오늘날 사이버 보안의 최전선은 여전히 이메일이다. 첨단 위협 탐지 시스템, 차세대 방화벽, 클라우드 기반 보안 솔루션이 넘쳐나지만, 여전히 기업을 무너뜨리는 첫 번째 균열은 ‘이메일 한 통’에서 시작된다. 피싱, 스푸핑, 비즈니스 이메일 침해(BEC)는 여전히 FBI의 주요 사이버 범죄 불만 사항 상위권을 차지하고 있다.

필자는 20년 넘게 전 세계 수많은 기업의 IT 인프라를 관리하면서 같은 장면을 수도 없이 봤다. 완벽한 백업 체계를 갖춘 회사가 단 한 번의 이메일 실수로 수백만 달러의 피해를 입는 모습을 말이다. 문제는 보안 기술이 아니라, 기본이 무너져 있다는 것이다.

DMARC와 DKIM은 ‘선택적 옵션’이 아니다

많은 기업이 여전히 DMARC와 DKIM을 “고급 보안 설정” 정도로 치부한다. 그러나 현실은 그 반대다. 도메인키 식별 메일(DKIM, DomainKeys Identified Mail)은 발신자의 정당성을 증명하는 디지털 서명이다. 도메인 기반 메시지 인증, 보고 및 적합성(DMARC, Domain-based Message Authentication, Reporting & Conformance)은 그 서명이 유효하지 않을 경우 어떻게 처리할지를 정의한다.

이 두 가지는 이메일의 ‘출처’와 ‘정책’을 연결하는 보안 쌍이다. DKIM이 없는 이메일은 서명 없는 계약서와 같다. DMARC가 없는 도메인은 허가 없는 서명을 무시하는 회사와 다를 바 없다. 공격자는 이 빈틈을 노려 합법적인 도메인을 위조하고, 고객과 직원, 파트너를 속인다.

DMARC나 DKIM이 없는 조직은 사이버 공격의 표적이 된다. 피싱 메일로 고객 신뢰를 잃는 것은 시작에 불과하다. 합법 도메인을 사칭한 공격 메일이 외부로 발송되면, 피해는 브랜드 이미지와 규제 위반으로 확대된다.

특히 의료, 금융, 제조, 법률, 소매 등 규제가 엄격한 산업에서는 이메일 인증 미비가 곧 ‘규정 위반’으로 해석될 수 있다. 많은 기업이 이를 인식하지 못하고 있다. 이메일 인증은 단순한 기술 조치가 아니라, 법적·평판적 리스크를 방어하는 기업의 생명선이다.

다층 보안, 신뢰의 기반을 완성하다

DMARC와 DKIM이 중요한 이유는 단일 방어선이 아니기 때문이다. 이들은 다층 보안 아키텍처의 핵심 구성 요소다. 엔드포인트 보호, 네트워크 분할, 다중 인증(MFA), 직원 보안 인식 교육, 실시간 모니터링 등과 결합될 때 진정한 효과를 발휘한다.

보안은 항상 ‘겹겹이 쌓인 구조’여야 한다. 단 하나의 보호막이 뚫리더라도 다음 계층이 피해를 완화해야 한다. 이메일 인증은 그 첫 번째 계층이자, 이후 모든 보안 통제의 신뢰 기반을 형성한다.

보안은 대기업만의 과제가 아니다. 중소기업 역시 대기업과 동일한 수준의 위협에 노출돼 있다. 그러나 현실적으로 내부 보안 인력이나 전문 기술을 확보하기 어렵다. 이때 관리형 서비스 제공업체(MSP)는 강력한 동반자가 될 수 있다. MSP는 DKIM·DMARC 설정, DNS 관리, 리포트 분석, 보안 정책 업데이트를 대신 수행하며, 중소기업이 엔터프라이즈급 이메일 보안을 구현하도록 지원한다.

적절한 파트너십은 제한된 예산에서도 높은 수준의 보호를 가능하게 한다. 보안은 비용이 아니라 투자이며, 그 가치는 사건이 발생했을 때 극명히 드러난다.

이메일 보안의 미래는 ‘기본’에서 출발한다

사이버 위협은 점점 더 정교해지고 빠르게 진화한다. 그러나 기본 원칙은 변하지 않는다. 이메일 인증은 지금도, 앞으로도 조직 신뢰의 출발점이다.

DMARC와 DKIM의 도입은 단순한 기술 적용이 아니라, 기업이 자신의 이름으로 발송되는 모든 메시지에 책임을 지겠다는 선언이다.

필자는 모든 경영자에게 이렇게 묻고 싶다. “당신의 이메일은 진짜입니까?”

그 답이 ‘예’라면, DMARC와 DKIM이 반드시 존재해야 한다.

(*이 기고문은 GTT KOREA의 편집 방향과 다를 수 있습니다.)