Defaults.Exposed

Defaults.Exposed › 보고서

NIS2는 DMARC를 요구할까? 이메일 인증과 EU의 사이버 위생 (2026)

게시일 2026-06-29

2026-06-29 기준 수치 · 방법론 v7. 국가별 도메인 확장자(ccTLD, 회사 등록이 아니라 국가를 가리키는 대용 지표)별로 집계한 인구조사 데이터로, 261백만 개의 등급이 매겨진 도메인을 대상으로 합니다. “사칭을 차단할 수 있음” = 시행 중인 DMARC 정책(quarantine/reject). 아래의 NIS2 참조는 일반적인 내용이며, 법률 자문이 아닙니다. 등급을 매기는 방법을 참조하세요.

NIS2는 DMARC를 이름으로 명시하지 않지만 “적절한 사이버 위생 조치”를 요구하며, 이메일에서 도메인이 사칭되는 것을 막는 일은 사이버 위생의 가장 기본에 가깝습니다. EU의 NIS2 지침(이행 기한 2024년 10월)은 필수 및 중요 기관에 사이버 위험에 대한 적절하고 비례적인 기술적 조치를 취하도록 의무화합니다. 이메일 인증 — SPF, DKIM, 그리고 시행되는 DMARC 정책 — 은 그 의무에 부합하는 표준 사칭 방지 통제입니다. 인구조사 결과 대부분의 EU 도메인은 아직 그 수준에 이르지 못했습니다.

오늘날 EU 도메인은 얼마나 노출되어 있는가?

각 국가 확장자에서 시행 중인 DMARC 정책을 가진 도메인의 비율(높을수록 좋으며, 나머지는 사칭될 수 있음). 2026-06-29 기준:

국가 (확장자)사칭 차단 가능
네덜란드 (.nl)29.43%
폴란드 (.pl)23.36%
독일 (.de)21.38%
스페인 (.es)15.02%
벨기에 (.be)14.91%
프랑스 (.fr)13.65%
스웨덴 (.se)10.18%
아일랜드 (.ie)8.79%
이탈리아 (.it)5.24%

EU 선두인 네덜란드조차도 도메인의 **29.43%**만이 사칭을 차단할 수 있습니다. 이탈리아는 **5.24%**에 머물러 있습니다. 비교하자면, 전 세계 시행률은 단지 **10.59%**에 불과합니다 — 즉 유럽이 세계를 선도하면서도 여전히 대다수의 기업을 사칭에 취약한 상태로 두고 있습니다.

NIS2 적용 대상 기업에게 이것이 의미하는 바

귀하가 필수 또는 중요 기관이거나 그러한 기관의 공급망에 속해 있다면, 이메일 인증은 저렴하고 눈에 보이며 방어 가능한 조치입니다:

NIS2는 “p=reject로 설정하라”는 체크리스트를 건네주지는 않습니다. 그러나 지침이 명백한 위험에 대한 비례적 조치를 요구할 때, 누구나 사칭할 수 있는 보호되지 않은 도메인은 방어하기 어려운 허점입니다.

자주 묻는 질문

NIS2는 법적으로 DMARC를 요구하나요? NIS2는 DMARC를 이름으로 명시하지 않습니다. 적절하고 비례적인 사이버 위생 및 위험 관리 조치를 요구합니다. 이메일 인증(SPF/DKIM/DMARC)은 이메일 사칭 위험을 다루는 표준 통제이므로 널리 적용 범위 내로 간주됩니다. 구체적인 사항은 규정 준수 자문가와 확인하세요.

최소한의 이메일 인증 태세는 무엇인가요? SPF와 DKIM을 게시하고, DMARC를 시행 정책(quarantine 또는 reject)으로 설정하는 것입니다. p=none인 DMARC 레코드는 모니터링은 하지만 보호하지는 않습니다.

이 점에서 EU 국가들은 어떻게 비교되나요? 2026-06-29 기준, 시행률은 약 5.24%(.it)에서 29.43%(.nl)까지 분포합니다. 대부분의 EU 도메인은 여전히 사칭을 차단할 수 없습니다.

고치는 데 비용이 많이 드나요? 아니요 — DNS 설정이며, 변경은 무료입니다. 비용은 올바른 순서로 수행하는 데 드는 시간입니다.

도메인의 NIS2 관련 이메일 태세를 확인하세요

귀하의 도메인이 사칭될 수 있는지, 그리고 정확히 무엇을 고쳐야 하는지 — 비공개로 무료로 확인하세요.

도메인 확인하기 → · DMARC 수정하기 → · 유럽 대 세계 → · 누군가 귀하의 도메인을 사칭할 수 있나요? → · 집계 데이터만 사용. 데이터는 EU 내에서 저장 및 처리됩니다.