2026 웹 보안 실전 가이드

보너스 2. 이메일

DKIM 등 발신자 인증의 중요성, 이메일을 가로채 결제 정보를 바꿔 대금을 가로채는 공격, 증상 없이 누적되는 정보 수집, 이메일 계정 보호. (부록 G)

이메일이 가로채지면, 공격자는 당신의 거래를 지켜보다가 결정적 순간에 끼어듭니다. "결제 계좌가 변경되었습니다." 그 한 줄에 거래 대금이 통째로 넘어갑니다.

들어가며: 이메일은 왜 여전히 위험한가

이메일은 인터넷에서 가장 오래된 통신 수단 중 하나이고, 여전히 비즈니스의 중심에 있습니다. 그리고 바로 그 때문에, 가장 오래되고 가장 비싼 공격의 통로이기도 합니다.

이메일의 근본적인 문제는, 그것이 처음 설계될 때 보안을 깊이 고려하지 않았다는 데 있습니다. 이메일은 본래 누가 보냈는지를 쉽게 위조할 수 있고, 중간에서 가로채거나 엿보기 쉬운 구조로 만들어졌습니다. 이후 여러 보안 장치가 덧붙여졌지만, 그 장치들을 제대로 설정하지 않으면 이메일은 여전히 취약합니다.

이 보너스 장에서는 이메일 보안의 두 가지 핵심을 다룹니다. 하나는 발신자 인증 — 누군가 당신의 도메인으로 이메일을 위조해 보내는 것을 막는 장치들(특히 DKIM)입니다. 다른 하나는 이메일 가로채기를 통한 거래 탈취 — 공격자가 이메일을 엿보다가 결제·거래의 결정적 순간에 끼어들어 돈을 가로채는, 놀랄 만큼 흔하고 피해가 큰 공격입니다.

핵심 메시지를 미리 말하면 이렇습니다. 이메일 가로채기의 피해는 두 가지 형태로 옵니다. 하나는 거래 탈취처럼 한 번에 크게 터지는 피해이고, 다른 하나는 증상 없이 조용히 누적되는 정보 수집입니다. 전자는 즉시 아프지만, 후자는 알아채지 못한 채 계속 새어 나갑니다. 둘 다 막아야 합니다.

G.1 이메일 발신자 인증: 위조를 막는 세 장치

이메일의 근본 약점 하나는, 발신자를 위조하기 쉽다는 것입니다. 공격자가 당신의 도메인에서 보낸 것처럼 위장한 이메일을 보낼 수 있다는 뜻입니다. 이것을 막기 위한 세 가지 장치가 있습니다. 이름이 복잡하지만, 함께 작동하여 발신자의 진위를 검증합니다.

세 장치의 역할

SPF(Sender Policy Framework) — 어떤 서버가 당신의 도메인에서 이메일을 보낼 자격이 있는지를 명시하는 장치입니다. "내 도메인의 이메일은 이 서버들에서만 나간다"고 DNS에 한 줄(TXT 레코드)로 선언해 두면, 받는 쪽에서 그 외의 서버에서 온 이메일을 의심할 수 있습니다.

DKIM(DomainKeys Identified Mail) — 보내는 이메일에 전자 서명을 붙여, 그 이메일이 정말 당신의 도메인에서 왔고 중간에 변조되지 않았음을 증명하는 장치입니다. 받는 쪽에서 이 서명을 검증하여, 위조나 변조 여부를 확인할 수 있습니다.

DMARC(Domain-based Message Authentication, Reporting & Conformance) — 위의 SPF와 DKIM 검증을 종합하여, 검증에 실패한 이메일을 어떻게 처리할지(거부할지, 격리할지)를 지시하고, 그 결과를 보고받는 장치입니다. SPF와 DKIM이 검증 수단이라면, DMARC는 그 결과에 따른 정책과 감시입니다. DMARC의 정책 표기와 동작 원리는 표준을 만든 dmarc.org에 정리되어 있습니다.

이 세 장치를 함께 제대로 설정하면, 공격자가 당신의 도메인을 사칭한 이메일을 보내기가 훨씬 어려워집니다. 이것은 5장에서 DNS 레코드를 점검하며 잠깐 언급한 것이기도 합니다.

