Defaults.Exposed › 보고서
DMARC 성숙도의 6단계
게시일 2026-07-03 · 업데이트됨 2026-07-03
2026-06-29 기준 수치 · 방법론 v7. 이것은 반복적인 인구조사를 기반으로 하는 참조 모델입니다. 각 판(edition)은 동일한 모집단을 다시 측정하므로 수치를 시간에 따라 추적할 수 있습니다. 모든 수치는 집계 값이며, 개별 기업의 등급은 절대 공개하지 않습니다.
DMARC를 게시하는 것과 보호받는 것은 같지 않습니다
측정된 261백만 개의 도메인 전반에서 24.89%가 DMARC 레코드를 게시하지만, 실제로 시행하는 곳은 10.59%에 불과합니다. 달리 말하면, DMARC 여정을 시작한 약 65백만 개의 도메인 중 57.5%는 무언가를 차단하는 단계에 도달하지 못했습니다. 이들은 레코드를 게시하고, 보고서를 어딘가로 향하게 한 뒤 멈춰버렸습니다. 더 작은 규모의 독립적인 연구들도 같은 모양을 발견합니다. 2026년의 한 업계 보고서는 조사한 약 938,000개 도메인 중 약 9%만이 시행하고 있다고 밝혔습니다.
이제 채택은 더 이상 문제가 아닙니다. 보호가 문제입니다. 그리고 도메인은 구조적인 이유로 멈춥니다. 모두가 사용하는 지도가 도중에 끊깁니다. 그것들은 너무 일찍 끝나며, 어느 것도 가장 어려운 단계에 고유한 이름을 붙여주지 않습니다.
기존 지도가 멈추는 지점
업계가 길잡이로 삼는 모델들은 그 시대에는 옳았으며, 공정하게 읽어줄 가치가 있습니다.
- dmarcian(그 창립자는 DMARC 자체를 공동 저술했습니다)이 대중화한 5단계 배포 모델은 배포 → 모니터링 → 정책 강화로 이어지며,
p=reject에 도달하는 것을 목적지로 취급합니다. - RFC 진행 과정 —
p=none → quarantine → reject— 은 성숙도 모델이 아니라 세 가지 시행 수준입니다. 전제 조건에 대해서도, 그 이후에 무엇이 오는지에 대해서도 아무 말을 하지 않습니다. - “기어가기, 걷기, 달리기(Crawl, walk, run)” 는 민간 모델입니다. 방향은 맞지만 구조적으로는 비어 있습니다.
세 가지 모두 두 가지 한계를 공유합니다. 첫째, 이들은 p=reject에서 멈춥니다 — 마치 시행이 결승선인 것처럼요. 그렇지 않습니다. 표준 자체가 이미 앞으로 나아갔고(DMARCbis — RFC 9989, 9990, 9991 — 이 2026년 5월에 발표되어 원래의 RFC 7489를 대체했습니다), 시행은 전송 보안이나 브랜드 신뢰를 위해서는 아무것도 하지 않습니다. 둘째 — 그리고 이것이 실제로 도메인을 좌초시키는 것인데 — 어느 것도 “모든 발신자를 파악한다”는 것을 명명된 단계로 만들지 않습니다. 공정하게 말하자면, 배포 가이드들은 그 작업을 언급하기는 합니다. dmarcian의 모델은 모니터링 단계 안의 한 작업으로 발신자 식별을 포함합니다. 하지만 한 단계 안에 묻힌 작업은 딱 그렇게 취급됩니다 — 별개의 성취가 아니라 “모니터링”의 일부로요. 보고서가 도착하는 것을 지켜보는 것은 진전처럼 느껴집니다. 아직은 아닙니다. 도메인이 몇 년씩 p=none에 머무는 가장 큰 이유는, 자신의 메일을 볼 수는 있지만 아직 파악하지는 못했기 때문입니다 — 그래서 실제 무언가를 망가뜨릴까 두려워 감히 시행하지 못합니다.
유용한 모델은 그 단계에 고유한 이름과 고유한 종료 기준을 부여해야 합니다. 이 모델은 그렇게 합니다. 우리는 이것을 DMARC 채택 성숙도 모델 — DAMM(DMARC Adoption Maturity Model) 이라고 부릅니다. 여섯 단계, 각 단계당 하나의 조치, 그리고 인용할 수 있는 이름입니다.
모델
1단계 — 미보호(Unprotected). DMARC 레코드가 없거나, 그 아래의 SPF와 DKIM이 불완전합니다. 누구나 당신의 도메인으로 이메일을 보낼 수 있고, 어디에서도 확인하지 않습니다. 조치: 기본 메일에 대해 SPF 와 DKIM을 구성하고, 인증되고 정렬(align)되는지 확인하세요. DMARC는 둘 위에 세워집니다. 이 바닥을 건너뛸 수 없습니다.
