소비자와 기업체를 노린 이메일 공격은 예방 가능한 문제이지만 DMARC(도메인 기반의 메시지 인증 보고 및 준수) 시스템을 도입한 공공·민간 기관은 극소수에 불과하다. 사이버 보안 분야의 메이저 기업들도 상황은 비슷하다. DMARC는 특정 기관명을 이용해 사이버 공격을 자행하는 스팸 및 피싱 업자들을 차단해준다. 글로벌 사이버 얼라이언스(GCA)는 이러한 내용의 조사 결과를 최근 발표했다.

DMARC는 기관 브랜드 또는 상호를 이용한 스팸, 피싱, 스피어피싱에 대해 인사이트를 제공한다. 이 시스템은 미국 소비자들의 이메일 수신함(지메일, 야후, 마이크로소프트 등) 85%와 전 세계 25억 개의 이메일 수신함을 기반으로 한다. 하지만 민간기업과 정부기관의 DMARC 도입률은 여전히 저조하다.

영국 정부는 산하 기관들에 DMARC 실행을 직접 권고했으나 2016년 12월 기준으로 공공부문의 DMARC 도입률은 5%에 그쳤다. 헬스케어 부문의 도입률 역시 16%에 불과했다.

조직적 사이버 리스크 연구에 특화된 크로스 섹터 국제기관 GCA는 최근 진행한 조사를 통해 사이버 보안 업계의 도입률 역시 낮다는 사실을 밝혀냈다.

세계 최대 규모의 사이버 보안 행사인 RSA 컨퍼런스에 참석한 기업들을 조사한 결과, 기업들의 이메일 도메인 587개 중 DMARC를 사용하는 비율은 15%에 그쳤다. DMARC를 도입한 90개 기관 중 66% 이상이 DMARC 정책을 ‘비활성화’로 설정해 이메일 도메인만을 모니터링하고 있었고, 그 결과 DMARC을 제대로 활용하지 않고 있었다.

이에 세계 사이버 보안 업계가 DMARC 도입에 앞장설 때가 왔다고 글로벌 사이버 얼라이언스는 촉구하고 있다. 얼라이언스는 기관들의 DMARC 도입을 적극 장려하고 있으며, DMARC 확산을 위해 무료로 DMARC 셋업 가이드를 개발하기도 했다.

DMARC를 적절히 도입하는 것은 그만큼 확실한 효과를 가져다 준다. 연구 결과iii, DMARC 도입 기관들이 받는 이메일 공격은 나머지 기관들이 받는 공격의 23%에 불과했다.

필립 라이팅거(Philip Reitinger) 글로벌 사이버 얼라이언스 회장 겸 CEO는 “세계 사이버 보안 분야의 리더들이 지금보다 개선될 여지는 충분하다. DMARC는 브랜드를 보호하고 소비자 신뢰를 지켜준다. 보안을 강화하기 위해 당연히 비용을 감수해야 하지만 글로벌 사이버 얼라이언스의 DMARC 셋업 가이드처럼 명확한 지침과 툴은 시스템의 활용도를 높여주고 상당한 혜택을 가져다 준다. DMARC는 광범위한 리스크를 낮춰주는 사이버 보안 프로토콜이다. 나는 사이버 보안 업계 종사자로서 업계의 DMARC 도입을 강력히 촉구한다. 2018 RSA 컨퍼런스 참석 기업들의 DMARC 도입률을 50%로 높이는 것이 목표이고, 이후 2019 컨퍼런스에서는 도입률을 90%로 끌어올릴 수 있기를 바란다. 사이버 보안 업계는 협력을 통해 롤모델이 될 수 있고 변화를 만들어낼 수 있을 것이다”고 말했다.