글로벌 사이버보안 및 컴플라이언스 기업 프루프포인트(Proofpoint)가 올해 코스피 200(KOSPI 200) 기업을 대상으로 이메일 인증 프로토콜(DMARC) 분석 결과를 발표했다. 이 결과에 따르면, 상당수의 국내 주요 기업들이 사기성 이메일로부터 자신과 고객, 파트너사를 보호하기 위한 보안 체계를 충분히 갖추지 못한 것으로 나타났다.
DMARC(Domain-based Message Authentication, Reporting & Conformance)는 이메일 발신자를 인증해 사이버 범죄자가 이메일을 도용(스푸핑, spoofing)하는 것을 방지하는 기술이다. DMARC를 도입하면 발신자 신원을 인증하고 인증되지 않은 이메일을 걸러내는 과정을 통해 사기 위험을 줄일 수 있다.
DMARC는 보안 수준에 따라 세 가지로 구분된다. ‘모니터(Monitor)’는 인증되지 않은 이메일이 수신자의 받은 편지함에 도달하도록 허용하는 가장 낮은 수준이다. ‘검역(Quarantine)’은 인증되지 않은 이메일을 스팸 폴더로 보내는 중간 수준이며, ‘거부(Reject)’는 인증되지 않은 이메일이 수신자에게 도달하지 못하도록 완전히 차단하는 가장 높은 보안 수준이다.
프루프포인트의 조사 결과, 코스피 200 기업 중 약 37.3%가 DMARC를 도입했지만, 이 중 대부분이 낮은 수준의 보안만을 유지하고 있었다. 구체적으로, 35.8%는 ‘모니터’ 수준에 머물렀으며, 1%는 ‘검역’ 수준을 적용한 것으로 나타났다. 반면, 가장 엄격한 보안 수준인 ‘거부’를 도입한 기업은 단 0.5%에 불과했다. 이는 전체 코스피 200 기업의 99.5%가 사기성 이메일을 효과적으로 차단하지 못하고 있다는 의미로, 기업의 이메일 보안 강화를 위한 적극적인 대책이 필요하다는 지적이다.
프루프포인트는 DMARC 도입을 통해 이메일 도메인 남용을 방지하고, 임직원 및 고객, 파트너사를 사기성 이메일로부터 보호해야 한다고 강조했다. 이를 통해 기업의 전반적인 보안 수준을 높이고 신뢰를 강화하는 노력이 요구된다.
한편, 코스피 200 기업과 글로벌 기업 간의 이메일 보안 수준 차이도 두드러졌다. 프루프포인트가 지난 8월 발표한 미국 포춘 1000대 기업의 DMARC 채택 현황에 따르면, 해당 기업의 96%가 DMARC를 도입했으며, 이 중 46%는 가장 높은 보안 수준인 ‘거부’를 채택한 것으로 나타났다. 이는 코스피 200 기업의 ‘거부’ 채택 비율 0.5%와 크게 대비된다.
프루프포인트 코리아 최태용 수석 시스템 엔지니어는 “기업의 이메일 보안은 단순한 기술적 문제를 넘어 신뢰 관계와 직결된다”며, “하이브리드 업무 환경에서 이메일은 여전히 중요한 소통 수단으로, 기업 및 관공서는 피싱 메일 피해를 방지하기 위해 전문 보안 파트너와 협력해야 한다”고 말했다.
![[디지털포스트(PC사랑) 모닝 픽] 글로벌 스마트폰 제조사, ‘칩 자립’에 속도](https://www.ilovepc.co.kr/news/photo/202411/51858_141683_1445.jpeg)