2단계 — 인증됨(Authenticated). SPF와 DKIM이 주요 메일 흐름에 대해 올바르고 정렬됩니다. 당신의 정당한 메일은 그 출처를 증명하지만, 그렇지 않은 메일에 대해 세상의 수신함에게 무엇을 하라고 알려주는 것은 아무것도 없습니다. 조치: rua= 보고 주소와 함께 p=none에서 DMARC 레코드를 게시하세요.
3단계 — 관찰(Observing). DMARC가 게시되고, 집계 보고서가 들어오며, 처음으로 누가 당신의 도메인으로 발송하는지 볼 수 있습니다. 아무것도 차단되지 않습니다. 대부분의 도구는 이 단계를 “가시성”이라고 부르지만, 우리는 의도적으로 그러지 않습니다. 보고서를 보는 것과 그것을 이해하는 것은 서로 다른 성취이기 때문입니다. 조치: 당신의 도메인으로 발송하는 모든 정당한 발신원을 식별하고, 각각을 정렬시키세요.
4단계 — 가시성(Visibility). 모든 정당한 발신자가 식별되고 정렬됩니다 — 뉴스레터 플랫폼, 청구 시스템, CRM, 지난 봄에 마케팅팀이 가입한 그 도구까지요. 당신은 자신의 메일을 압니다. 시행해도 정당한 어떤 것도 망가지지 않습니다. 이것이 옛 지도들이 건너뛰는 단계이자, 대부분의 도메인이 결코 넘지 못하는 벽입니다. 조치: 정책을 높이세요 — p=none → p=quarantine(DMARCbis의 t=y 테스트 모드가 여기서 도움이 됩니다) → p=reject.
5단계 — 시행됨(Enforced). p=quarantine 또는 p=reject가 활성화되고, 명시적인 sp= 정책으로 하위 도메인이 포함됩니다. 인증에 실패한 메일은 이제 실제로 참여 수신자에서 격리되거나 거부됩니다 — 여기에는 모든 주요 메일함 제공업체가 포함됩니다 — 따라서 당신의 정확한 도메인을 직접 스푸핑하는 것은 DMARC가 확인되는 곳에는 더 이상 도달하지 못합니다. 조치: 강화 계층을 추가하세요 — DMARCbis의 np=와 트리 워크(tree-walk) 적용 범위, 전송을 위한 MTA-STS와 TLS-RPT, 그리고 브랜드 표시가 당신에게 중요하다면 BIMI.
6단계 — 강화되고 유지됨(Hardened & sustained). 시행에 더해 현대적인 스택이 갖춰집니다: DMARCbis의 존재하지 않는 하위 도메인(np=) 적용 범위, 전송 중 메일을 보호하는 MTA-STS와 TLS-RPT, 값어치를 하는 곳에서의 BIMI — 그리고 결정적으로, 표류(drift)와 신규 발신자에 대한 지속적인 모니터링입니다. 이것은 배지가 아니라 규율입니다. 신규 발신자가 나타나고, 제공업체가 IP를 바꾸며, 구성이 낡아갑니다. 조치: 여기에 머무르세요.
메일 없음 차선. 죽은 도메인을 포함한 전체 도메인 인벤토리에 걸쳐 측정한 결과, 도메인의 51.5%는 메일 서비스를 전혀 운영하지 않으며, 이들에게 여정은 단 한 단계로 축소됩니다. 결코 발송하지 않는 도메인은 즉시 SPF
-all과 DMARCp=reject를 게시해야 합니다. 보호할 정당한 메일이 없으므로 관찰할 것도 없고 넘을 벽도 없습니다. 주차된(parked) 도메인과 휴면 브랜드 도메인은 단 한 번의 DNS 변경으로 곧장 시행됨 단계로 갑니다 — 그리고 그렇게 함으로써 가장 흔한 사칭 경로 중 하나를 차단합니다.
벽: 3단계 → 4단계
이 모델의 다른 모든 전환은 DNS 변경입니다. 이것은 조사 작업이며 — 몇 달이 여기서 죽습니다.