지금 무엇을 하면 되나. 세 장치 모두 DNS의 TXT 레코드 한 줄씩으로 설정됩니다. 도메인이나 메일 서비스(예: Google Workspace, 네이버웍스 등) 관리 화면에서 추가하면 됩니다. 설정했다면 — 또는 설정했다고 믿는다면 — MXToolbox에 도메인을 넣어 SPF·DKIM·DMARC 레코드가 실제로 잘 게시되었는지 한 번 확인하십시오. 무료이고, 회원가입 없이 즉시 결과를 보여 줍니다. 내가 여러 고객사 도메인을 넘겨받아 가장 먼저 돌려 보는 점검도 이것입니다. "분명히 옛날에 넣어 뒀다"는 도메인의 절반쯤은 오타가 났거나, SPF만 있고 DKIM·DMARC는 비어 있거나, 메일 서비스를 옮기면서 레코드가 깨져 있었습니다.

DKIM의 중요성

이 세 장치 중에서도 DKIM의 역할을 특별히 강조합니다. DKIM이 중요한 이유는, 그것이 이메일의 무결성 — 내용이 변조되지 않았음 — 까지 보장하기 때문입니다.

SPF가 "이 서버에서 보낸 게 맞나"를 보는 것이라면, DKIM은 "이 내용이 진짜 그 도메인에서 서명한 그대로인가"를 봅니다. 이것은 G.2에서 다룰 이메일 변조 공격과 직결됩니다. 공격자가 이메일을 가로채 내용을 바꾸려 해도, DKIM 서명이 있으면 그 변조가 검증 과정에서 드러납니다.

DKIM 설정이 제대로 되어 있지 않으면, 당신의 도메인으로 위조된 이메일이 검증을 통과할 수 있고, 당신이 보낸 정당한 이메일조차 받는 쪽에서 신뢰받지 못해 스팸으로 분류될 수 있습니다. 발신자 인증을 제대로 설정하는 것은, 공격을 막는 동시에 당신의 정당한 이메일이 신뢰받게 하는 두 가지 효과가 있습니다.

특히 2026년 현재는 Gmail·Yahoo 같은 대형 수신 서비스가 발신 도메인에 SPF·DKIM·DMARC를 사실상 요구하는 방향으로 정책을 강화해 왔습니다. 인증이 비어 있으면 당신의 청구서·예약확인·뉴스레터가 조용히 스팸함으로 밀릴 수 있다는 뜻입니다. Gmail로 보내는 메일이 잘 도착하는지, 어디서 막히는지는 Google Postmaster Tools에 도메인을 등록하면 인증 통과율과 평판 지표로 직접 확인할 수 있습니다. 마케팅 메일을 보내는 소규모 사업주라면 이것 하나만으로도 "왜 우리 메일이 안 들어가지?"의 절반은 풀립니다.

발신자 인증의 한계

다만 한 가지를 분명히 해야 합니다. 이 세 장치는 당신의 도메인이 사칭당하는 것을 막는 데 효과적입니다. 그러나 이것만으로 모든 이메일 위협이 해결되지는 않습니다. 예를 들어 공격자가 당신의 도메인을 사칭하는 대신, 당신의 도메인과 비슷해 보이는 다른 도메인을 쓰거나(보는 사람이 착각하도록), 정당한 계정 자체를 탈취하는 경우에는, 이 장치들만으로는 부족합니다. 그래서 발신자 인증은 필수적이지만, G.2와 G.3에서 다룰 다른 방어와 함께여야 합니다.

G.2 거래 가로채기: 한 줄에 사라지는 거래 대금

이제 이 장의 가장 중요하고 가장 비싼 위협을 다룹니다. 이메일 가로채기를 통한 거래 탈취입니다. 이것은 놀랄 만큼 흔하고, 한 번에 큰 금액이 사라지는 공격입니다. 업계에서는 이를 비즈니스 이메일 침해(BEC, Business Email Compromise) — 거래 관계자를 사칭해 송금을 가로채는 공격 — 라고 부릅니다. Verizon의 연례 침해 분석 보고서(DBIR)는 해마다 이 BEC/사칭 부류를 화려한 해킹 기법보다 금전 피해가 큰 단골 항목으로 꼽습니다. 화면을 부수는 공격이 아니라, 사람을 속이는 공격이 가장 비싸다는 뜻입니다.

공격의 구조

이 공격의 구조는 다음과 같이 전개됩니다.

먼저 공격자가 이메일에 접근합니다. 거래 당사자 중 한쪽의 이메일 계정을 탈취하거나(약한 비밀번호, 피싱, 다른 유출 등을 통해), 또는 이메일 통신을 가로챌 수 있는 위치(보너스 1의 중간자 위치)를 확보합니다.

