Defaults.Exposed › 보고서
누군가 당신의 기업을 사칭해 이메일을 보낼 수 있을까? 대부분의 도메인은 가능합니다 (2026)
게시일 2026-06-29
2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 평가된 도메인을 아우르는 집계 인구조사 데이터입니다. “사칭당할 수 있음”이란 도메인이 DMARC를 시행하지 않는다는 뜻으로(격리 또는 거부 정책 없음), 이는 수신 메일 서버에 위조된 메일을 차단하라고 지시하는 제어 장치입니다. 등급 평가 방법을 참조하세요.
대부분의 기업의 경우, 그렇습니다 — 누군가가 정확히 귀하의 도메인에서 온 것처럼 보이는 이메일을 보낼 수 있습니다. 우리가 평가한 261백만 개 도메인 중 단 **10.59%**만이 사칭을 실제로 차단하는 유일한 제어 장치인 DMARC를 시행합니다. 나머지 **89.41%**는 문을 열어 둡니다: 사기꾼이 “보낸 사람” 줄에 귀하의 정확한 주소를 넣을 수 있고 대부분의 받은편지함은 이를 진짜로 표시합니다. 이것이 가짜 송장, CEO 사칭 결제 요청, 공급업체 사기의 배후 메커니즘이며 — 시도하는 데 비용이 전혀 들지 않습니다.
정말로 누군가가 내 도메인으로 이메일을 보낼 수 있나요?
귀하의 도메인이 DMARC를 시행하지 않으면 그렇습니다. 이메일은 발신자를 검증하는 내장 방법 없이 설계되었기 때문에 “보낸 사람” 주소는 위조하기가 매우 쉽습니다. 세 가지 설정을 계층적으로 적용하면 해결됩니다 — SPF, DKIM, DMARC — 하지만 시행으로 설정된 마지막 것만이 수신 서버에 위조를 실제로 거부하거나 격리하라고 지시합니다. 2026-06-29 기준:
- 도메인의 **75.11%**는 DMARC 레코드가 전혀 없습니다.
- **14.29%**는 모니터링 전용(
p=none)으로 설정된 DMARC 레코드를 가지고 있습니다 — 감사에서는 보호처럼 보이지만 수신자에게 아무것도 하지 말라고 지시하므로 위조된 메일이 여전히 도착합니다. - 단 **10.59%**만이
quarantine또는reject정책을 시행합니다 — 사칭을 막는 구성입니다.
따라서 도메인의 89.41% — 열 곳 중 여덟 곳 이상 — 이 오늘날 이메일에서 사칭당할 수 있습니다.
”하지만 우리는 SPF가 있어요” — 그것이 충분하지 않은 이유
이것이 가장 흔하고 가장 위험한 오해입니다. 도메인의 **53.21%**가 SPF 레코드를 게시하는데, 이는 DMARC를 시행하는 10.59%보다 훨씬 많습니다. 소유자들은 SPF를 보고 보호받고 있다고 가정합니다. 그렇지 않습니다: SPF(및 DKIM)는 기술적 발신 경로를 확인하지만 사람이 실제로 보는 “보낸 사람” 주소는 관리하지 않습니다. DMARC가 시행으로 설정되지 않으면 공격자는 여전히 자신의 인프라에서 SPF를 통과하고 귀하의 표시 주소를 위조할 수 있습니다. SPF는 필요한 배관이고, DMARC 시행은 자물쇠입니다.
웹에서 당신의 구석은 얼마나 노출되어 있나요?
시행은 도메인 끝자리에 따라 크게 다릅니다. 높을수록 좋습니다 — 사칭을 실제로 차단하는 도메인의 비율입니다. 2026-06-29 기준:
| 도메인 끝자리 | DMARC 시행 | 사칭당할 수 있음 |
|---|---|---|
| .nl (네덜란드) | 29.43% | 29.43% 보호됨, 나머지 노출됨 |
| .de (독일) | 21.38% | — |
| .in (인도) | 19.26% | — |
| .uk (영국) | 13.42% | — |
| .com | 9.50% | 가장 많이 쓰이는 끝자리가 10.59% 글로벌 평균 아래에 있음 |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn (중국) | 1.45% | 주요 끝자리 중 가장 낮음 |
가장 성과가 좋은 대형 끝자리조차도 자기 도메인의 3분의 1 미만을 보호합니다. 대부분의 기업이 자리 잡은 .com에서는 단 **9.50%**만이 DMARC를 시행합니다.
