이메일 인증 프로토콜 'SPF' 'DKIM' 'DMARC' 등은 발신자 신원을 검증하는 이메일 보안기술이다. 각각 다른 방식으로 발신자를 인증하고 상호 보완적으로 작동한다. 하지만 상당수 기업이 이러한 프로토콜을 잘못 구성해 운영하거나 불편하다는 이유로 '모니터링 모드'로만 방치하면서 제대로 된 효과를 보지 못하고 있다.
SPF(Sender Policy Framework)는 도메인 소유자가 자신의 도메인으로 메일을 보내는 발신 메일서버의 IP주소를 DNS에 사전 등록해 수신자가 이를 확인하는 기술이다.
SPF는 도메인 소유자의 협력에 의존한다는 점이 근본적 한계다. 도메인 소유자가 DNS에 메일서버 IP를 등록하지 않으면 수신자는 이를 검증할 수 없다. 공격자가 유명 기업 도메인으로 메일을 보냈을 때 SPF IP 레코드에 등록돼 있지 않다면 공격에 그대로 노출된다.
유사 도메인을 사용한 메일 탐지도 어렵고 추가적으로 SPF는 메일 본문의 무결성을 보장하지 않는다.
'DKIM(DomainKeys Identified Mail)'은 메일 헤더와 본문에 대해 디지털 서명을 추가해 검증하는 기술이다. 발신 메일서버는 개인 키로, 수신 메일서버는 DNS에 등록된 공개 키로 서명을 확인한다는 점에서 이메일 내용의 무결성을 보장하고 전달 과정에서도 인증을 유지하는 방식이다.
DKIM의 한계는 도메인 소유자의 검증 부재다. 누가 서명을 했는지는 알지만 그 서명자가 실제 발신 도메인과 일치하는지는 보장할 수 없다. 또 릴레이(Relay)를 거치면 인증키가 깨져 검증이 어렵다.
'DMARC(Domain-based Message Authentication, Reporting, and Conformance)'는 SPF와 DKIM의 한계를 보완하기 위해 개발된 기술이다. SPF와 DKIM의 결과를 종합해 인증 실패 시 메일을 어떻게 처리할 지(차단, 격리, 통과)를 지정하고 그 결과를 리포트로 제공한다.
하지만, 유사 도메인 공격까지 완벽하게 대응할 수 없다. 공격자가 정상 도메인과 유사한 도메인을 등록하면, 공격자는 이 도메인에 대해 자신이 원하는 방향대로 DMARC 정책을 설정할 수 있기 때문이다.
결론은 각각의 보안기술마다 한계가 있기에 어느 하나의 보안기술만으로 이메일 해킹을 방어할 수 없다는 것이다.
따라서 기업은 조직적으로 방어 수단을 보완하고 강화하는 강력한 보안정책을 수립하고 실행하는 것이 필요하다. 발신측 메일서버를 검증하는 기술, 유사 도메인을 차단하는 기술, 도메인 정규화 기술, SPF 미등록 도메인 차단, 신뢰할 수 있는 발신자 목록 관리, 사용자 교육 등이 전방위로 요구된다.
정희수 sky@realsecu.net