그다음, 공격자는 이메일을 조용히 지켜봅니다. 당장 무언가를 하지 않습니다. 거래와 관련된 대화가 오가는 것을 관찰하며, 결제나 송금의 결정적 순간을 기다립니다. 거래 금액, 거래 상대, 일정, 그리고 무엇보다 돈이 오가는 시점을 파악합니다.

그리고 결정적 순간에 끼어듭니다. 거래 대금을 지불해야 하는 시점에, 공격자가 거래 상대인 척하면서 이런 내용의 이메일을 보냅니다. "결제 계좌가 변경되었습니다. 새 계좌로 송금해 주십시오." 또는 이미 오간 정당한 이메일을 변조하여, 계좌 정보만 공격자의 것으로 바꿔치기합니다.

피해자는 이미 진행 중인 거래의 맥락 안에 있으므로, 이 요청을 의심하기 어렵습니다. 거래 상대로부터 온 것처럼 보이고, 거래의 흐름에 자연스럽게 맞아떨어지기 때문입니다. 그래서 피해자는 변경된 계좌로 거래 대금을 송금하고 — 그 돈은 공격자에게 갑니다.

왜 이토록 효과적인가

이 공격이 무서운 이유는 여러 가지입니다.

맥락이 신뢰를 만듭니다. 3장에서 소셜 엔지니어링이 맥락을 악용한다고 했습니다. 이 공격은 실제 진행 중인 거래라는 완벽한 맥락 안에서 일어납니다. 생뚱맞은 요청이 아니라, 기다리고 있던 바로 그 거래의 일부처럼 보입니다.

금액이 큽니다. 일상적인 작은 거래가 아니라, 큰 금액이 오가는 거래를 노립니다. 한 번의 성공으로 큰 이득을 얻습니다.

발견이 늦습니다. 피해자는 정상적으로 송금했다고 믿으므로, 무언가 잘못되었다는 것을 한참 뒤에야 — 거래 상대가 "돈을 못 받았다"고 연락해 올 때에야 — 알게 됩니다. 그때는 이미 돈이 빠져나간 뒤입니다.

이것은 3장에서 다룬 소셜 엔지니어링과 보너스 1에서 다룬 중간자 변조가 결합된, 매우 정교하고 현실적인 공격입니다. 그리고 AI 시대에 더욱 정교해지고 있습니다(3장).

방어: 대역 외 확인과 절차

이 공격에 대한 방어는, 3장과 14장에서 강조한 원리와 정확히 일치합니다. 신호가 아니라 절차로, 직관이 아니라 검증으로 막는 것입니다.

대역 외 확인이 핵심입니다. 가장 중요한 방어입니다. 결제 계좌나 송금 정보가 변경되었다는 연락을 받으면 — 그것이 아무리 정당해 보여도 — 이메일로 답하지 말고, 반드시 다른 경로로 확인하십시오. 알고 있는 전화번호로 직접 거래 상대에게 전화하여, 정말 계좌가 변경되었는지 확인하는 것입니다. 이메일이라는 같은 경로로 확인하면, 그 경로를 장악한 공격자에게 다시 묻는 셈이 됩니다. 반드시 이메일과 독립된 경로여야 합니다.

계좌 변경을 위험 신호로 취급하십시오. "결제 계좌가 변경되었다"는 연락 자체를, 기본적으로 의심해야 할 신호로 규정하십시오(14장의 "긴급=위험 신호"와 같은 원리). 정당한 계좌 변경도 있을 수 있지만, 그렇기에 더욱 대역 외 확인이 필요합니다.

거래 절차를 정해 두십시오. 중요한 거래의 결제 정보는 어떻게 검증하고 확정하는지를 미리 절차로 정해 두면, 공격자가 그 절차를 우회하기 어렵습니다. 예를 들어 일정 금액 이상의 송금 전에는 반드시 대역 외 확인을 거친다는 규칙입니다.

발신자 인증과 계정 보호. G.1의 발신자 인증(특히 DKIM)은 도메인 사칭과 변조를 어렵게 만듭니다. 그리고 G.4에서 다룰 계정 자체의 보호(2채널 인증)는, 애초에 공격자가 이메일에 접근하는 것을 막습니다. 이 기술적 방어들이 절차적 방어와 함께 작동해야 합니다.

G.3 조용한 누적: 증상 없는 정보 수집

거래 탈취가 한 번에 크게 터지는 피해라면, 또 다른 형태의 피해는 정반대입니다. 증상 없이 조용히 누적되는 피해입니다.

