포춘 500대 기업…피싱 막는 이메일 보안 거의 적용 안해

DMARC 표준 적용은 10곳 중 1곳에 불과

컴퓨팅입력 :2017/08/25 10:59    수정: 2017/08/25 11:08

손경호 기자

내로라하는 글로벌 기업들이 피싱, 스팸 유포 등을 막기 위한 최소한의 표준 이메일 보안 정책도 따르지 않고 있는 것으로 나타났다.

24일(현지시간) 시스코 보안 솔루션 아이언포트를 담당했던 전문가들이 세운 보안회사 아가리(Agari)는 포춘 500대 기업 중 10개사 중 9개사가 '도메인 기반 메시지 인증, 리포팅, 적합성에 대한 표준 정책(DMARC)'을 사용하지 않고 있는 것으로 확인됐다고 밝혔다.(관련보고서)

DMARC는 이메일 발신자를 확인해 악성코드를 담은 이메일이나 피싱 사이트로 연결시키는 등 공격을 예방하는 방법 중 하나다.

이 방법은 이메일 수신자와 발신자가 직접 메일을 주고 받은 것이 맞는지를 인증하는 표준 프로토콜을 활용한다. 손쉽게 피싱이나 이메일 수신자의 계정 도용 여부 등을 확인할 수 있는 점이 특징이다.

보고서에 따르면 이 회사는 포춘 500대 기업이 쓰는 외부에 공개된 도메인네임시스템(DNS)에 대한 조사 결과 92%가 이 같은 표준을 적용하지 않고 있는 것으로 나타났다.

포춘 500대 기업 중 39개 기업만 도메인 인증이 되지 않은 메시지를 스팸으로 분류하거나 차단하는 것으로 확인됐다.

미국 지디넷은 이 회사가 구체적인 기업명을 밝히지는 않았으나 이동통신사와 기술 기반 기업들이 가장 강력한 수준으로 DMARC 이메일 보안 정책을 따르고 있었다고 밝혔다고 전했다.

현재 아마존, 타임워너, 버라이즌, 비자, 월마트 등은 도메인 인증을 거치지 않은 이메일을 스팸으로 처리한다. 어도비, 구글 모회사인 알파벳, 페이스북, 페덱스, 마이크로소프트, 넷플릭스, 페이팔, 야후 등은 아예 인증을 거치지 않은 이메일 자체를 막아버린다.

패트릭 패터슨 아가리 창업자는 "포춘500대 기업 중 8%만 이 같은 조치를 취하고 있다는 사실은 터무니없는 일"이라며 "심지어 도치를 하고 도메인 네임 스푸핑에 대한 보호 조치를 하고 있는 곳은 더 적었다"고 밝혔다.

관련기사

이어 그는 "피싱이나 다른 유형의 디지털 사기는 예방가능한 것"이라며 "그 첫 단계로 효율성이 좋은 공개 표준인 DMARC를 적용할 필요가 있다"고 강조했다.

미국 지디넷에 따르면 영국 국가범죄수사국(NCA) 산하 사이버보안 부서는 최근 DMARC를 광범위하게 적용하면서 스팸 문제를 상당부분 줄였다고 발표했다.