관찰에서 가시성으로 가는 것은 보고서에 나타나는 모든 발신원을 실제 시스템에 귀속시키는 것을 의미합니다: 어떤 ESP인지, 어떤 CRM인지, 어느 지역 사무소의 메일 릴레이인지, 2023년에 누군가 연결하고 잊어버린 어떤 SaaS 도구인지. 이는 아무도 문서화하지 않은 섀도 IT 발신자를 찾아내는 것을 의미합니다. 이는 ESP마다 정렬을 고치는 것을 의미하는데, 각 플랫폼이 당신을 대신해 인증하는 고유한 방식을 가지고 있으며 — 그중 일부는 기본값이 잘못되어 있기 때문입니다.
벽을 건너뛰는 것이 바로 DMARC가 무서운 평판을 얻게 된 방식입니다. 가시성 없이 관찰 단계에서 시행하면 — 당신은 실제 무언가를 반드시 차단하게 됩니다: 청구서 발송, 비밀번호 재설정 흐름, CEO의 뉴스레터를요. 그러면 p=none으로의 당황한 롤백, 내부 사후 분석, 그리고 모두가 잘못 배우는 교훈이 따라옵니다: “우리는 DMARC를 시도했는데 이메일이 망가졌다.” 대부분의 DMARC 공포담은 정확히 이것입니다 — 한 단계 일찍 시도된 시행이요. 벽은 3단계에서 멈춰야 할 이유가 아닙니다. 그것은 4단계가 존재하는 이유입니다.
이 단계는 또한 소유자들이 가장 자주 도움을 들이는 단계입니다 — IT 제공업체나 DMARC 모니터링 서비스가 발신자 식별 작업을 할 수 있으며, 어느 쪽이든 단계는 동일하게 유지됩니다.
모두가 잊는 부분: 5단계 → 6단계
p=reject에 도달하면 그것을 확인하는 수신자에서, From: 줄에 있는 당신 도메인의 직접적인 스푸핑이 멈춥니다. 이는 필요한 것이지만 — 충분하지는 않습니다. 시행이 결코 다루지 않은 것을 명명할 가치도 있습니다: 유사 도메인(yourc0mpany.com)과 표시 이름 사칭은 전적으로 DMARC의 범위 밖에 있으므로, 시행은 정확한 도메인의 문을 닫되 이웃한 문들은 경계와 다른 통제 수단에 맡깁니다.
시행은 전송을 위해서는 아무것도 하지 않습니다: MTA-STS와 TLS-RPT 없이는, 당신 도메인으로 향하는 메일이 여전히 전송 중에 다운그레이드되거나 가로채질 수 있습니다. 시행은 브랜드 인지를 위해서도 아무것도 하지 않습니다: BIMI — 수신함에 표시되는 당신의 로고 — 는 보안 통제가 아니라 신뢰 신호이며, 그것을 그렇게 취급하는 것이 정직합니다(또한 유료 인증서가 필요한데, 이것이 BIMI가 처음이 아니라 마지막에 있는 이유입니다). 그리고 평범한 p=reject는 DMARCbis보다 앞서 나온 것입니다: 새로운 RFC의 np= 태그와 트리 워크는 오래된 배포가 열어두는 존재하지 않는 하위 도메인 격차를 닫습니다.
위의 어느 것도 갖추지 못한 채 p=reject에 있는 도메인은 가장 흔한 공격에는 보호되어 있지만 나머지에는 대비되어 있지 않습니다. 그것은 실제적인 구별이며, 고유한 단계를 가질 자격이 있습니다.
당신의 단계는 측정 가능합니다
이 모델은 단지 도표가 아닙니다 — 도메인의 단계는 계산 가능하며, 이것이 벽에 붙은 포스터와 이 모델을 구별짓는 점입니다.
3단계부터 6단계까지는 도메인 자체의 DMARC 보고 데이터와 게시된 레코드로부터 도출할 수 있습니다: 어떤 정책이 활성화되어 있는지, 보고서가 들어오는지, 그리고 관찰된 모든 발신자가 정렬되는지. 1단계와 2단계는 아직 보고서가 존재하지 않으므로 실시간 DNS 확인으로 평가됩니다. 각 방향에 하나씩의 솔직한 한계가 있습니다: 4단계는 시간에 걸친 증거로 확인됩니다 — “관찰된 모든 발신자가 충분한 보고 일수에 걸쳐 정렬된다”는 것은 강력한 대리 지표이지만, 어떤 보고서도 아직 연결하지 않은 발신자를 드러낼 수는 없습니다. 그리고 6단계의 강화 계층 — MTA-STS, TLS-RPT, BIMI — 은 DMARC 보고서에서는 보이지 않습니다. 그것을 보려면 DNS 확인이 필요합니다. 도메인은 보고서상으로는 “완료된” 것처럼 보여도 여전히 숨겨진 5단계 → 6단계 격차를 가지고 있을 수 있습니다. 이것이 우리 자신의 보고 분석이 대조하여 측정하는 모델이며, 장애물까지 모두 포함합니다.