이것이 실제로 기업에 드는 비용
이메일 사칭은 전 세계 법 집행기관에 보고된 가장 비용이 큰 온라인 범죄 중 일부의 배후 메커니즘입니다 — 비즈니스 이메일 침해(BEC). 패턴은 항상 동일합니다:
- 고객이 사기꾼의 은행 정보가 담긴 “송장”을 귀하의 주소에서 받고, 이를 지불한 뒤 몇 주 후에 사기를 발견합니다 — 종종 그것을 귀하의 잘못으로 취급합니다.
- 직원이 돈을 옮기거나 기프트 카드를 사라는 긴급한 “사장님으로부터의” 요청을 받습니다. 주소가 정말로 귀하의 것이므로 그들은 따릅니다.
- 공급업체가 모든 시각적 점검을 통과하는 이메일로 “저희 은행 정보가 변경되었습니다”라는 말을 듣습니다.
이 중 어느 것도 귀하의 시스템을 해킹할 필요가 없습니다. 그저 귀하의 도메인이 DMARC를 시행하지 않으면 됩니다 — 그리고 도메인의 89.41%는 시행하지 않습니다.
보호받고 있는지 확인하는 방법(및 수정 방법)
귀하가 10.59%에 속하는지는 외부에서 알 수 없습니다 — 아는 유일한 방법은 도메인을 확인하는 것입니다. 수정은 무료이며 보통 한나절이면 됩니다. 순서대로 진행하세요: SPF와 DKIM을 게시한 다음, DMARC를 시행으로 전환하세요(p=none → quarantine → reject). 마지막 단계가 실제로 문을 닫는 단계입니다.
자주 묻는 질문
누군가가 우리 회사인 척 이메일을 보낼 수 있나요? 귀하의 도메인이 DMARC(격리 또는 거부 정책)를 시행하지 않으면 그렇습니다 — 귀하의 정확한 “보낸 사람” 주소가 위조될 수 있고 대부분의 받은편지함은 이를 진짜로 표시합니다. 2026-06-29 기준, 평가된 도메인의 89.41%가 이 상태에 있습니다.
우리는 이미 SPF가 있는데 — 안전하지 않나요?
아닙니다. SPF는 기술적 발신 경로를 확인하지만 보이는 “보낸 사람” 주소는 확인하지 않습니다. 도메인의 53.21%가 SPF를 게시하지만, DMARC가 시행으로 설정되지 않으면 귀하의 주소는 여전히 위조될 수 있습니다. quarantine 또는 reject의 DMARC가 필요합니다.
DMARC 레코드만으로 충분하지 않나요?
시행할 때만 그렇습니다. p=none(모니터링 전용)으로 설정된 레코드는 — 도메인의 14.29%가 사용 — 스푸핑을 막는 데 아무 역할도 하지 않습니다. quarantine 또는 reject만이 그렇게 하며, 도메인의 단 10.59%만이 거기에 도달합니다.
내 도메인은 어떻게 확인하나요? 무료의 비공개 점검(아래)을 실행하세요. 우리는 항상 도메인의 결과를 검증된 소유자에게만 보여줍니다.
이것을 수정하는 데 비용이 많이 드나요? 아닙니다. SPF, DKIM, DMARC는 무료 DNS 설정입니다. 비용은 그것들을 올바른 순서로 설정하는 시간이지 돈이 아닙니다.
귀하의 도메인이 사칭당할 수 있는지 확인하세요
귀하가 10.59%의 어느 쪽에 있는지 추측하지 마세요. 도메인을 비공개로 무료로 확인하세요 — DMARC, SPF, DKIM 상태와 무엇을 수정해야 하는지 정확히 보게 됩니다.
도메인 확인하기 → · DMARC 수정 → · SPF 수정 → · 등급 평가 방법 → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.