이메일은 여전히 사이버 공격의 주요 진입점으로 남아 있으며, 특히 생성AI 기술의 발전으로 피싱 공격이 더욱 정교해지고 있다. 이에 따라 전 세계 각국 정부는 이메일 인증 표준인 DMARC(Domain-based Message Authentication, Reporting & Conformance)의 도입을 의무화하거나 권장하고 있다. 

DMARC는 메시지가 주장하는 도메인에서 실제로 온 것인지 확인하는 이메일 인증 프로토콜이다. 특히 가장 높은 설정인 p=reject에서는 DMARC가 피싱 및 스푸핑된 이메일이 받은 편지함에 도달하는 것을 적극적으로 차단한다. 뉴질랜드 정부 역시 2025년 10월까지 공공 도메인에 대해 가장 강력한 DMARC 정책인 ‘p=reject’ 적용을 의무화했지만, 실제 적용률은 극히 낮은 것으로 나타났다.

글로벌 보안 서비스 기업 이지디마크(easyDMARCCEO 게라심 호바니시안)가 뉴질랜드에 등록된 14만 1242개 도메인을 분석한 결과를 발표했다.

뉴질랜드의 사이버 보안 준비 상태와 정부가 새로 의무화한 이메일 인증 요건 사이에 큰 격차가 있음을 보여주었다. 이번 분석에 따르면, 뉴질랜드에 등록된 이메일 도메인 중 3%만이 피싱 공격으로부터 완전히 보호되고 있는 것으로 나타났다.

안전한 정부 이메일 프레임워크(Secure Government Email Framework)에 따라, 모든 공공 부문 도메인은 2025년 10월까지 DMARC를 가장 엄격한 수준인 ‘p=reject’로 적용해야 한다.

그러나 유효한 DMARC 기록을 가진 도메인은 24.5%(3만 4566개)에 불과했다. 또한 DMARC를 사용하는 도메인 중 72.4%는 가장 약한 정책인 p=none으로 설정되어 있어, 위협을 모니터링만 하고 조치를 취하지 않았다. 한편, p=reject를 적용하는 도메인은 3.1%(4327개)에 불과했다.

이 DMARC 의무화는 공공 부문 도메인에 한정되지만, 공급업체, NGO, 대학, 지방의회 등 다양한 조직에도 직간접적 영향을 미친다. 이메일 인증이 제대로 이루어지지 않으면, 수신자 측에서 메일이 거부되거나 스팸 처리될 수 있어 전달률 하락 위험이 있으며, 동시에 악성 사용자가 동일 도메인을 사칭할 수 있는 보안 취약점이 존재한다. 이는 서비스 신뢰도 저하와 직결되며, 기업 및 기관의 대외 커뮤니케이션 전반에 부정적 영향을 끼칠 수 있다.

보안 정책과 인식의 간극...실행이 관건

이지디엠아크는 이번 보고서를 통해 뉴질랜드 정부의 DMARC 인증 의무화 정책 시행을 앞두고, 모든 조직이 조속히 DMARC를 설정하고 이를 강제(p=reject)하도록 이행할 것을 권고했다. 특히 공공기관뿐 아니라 연계된 모든 민간 파트너까지도 이메일 신뢰도를 보장해야 실질적인 보안 체계가 작동할 수 있다는 점에서, 이번 조치는 강력한 선례가 된다고 분석했다.

보고서는 피싱이 전체 사이버 공격의 90% 이상을 차지하며, AI 기술로 인해 더욱 탐지하기 어려운 형태로 진화하고 있다는 점을 강조하고 있다. 따라서 단순히 DMARC를 ‘보유’하는 것이 아닌, ‘강제 실행’까지 이어지는 전면적 이행이 반드시 필요하다고 지적했다.

이지디마크의 CEO인 게라심 호바니시안(Gerasim Hovhannisyan)은 “대부분의 조직이 DMARC를 설정하지만 실제로 적용하지 않는다.”라며, “뉴질랜드는 DMARC를 가장 엄격한 수준인 p=reject로 의무화함으로써, 이메일 보안은 적용이 진지하게 받아들여질 때만 작동한다는 것을 보여주며 모범을 보이고 있다.”라고 말했다.

그는 이어서 “너무 많은 조직들이 ‘p=none’에서 멈춰 가짜 보안 감각을 조성한다. 우리의 연구에 따르면 전 세계 상위 180만 개 도메인 중 9.5%만이 p=reject를 채택했다. 구현과 적용 사이의 이러한 격차가 이메일이 여전히 가장 흔한 공격 벡터인 이유다.”라고 덧붙였다.