실제 사례
한 중견 기업이 메일 필터링 게이트웨이 뒤에서 Microsoft 365를 운영합니다. SPF는 -all로 끝나고, DKIM이 구성되어 있으며, DMARC는 p=none으로 게시되어 있고, 보고서는 모니터링 도구로 들어옵니다. 옛 지도에서는 이것이 거의 완료된 것처럼 보입니다. 이 지도에서는 3단계 — 관찰입니다: 어려운 설정은 완료되었지만, 도메인은 정확히 벽에서 멈췄습니다 — 보이지만, 보호되지는 않은 상태로요. 가장 가치 있는 조치는 3 → 4 → 5입니다: (아마 몇 안 되는) 정당한 발신자가 모두 정렬되는지 확인한 뒤, 단계적으로 정책을 높이는 것입니다. 이런 모양의 도메인에게는 대개 몇 달이 아니라 몇 주의 주의가 필요합니다 — 벽은 결코 그것을 지도로 그려보지 않는 이들에게 가장 높습니다.
당신의 단계를 찾아보세요
폐기해야 할 질문은 “우리에게 DMARC가 있는가?”입니다 — 도메인의 24.89%가 그렇다고 말할 수 있지만, 그중 57.5%는 여전히 스푸핑 가능한 상태로 남아 있습니다. 더 나은 질문은 **“우리는 어느 단계에 있으며, 다음 단계로 가는 단 하나의 조치는 무엇인가?”**입니다. 인터넷상의 모든 도메인은 오늘 이 여섯 단계 중 정확히 하나에 있습니다. 어느 단계인지 아는 것은 불안을 할 일 목록으로 바꿔줍니다.
자주 묻는 질문
DAMM이란 무엇인가요? DMARC 채택 성숙도 모델(DMARC Adoption Maturity Model) — 이 페이지의 6단계 모델입니다: 미보호, 인증됨, 관찰, 가시성, 시행됨, 강화. 도메인의 단계는 그 DNS와 DMARC 보고 데이터로부터 측정 가능하며, 이것이 벽에 붙은 포스터와 이 모델을 구별짓는 점입니다.
그러면 p=none을 게시하는 것은 무가치한가요? 아닙니다 — 그것은 3단계이며, 3단계는 하중을 지탱합니다: 보고는 시행하기 전에 모든 발신자를 찾아내는 방법입니다. 그것이 목적지로 취급될 때에만 문제가 됩니다. 왜 p=none이 보호가 아닌지를 참고하세요.
곧장 p=reject로 건너뛸 수 있나요? 당신의 도메인이 메일을 전혀 발송하지 않는다면 — 그렇습니다, 오늘 당장, 그리고 그래야 합니다. 메일을 발송한다면 — 아닙니다: 가시성(4단계) 없이 시행하는 것은 정당한 메일이 망가지고 롤백이 일어나는 방식입니다. 단계들은 의식(ceremony)이 아니라 안전한 경로입니다.
“완료”되려면 BIMI가 필요한가요? 아닙니다. BIMI는 6단계의 브랜드 표시 계층이자 이 모델에서 가장 선택적인 요소입니다 — MTA-STS, TLS-RPT, 그리고 DMARCbis의 np= 적용 범위가 도메인을 실질적으로 강화하는 부분입니다. 인증서 비용이 당신에게 정당화되지 않는다면, 그것을 건너뛰고 6단계의 나머지를 유지하세요.
SPF와 DKIM은 어디에 들어맞나요? 모든 것의 밑바닥에 있습니다 — 그것들은 1단계 → 2단계이며, DMARC 없는 SPF는 대부분의 소유자가 가정하는 것보다 적게 보호합니다. 2024년 이후로 주요 수신자들은 또한 대량 발신자에게 인증을 노골적으로 요구해 왔습니다.
당신 자신의 도메인이 어디에 서 있는지 확인하세요
이 단계들은 모집단 패턴입니다 — 당신의 도메인은 그중 정확히 하나에 있으며, 다음 조치는 알 수 있습니다. 비공개로 그리고 무료로 확인할 수 있으며, 34개의 검사 중 어느 것을 통과하는지, 통과하지 못하는 것을 어떻게 고칠지 볼 수 있습니다.
당신의 도메인을 확인하세요 → · 우리가 인터넷에 어떻게 등급을 매겼는지 → · DMARC 기둥(pillar) → · 집계 데이터만. 데이터는 EU에서 저장 및 처리됩니다.