사람들이 이메일 인증을 “켜면 되는” 스택처럼 말한다.
SPF, DKIM, DMARC, MTA-STS, BIMI. 약어 5개, 체크박스 5개, 끝.
그 환상은 실제 인터넷을 측정하는 순간 깨진다. 모양이 뻔해진다. 스택이 아니다. 깔때기다. 첫 번째 관문은 많은 도메인이 통과한다. 갈수록 줄어든다. 5개 전부, 올바르게 설정된 도메인을 세려고 하면 생태계를 세는 게 아니라 서류가 완비된 작은 클럽을 세고 있다.
SPF: 거의 다 있다 (종류)
SPF가 깔때기 맨 위에 있다. 업계 조사에서 주요 도메인 기준 채택률이 80-85% 정도다. 레코드 설정을 보기 전까지는 괜찮은 숫자다.
대부분이 ~all — softfail — 을 쓴다. 수신 서버가 어차피 메일을 전달해도 된다는 뜻이다. 레코드는 기술적으로 존재하고, 보호는 기술적으로 부재한다.
그리고 10-lookup 제한이 있다. SPF 레코드는 include: 메커니즘으로 다른 도메인 레코드를 포함할 수 있다. 각 include가 DNS 조회를 유발한다. 총 10회를 초과하면 SPF가 조용히 실패한다. 에러 메시지 없음. 경고 없음. 큰 조직은 일상적으로 이 한도에 걸린다 — 이메일 서비스 제공자, 마케팅 플랫폼, CRM 도구가 여러 개라 각각 include:가 필요하다. 레코드가 커진다. 깨진다. 몇 달간 아무도 모른다.
DKIM: 셀프 호스팅이 탈락하는 지점
DKIM은 암호화 서명을 쓴다. 발신 서버가 이메일 헤더에 개인키로 서명한다. 공개키는 DNS에 있다. 수신 서버가 검증한다.
Google Workspace나 Microsoft 365를 쓰면 DKIM은 보통 자동으로 설정된다. 제공자가 키를 관리한다. DNS 레코드 추가하면 작동한다.
셀프 호스팅이거나, 어플라이언스와 SaaS 발신자가 뒤섞여 있으면, DKIM은 키 관리 문제가 된다. 각 발신 시스템마다 별도의 셀렉터와 키 쌍이 필요하다. 키는 주기적으로 로테이션해야 한다. 잘못 설정되거나 만료된 키는 서명 검증이 조용히 실패한다.
실제 이메일을 보내는 도메인 기준 채택률이 60-70%로 떨어진다. 2022년 USENIX Security 논문에서 Alexa 상위 100만의 28.1%만 DKIM을 활성화했다고 나왔다. 클라우드 기본 설정이 채택을 위로 끌어올린다. 나머지는 암호가 라이프사이클 관리에 비하면 쉽다는 걸 발견하게 된다.
DMARC: 보조 바퀴에 머무는 정책
DMARC가 SPF와 DKIM을 정책으로 묶는다. 주요 도메인의 50-60%가 어떤 형태로든 DMARC 레코드가 있다. 하지만 분포가 기울어져 있다.
2026년 Tranco 550만 도메인 스캔에서 30.4%가 DMARC를 게시했다. 전체 스캔 도메인의 12.8%만 집행 상태 — p=quarantine이나 p=reject. DMARC가 있는 도메인 중 57.9%가 p=none에 머물러 있다.
p=none에서 p=reject로 가려면 DMARC 리포트를 읽고, 인가된 발신자를 전부 식별하고, SPF나 DKIM을 통과하는지 확인하고, 스위치를 눌러야 한다. 대부분의 조직이 이 과정을 시작하고 끝내지 못한다. 감시 전용 레코드는 경유지이지 목적지가 아니다. 너무 많은 도메인이 경유지에 집을 지었다.
MTA-STS: 아무도 못 들어본 그것
여기서 깔때기가 절벽으로 간다.
MTA-STS는 이메일이 암호화된 TLS 연결로 전달되도록 한다. 없으면 SMTP의 STARTTLS 업그레이드가 선택적이라 중간자가 암호화를 벗기면 이메일이 평문으로 전달된다. 발신자도 수신자도 모른다.
MTA-STS는 https://mta-sts.example.com/.well-known/mta-sts.txt에 정책 파일을 두고 DNS TXT 레코드를 추가해서 고친다. 정책이 말한다: 검증된 TLS로만 내 서버에 전달해라.
채택률? 한 자릿수 초반. 2-5% 정도.
문제는 노력 대비 효과 비율이다. HTTPS 엔드포인트, 정책 파일, DNS 레코드가 필요하고 동기화를 유지해야 한다. 얻는 보호 — 암호화된 메일 전달 — 는 대부분 이미 되고 있다고 생각하는 것이다. (자주 안 되고 있다.) 막는 공격 — TLS 스트리핑 — 은 실제이지만 누군가를 밤에 깨울 정도는 아니다.
MTA-STS는 사용자에게 가시성도 0이다. “이 이메일은 안전하게 전달됐습니다”라는 표시가 없다. 배포해도 크레딧이 안 붙는다. 안 해도 비난이 안 온다.
BIMI: 벨벳 로프
BIMI는 받은편지함에서 이메일 옆에 브랜드 로고를 보여준다. 요구사항: DMARC가 p=quarantine 이상, 게시된 BIMI 레코드, 특정 요건을 충족하는 SVG 형식 로고, 그리고 인증 기관의 Verified Mark Certificate.
VMC가 연 $1,000-1,500이다.
채택률은 반올림 오류다. 도메인의 1% 미만. 중소기업이 이메일 옆에 로고 넣으려고 연 $1,000을 쓰지 않는다. 많은 대기업도 마찬가지.
깔때기의 바닥
업계 데이터의 대략적 수치:
- SPF: 주요 도메인의 ~85%
- DKIM: 이메일 발송 도메인의 ~60-70%
- DMARC (아무 정책): ~50-60%
- DMARC (집행): ~15-20%
- MTA-STS: ~3-5%
- BIMI: <1%
SPF -all, 유효한 DKIM 키, DMARC p=reject, 유효한 MTA-STS 정책, VMC 포함 BIMI — 5개를 전부 제대로 설정한 도메인은 극히 드물다. 퍼센트의 소수점 이하.
깔때기가 아니다. 체다.
깔때기가 깨지는 이유
각 표준이 다른 그룹이 다른 시기에 다른 문제를 풀려고 설계했다. 통합 시스템으로 설계되지 않았다. “이메일 보안 활성화” 스위치 같은 건 없다.
복잡성이 누적된다. SPF는 DNS 레코드. DKIM은 키 관리가 필요. DMARC는 모니터링 인프라가 필요. MTA-STS는 웹 엔드포인트 호스팅이 필요. BIMI는 인증서 구매가 필요. 각 레이어가 다른 종류의 운영 부담을 추가한다 — DNS, 암호학, 모니터링, 웹 호스팅, 조달.
프로토콜 5개. 20년의 개발. 진짜로 5개 전부 구현한 도메인의 비율은 대부분의 조사에서 오차 범위에 들어간다.