보이지 않게 새어 나가는 정보

공격자가 당신의 이메일에 접근하면, 거래의 결정적 순간을 기다리는 동안(그리고 그것과 무관하게), 당신의 이메일에 담긴 방대한 정보를 조용히 수집합니다. 이메일에는 놀랄 만큼 많은 것이 담겨 있습니다. 개인정보, 거래 내역, 인간관계, 일정, 다른 서비스의 정보, 그리고 종종 다른 계정의 비밀번호 재설정 통로까지.

이 정보 수집의 무서운 점은, 증상이 없다는 것입니다. 거래 탈취는 돈이 사라지므로 결국 발각되지만, 정보 수집은 아무것도 눈에 띄게 사라지지 않습니다. 공격자는 그저 조용히 읽고, 복사하고, 축적합니다. 당신은 무언가 잘못되었다는 신호를 받지 못한 채, 정보가 계속 새어 나갑니다.

그리고 수집된 정보는 다른 공격의 재료가 됩니다. 이메일에서 얻은 정보로 더 정교한 소셜 엔지니어링을 설계하고(3장), 다른 계정에 접근하고(이메일은 종종 비밀번호 재설정의 관문입니다), 당신의 인간관계를 악용합니다. 한 번의 이메일 접근이, 보이지 않게 확산되는 피해의 시작점이 됩니다.

이메일은 다른 계정의 열쇠다

특히 강조할 점이 있습니다. 이메일 계정은 종종 다른 많은 계정의 마스터 열쇠 역할을 합니다. 대부분의 서비스가 비밀번호를 잊었을 때 이메일로 재설정 링크를 보내기 때문입니다. 즉, 당신의 이메일을 장악한 공격자는, 그 이메일과 연결된 다른 수많은 계정의 비밀번호를 재설정하여 차례로 장악할 수 있습니다.

이것이 이메일 계정 보호가 특히 중요한 이유입니다. 이메일은 단순한 하나의 계정이 아니라, 당신의 디지털 생활 전체로 가는 관문입니다. 그래서 G.4에서 다룰 계정 보호 — 특히 2채널 인증 — 이 이메일에서 가장 중요합니다.

방어: 접근 자체를 막고, 흔적을 살피기

조용한 정보 수집에 대한 방어는 두 방향입니다.

접근 자체를 막으십시오. 증상이 없으므로, 사후에 탐지하기 어렵습니다. 그래서 애초에 공격자가 이메일에 접근하지 못하게 하는 것이 최선입니다. G.4의 강력한 계정 보호(2채널 인증)가 핵심입니다.

비정상 신호를 살피십시오. 증상이 없다고 했지만, 미묘한 신호는 있을 수 있습니다. 알 수 없는 위치나 기기에서의 접근 기록, 보낸 적 없는 이메일, 예상치 못한 비밀번호 재설정 알림, 읽음 표시가 이상한 이메일 등입니다. 이메일 서비스가 제공하는 접근 기록과 보안 알림을 주기적으로 살피면, 조용한 침입의 흔적을 포착할 수 있습니다(13장의 모니터링 정신). 의심스러운 신호가 있으면, 즉시 비밀번호를 바꾸고 모든 세션을 종료하고 2채널 인증을 점검하십시오.

G.4 이메일 계정 보호: 관문을 지키다

G.3에서 보았듯, 이메일 계정은 단순한 하나의 계정이 아니라 디지털 생활 전체로 가는 관문입니다. 그래서 이메일 계정의 보호는 특별히 중요합니다. 이것은 보너스 3(비밀번호)과 보너스 4(Zero Trust)에서 다룰 원칙의 가장 중요한 적용 사례입니다.

2채널 인증은 선택이 아니다

이메일 계정에 대한 가장 중요한 보호는, 본문 3·7·14장에서 반복한 다단계 인증(2채널 인증)입니다. 보너스 3에서 자세히 다루겠지만, 핵심은 이것입니다. 비밀번호만으로는 부족합니다. 비밀번호는 유출될 수 있고(G.3의 정보 수집을 포함해), 피싱으로 넘어갈 수 있습니다(3장). 2채널 인증이 있으면, 비밀번호가 유출되어도 두 번째 인증 요소가 없는 공격자는 접근하지 못합니다.

이메일처럼 다른 계정의 열쇠가 되는, 그리고 그토록 많은 정보를 담은 계정에는, 2채널 인증이 선택이 아니라 필수입니다. 가능하면 피싱에 강한 방식(7장의 하드웨어 키)을 쓰는 것이 더 안전합니다.

계정 보호의 다른 측면들

2채널 인증과 함께, 이메일 계정 보호의 다른 측면들도 챙겨야 합니다.

