. 그렇지 않으면 문 밖으로 쫓겨난다.

그 다음은 도메인키 식별 메일(DomainKeys Identified Mail, DKIM)이라고 하는 것이다. 이메일 메시지와 연결된 도메인을 확인하는 메커니즘으로, 조직 내 DNS 서버에 저장된 디지털 시그니처를 사용해 이 작업을 실시한다. 디지털 시그니처가 맞으면 메일이 통과되고, 그렇지 않으면 내동댕이다.

이 두 가지 작업 모두 보내는 사람 편에서 이뤄진다. 보내는 사람을 확인하는 것이니 당연하다. SPF 정보와 DKIM 정보가 받는 사람과 공유되고, 그에 따라 받는 자 쪽에서 할 일이 무엇인지에 대한 정보가 생성되고 공유될 때, “DMARC 인증을 거쳤다”고 말한다.

3줄 요약
1. DMARC, 이메일 보안의 새로운 표준으로 자리 잡아가는 기술.
2. GCA가 이를 더 확산시키기 위해 도입 현황 순위표를 만들어 제공하기 시작함.
3. 현재까지 집계된 바에 의하면 현재 북미와 유럽에서만 도입된 기술.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>