Defaults.Exposed

Defaults.Exposed › 보고서

누군가 당신의 기업을 사칭해 이메일을 보낼 수 있을까? 대부분의 도메인은 가능합니다 (2026)

게시일 2026-06-29

2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 평가된 도메인을 아우르는 집계 인구조사 데이터입니다. “사칭당할 수 있음”이란 도메인이 DMARC를 시행하지 않는다는 뜻으로(격리 또는 거부 정책 없음), 이는 수신 메일 서버에 위조된 메일을 차단하라고 지시하는 제어 장치입니다. 등급 평가 방법을 참조하세요.

대부분의 기업의 경우, 그렇습니다 — 누군가가 정확히 귀하의 도메인에서 온 것처럼 보이는 이메일을 보낼 수 있습니다. 우리가 평가한 261백만 개 도메인 중 단 **10.59%**만이 사칭을 실제로 차단하는 유일한 제어 장치인 DMARC를 시행합니다. 나머지 **89.41%**는 문을 열어 둡니다: 사기꾼이 “보낸 사람” 줄에 귀하의 정확한 주소를 넣을 수 있고 대부분의 받은편지함은 이를 진짜로 표시합니다. 이것이 가짜 송장, CEO 사칭 결제 요청, 공급업체 사기의 배후 메커니즘이며 — 시도하는 데 비용이 전혀 들지 않습니다.

정말로 누군가가 내 도메인으로 이메일을 보낼 수 있나요?

귀하의 도메인이 DMARC를 시행하지 않으면 그렇습니다. 이메일은 발신자를 검증하는 내장 방법 없이 설계되었기 때문에 “보낸 사람” 주소는 위조하기가 매우 쉽습니다. 세 가지 설정을 계층적으로 적용하면 해결됩니다 — SPF, DKIM, DMARC — 하지만 시행으로 설정된 마지막 것만이 수신 서버에 위조를 실제로 거부하거나 격리하라고 지시합니다. 2026-06-29 기준:

따라서 도메인의 89.41% — 열 곳 중 여덟 곳 이상 — 이 오늘날 이메일에서 사칭당할 수 있습니다.

”하지만 우리는 SPF가 있어요” — 그것이 충분하지 않은 이유

이것이 가장 흔하고 가장 위험한 오해입니다. 도메인의 **53.21%**가 SPF 레코드를 게시하는데, 이는 DMARC를 시행하는 10.59%보다 훨씬 많습니다. 소유자들은 SPF를 보고 보호받고 있다고 가정합니다. 그렇지 않습니다: SPF(및 DKIM)는 기술적 발신 경로를 확인하지만 사람이 실제로 보는 “보낸 사람” 주소는 관리하지 않습니다. DMARC가 시행으로 설정되지 않으면 공격자는 여전히 자신의 인프라에서 SPF를 통과하고 귀하의 표시 주소를 위조할 수 있습니다. SPF는 필요한 배관이고, DMARC 시행은 자물쇠입니다.

웹에서 당신의 구석은 얼마나 노출되어 있나요?

시행은 도메인 끝자리에 따라 크게 다릅니다. 높을수록 좋습니다 — 사칭을 실제로 차단하는 도메인의 비율입니다. 2026-06-29 기준:

도메인 끝자리DMARC 시행사칭당할 수 있음
.nl (네덜란드)29.43%29.43% 보호됨, 나머지 노출됨
.de (독일)21.38%
.in (인도)19.26%
.uk (영국)13.42%
.com9.50%가장 많이 쓰이는 끝자리가 10.59% 글로벌 평균 아래에 있음
.net10.08%
.org10.01%
.xyz5.15%
.top3.17%
.cn (중국)1.45%주요 끝자리 중 가장 낮음

가장 성과가 좋은 대형 끝자리조차도 자기 도메인의 3분의 1 미만을 보호합니다. 대부분의 기업이 자리 잡은 .com에서는 단 **9.50%**만이 DMARC를 시행합니다.

이것이 실제로 기업에 드는 비용

이메일 사칭은 전 세계 법 집행기관에 보고된 가장 비용이 큰 온라인 범죄 중 일부의 배후 메커니즘입니다 — 비즈니스 이메일 침해(BEC). 패턴은 항상 동일합니다:

이 중 어느 것도 귀하의 시스템을 해킹할 필요가 없습니다. 그저 귀하의 도메인이 DMARC를 시행하지 않으면 됩니다 — 그리고 도메인의 89.41%는 시행하지 않습니다.

보호받고 있는지 확인하는 방법(및 수정 방법)

귀하가 10.59%에 속하는지는 외부에서 알 수 없습니다 — 아는 유일한 방법은 도메인을 확인하는 것입니다. 수정은 무료이며 보통 한나절이면 됩니다. 순서대로 진행하세요: SPFDKIM을 게시한 다음, DMARC를 시행으로 전환하세요(p=nonequarantinereject). 마지막 단계가 실제로 문을 닫는 단계입니다.

자주 묻는 질문

누군가가 우리 회사인 척 이메일을 보낼 수 있나요? 귀하의 도메인이 DMARC(격리 또는 거부 정책)를 시행하지 않으면 그렇습니다 — 귀하의 정확한 “보낸 사람” 주소가 위조될 수 있고 대부분의 받은편지함은 이를 진짜로 표시합니다. 2026-06-29 기준, 평가된 도메인의 89.41%가 이 상태에 있습니다.

우리는 이미 SPF가 있는데 — 안전하지 않나요? 아닙니다. SPF는 기술적 발신 경로를 확인하지만 보이는 “보낸 사람” 주소는 확인하지 않습니다. 도메인의 53.21%가 SPF를 게시하지만, DMARC가 시행으로 설정되지 않으면 귀하의 주소는 여전히 위조될 수 있습니다. quarantine 또는 reject의 DMARC가 필요합니다.

DMARC 레코드만으로 충분하지 않나요? 시행할 때만 그렇습니다. p=none(모니터링 전용)으로 설정된 레코드는 — 도메인의 14.29%가 사용 — 스푸핑을 막는 데 아무 역할도 하지 않습니다. quarantine 또는 reject만이 그렇게 하며, 도메인의 단 10.59%만이 거기에 도달합니다.

내 도메인은 어떻게 확인하나요? 무료의 비공개 점검(아래)을 실행하세요. 우리는 항상 도메인의 결과를 검증된 소유자에게만 보여줍니다.

이것을 수정하는 데 비용이 많이 드나요? 아닙니다. SPF, DKIM, DMARC는 무료 DNS 설정입니다. 비용은 그것들을 올바른 순서로 설정하는 시간이지 돈이 아닙니다.

귀하의 도메인이 사칭당할 수 있는지 확인하세요

귀하가 10.59%의 어느 쪽에 있는지 추측하지 마세요. 도메인을 비공개로 무료로 확인하세요 — DMARC, SPF, DKIM 상태와 무엇을 수정해야 하는지 정확히 보게 됩니다.

도메인 확인하기 → · DMARC 수정 → · SPF 수정 → · 등급 평가 방법 → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.