비밀번호 재설정 경로를 보호하십시오. 이메일이 다른 계정의 열쇠이듯, 이메일 자체의 비밀번호 재설정 경로(복구 이메일, 복구 전화번호 등)도 공격자의 표적입니다. 이 복구 경로가 안전한지, 공격자가 이를 통해 우회할 수 없는지 점검하십시오.

접근 권한을 점검하십시오. 이메일 계정에 연결된 다른 앱이나 서비스의 접근 권한을 주기적으로 검토하십시오. 더 이상 쓰지 않거나 신뢰하지 않는 것의 접근을 회수하십시오(14장의 권한 검토). 과거에 허용한 접근이 통로가 될 수 있습니다.

업무용과 개인용을 분리하십시오. 가능하면 업무용 이메일과 개인용 이메일을 분리하여, 한쪽의 침해가 다른 쪽으로 번지지 않게 하십시오. 이것은 보너스 4와 본문에서 다룬 분리·격리 원칙의 적용입니다.

G.5 이 장이 남기는 교훈

이 보너스 장에서 확인한 것을 압축합니다.

첫째, 이메일은 가장 오래된 통로이자 가장 비싼 피해의 원천입니다. 본래 보안을 깊이 고려하지 않고 설계되어, 발신자 위조와 가로채기에 취약합니다.

둘째, 발신자 인증(SPF·DKIM·DMARC)을 설정하십시오. 특히 DKIM은 무결성까지 보장하여, 도메인 사칭과 이메일 변조를 어렵게 만듭니다. 이것은 공격을 막는 동시에 당신의 정당한 이메일이 신뢰받게 합니다.

셋째, 거래 가로채기는 한 줄에 거래 대금을 앗아갑니다. 공격자가 이메일을 지켜보다가 결제의 결정적 순간에 "계좌가 변경되었다"고 끼어듭니다. 진행 중인 거래라는 맥락이 신뢰를 만들어 막기 어렵습니다.

넷째, 거래 가로채기의 방어는 대역 외 확인입니다. 계좌·송금 정보 변경 연락은, 아무리 정당해 보여도 반드시 이메일과 독립된 경로(전화 등)로 확인하십시오. 계좌 변경을 위험 신호로 규정하고, 거래 검증 절차를 정해 두십시오.

다섯째, 이메일 가로채기의 다른 피해는 증상 없이 누적됩니다. 공격자가 조용히 정보를 수집하며, 그것이 다른 공격의 재료가 됩니다. 이메일은 다른 많은 계정의 열쇠이므로 특히 위험합니다. 접근 자체를 막고, 비정상 신호를 살피십시오.

여섯째, 이메일 계정에는 2채널 인증이 필수입니다. 이메일은 디지털 생활 전체로 가는 관문이므로, 비밀번호만으로는 부족합니다. 복구 경로를 보호하고, 연결된 접근 권한을 점검하고, 업무용과 개인용을 분리하십시오.

이 장의 실행 항목

  1. 발신자 인증을 설정하고, 설정됐는지 확인하십시오. SPF, DKIM, DMARC를 함께 설정하십시오. 특히 DKIM은 변조 방지에 중요합니다. 설정 후에는 MXToolbox로 레코드가 실제로 게시됐는지 점검하십시오. (G.1, 5장)
  2. 거래 시 대역 외 확인을 규칙으로 만드십시오. 계좌·송금 정보 변경은 반드시 이메일과 독립된 경로로 확인하십시오. (G.2)
  3. "계좌가 변경되었다"를 위험 신호로 규정하십시오. 진행 중인 거래의 맥락 속 요청일수록 더 의심하십시오. (G.2, 14장)
  4. 이메일 계정에 2채널 인증을 적용하십시오. 이메일은 다른 계정의 열쇠이므로 필수입니다. 가능하면 피싱에 강한 방식으로. (G.4, 보너스 3)
  5. 이메일 접근 기록과 보안 알림을 주기적으로 살피십시오. 증상 없는 침입의 미묘한 흔적을 포착하십시오. (G.3, 13장)
  6. 비밀번호 재설정 경로와 연결된 접근 권한을 점검하십시오. 복구 경로와 과거 허용 접근이 우회 통로가 될 수 있습니다. (G.4)
  7. 업무용과 개인용 이메일을 분리하십시오. 한쪽의 침해가 다른 쪽으로 번지지 않게 하십시오. (G.4)

관련 장: 3장(소셜 엔지니어링), 5장(DNS 레코드 점검), 13장(모니터링), 14장(대역 외 확인), 보너스 1(중간자 공격), 보너스 3(비밀번호와 2채널), 보너스 4(Zero Trust).