구글이 지메일에 새로운 이메일 보안 표준으로 'BIMI(Brand Indicators for Message Identification)'를 시범 도입한다고 밝혔다.
BIMI는 발송하는 이메일에 기업, 기관이 자체 로고를 표시할 수 있게 하는 것이다. 구글은 '도메인기반이메일인증(DMARC)'를 도입한 기업, 기관들에 한해 BIMI를 사용할 수 있게 할 예정이다. 보다 안전한 메일 보안 표준으로 알려져 있는 DMARC 보급이 더딘 상황에서, 이를 확대하기 위한 미끼로 BIMI를 활용하는 셈이다.
구글은 지메일에 도입되는 BIMI 등 새로 추가되는 보안 기능들을 지난 21일 구글 클라우드 블로그에서 소개했다.
■지지부진한 DMARC 보급 늘릴까…구글 "몇 달 뒤 BIMI 전면 도입"
BIMI 도입을 위해 구글은 글로벌 인증 솔루션 업체 엔트러스트데이터카드, 디지서트와 협업한다. DMARC를 사용하는 기업, 기관은 브랜드 로고를 이 회사들에 제출해 소유권을 인증받게 된다. 인증받은 기관의 메일로 판별되면 지메일 상에 로고를 표시하는 식이다.
BIMI 시범 도입은 몇 주 내에 일부 제한된 발신기관을 대상으로 적용된다. 지메일 전체 도입은 몇 달 내 이뤄질 예정이다.
구글은 BIMI가 DMARC 기반의 인증 방식을 요구함으로서 사용자에게는 메일 시스템에 대한 신뢰도를 높이고, 발신 기관은 조직 브랜드의 신뢰성을 활용해 고객에게 몰입감을 주는 경험을 제공한다는 이점이 있다고 설명했다. 따라서 기업, 기관들이 DMARC 채택에 나서야 한다고 강조했다.
BIMI 사용 조건인 DMARC는 기존 이메일 보안 표준인 메일서버등록제(SPF)와 도메인키인증메일(DKIM)의 검증 방식을 겸용하는 표준이다. 발신자 도메인네임시스템(DNS)에 등록된 메일 서버 정보를 수신자가 조회하는 SPF, 메일에 공개키 기반의 전자서명을 첨부해 발신자를 검증하는 DKIM 중 어떤 것을 사용할지, 또는 둘다 사용할지 규정한 메일 처리 정책을 DNS에 게시한다. DNS에 게시된 정책에 따라 수신자가 메일의 신뢰성을 확인하게 된다.
메일의 신뢰성을 보다 체계적으로 검증하는 만큼 피싱 등 이메일을 활용한 공격을 가려내기 쉬운 표준 방식으로 언급되지만, 적용률은 국내외 모두 떨어지는 상황이다. 미국의 경우 DMARC 적용이 의무화된 연방 기관 외에서는 DMARC 채택 비중이 매우 낮다고 미국지디넷은 언급했다. 박진완 한국인터넷진흥원(KISA) 종합대응팀장은 지난해 기자스터디에서 국내 메일수신기관의 DMARC 적용률이 0.1%에 그친다고 밝혔다. 메일 보안 표준 중 비교적 최근인 2015년에 등장했다는 점을 적용률이 낮은 이유 중 하나로 꼽았다.
■구글 미트에 '줌바밍' 방지 기능 탑재
구글은 BIMI 시범 도입 계획을 밝히면서 그 외 화상회의 솔루션 '구글 미트', 생산성 소프트웨어 '지스위트' 등에 대해 추가한 보안 기능도 함께 소개했다.
구글 미트에는 소위 초대받지 않은 사용자가 화상 회의방에 접속해 회의를 방해하는 '줌바밍' 공격을 막기 위한 기능들이 탑재됐다. 호스트가 내보낸 사용자는 해당 회의방에 다시 참여할 수 없고, 호스트가 다시 초대하는 경우에만 참여가 가능해진다. 회의방 참여 요청이 여러 번 거부될 경우, 이후에 이뤄지는 참여 요청은 자동 차단된다. 호스트는 회의방 참여 가능 사용자 목록과 참여 방법, 채팅 참여 또는 발표 여부를 제어할 수 있게 된다.
관련기사
- 구글, 지메일에 화상회의 솔루션 '미트' 탑재2020.04.17
- 해킹 메일, 발신자·내용 검증으로 가려낸다2019.07.28
- 공직자 메일 계정 정보 노린 피싱 공격 주의보2020.07.06
- MS, 국내 제조업 노린 악성메일 공격 포착2020.05.05
지메일 채팅 기능에서 공유된 링크가 악성 URL로 판별될 경우 경고 알림을 띄워주는 기능도 소개했다.
구글은 지스위트에 애플 기기 관리 도구 '애플 비즈니스 매니저'의 모바일기기관리(MDM) 시스템 간의 기능 연계도 시작했다고 밝혔다. 원격근무가 늘어나는 상황을 염두해 지스위트를 사용하는 관리자가 업무용 기기를 안전하게 관리하도록 지원하기 위한 목적이다. 또 구글 드라이브 내 중요 문서에 대해 다운로드?인쇄?복사를 차단하는 등 데이터 손실 방지 기능도 고도화했다.