Defaults.Exposed

Defaults.Exposed수정Guides

고객사의 보안 설문지에서 이메일 인증을 묻고 있습니다 — 오후 한나절에 답변하고 미비점 보완하기 (2026)

게시일 2026-07-08

기준일: 2026-06-29 · 방법론 v7. 261백만 개 등급 도메인에 대한 집계 센서스 데이터 — 개별 도메인 결과는 공개하지 않습니다. 등급 산정 방식을 참고하세요.

고객사가 묻는 이유는 유럽 공급망 보안 규정이 이제 공급업체 점검을 의무화했기 때문입니다. 이 질문들의 출발점은 2분짜리 무료 검사입니다 — 정확히 확인하는 항목을 등급으로 보여줍니다. Defaults.Exposed의 261,086,232 도메인 센서스(기준: 2026-06-29)에 따르면 이메일 인증이 완전히 정렬·집행된 도메인은 7.4%에 불과합니다 — 대부분의 공급업체도 아직 “예”라고 답하지 못합니다.

오후 계획은 다음과 같습니다: 무료 검사를 실행하고, 한 페이지짜리 등급 보고서를 읽고, 이미 사실인 항목에 솔직하게 답변하고, 당일 무료 빠른 수정을 적용하세요. 더 깊은 항목은 날짜가 기재된 보고서와 짧은 보완 메모가 적절한 중간 답변입니다 — 근거 없는 “예”보다 훨씬 낫습니다.

왜 가장 큰 고객사가 갑자기 이메일 보안을 묻는 건가요?

개인적인 이유가 아닙니다. 고객사가 NIS2(EU 네트워크 및 정보 보안 지침) 적용 대상이라면, 제21조 제2항 (d)호에 따라 공급망 보안을 관리할 의무가 있으며, EU 이행 규정 (EU) 2024/2690은 이메일 보안을 구체적으로 명시하고 있습니다. 따라서 구매팀이 모든 공급업체에 설문지를 발송하는 것입니다. 귀사가 NIS2 적용 대상이 아니더라도, 이 의무는 이렇게 귀사까지 전달됩니다. 기한과 결과 — 승인 공급업체 목록 유지 — 는 고객사가 규제기관에 점검을 수행했음을 입증해야 하기 때문에 존재합니다. (NIS2가 이메일 인증에 대해 실제로 무엇을 말하는지 정리해 두었습니다.) 보험사도 이제 같은 질문을 합니다 — 갱신 양식에도 이 항목이 생겼다면, 보험 갱신용 오후 한나절 가이드가 있습니다.

질문들이 실제로 무엇을 의미하나요?

일반적인 공급업체 설문지의 이메일 보안 섹션은 약어를 달고 있는 네 가지 질문입니다. 한 번 번역해 드리겠습니다.

설문지 질문일반 언어로 풀어쓰면검사 보고서의 답변 방식
”DMARC 정책을 집행하고 있습니까?” (DMARC — Domain-based Message Authentication, Reporting and Conformance)귀사 도메인을 사칭한 이메일을 거부하도록 전 세계 메일 서버에 지시했습니까? 대부분의 공급업체가 실패하는 항목: 261,086,232 등급 도메인 중 정렬·집행된 곳은 7.4%뿐입니다(기준: 2026-06-29).정책을 명시하고 등급을 부여합니다. “집행됨”은 거부 또는 격리를 의미하고, “모니터링만”은 아직 아무것도 차단하지 않는 것입니다 — 솔직하게 어느 쪽인지 밝히세요.
”SPF를 제한적 정책으로 설정했습니까?” (SPF — Sender Policy Framework)귀사 명의로 이메일을 보낼 수 있는 서버 목록을 게시했습니까 — 그리고 그것이 단호하게 끝납니까(“다른 곳은 불가”) 아니면 느슨하게 끝납니까(“어쩌면 다른 곳도 가능”)?목록이 존재하는지, 유효한지, 단호하게 또는 느슨하게 끝나는지 표시합니다.
”발신 이메일에 디지털 서명이 되어 있습니까? (DKIM)” (DKIM — DomainKeys Identified Mail)이메일에 귀사 도메인에서 발송되었음을 증명하는 변조 방지 서명이 있습니까 — 공급업체 기본값이 아닌 귀사 명의로?귀사 도메인 명의의 서명이 있는지 확인합니다 — 공급업체 기본값 함정은 검사에서 가장 자주 발견되는 미비점입니다.
”도메인 스푸핑을 모니터링하고 있습니까?”누군가 귀사 명의의 가짜 이메일을 보낸다면 알아차릴 수 있습니까 — 아니면 화난 전화가 올 때까지 모르겠습니까?보고 주소가 활성화되어 있는지 확인합니다. 활성화되어 있으면 사칭 시도가 귀사에 도달합니다.

이 항목들은 모두 도메인의 공개 설정에서 확인됩니다 — 감사도, 에이전시도, 시스템 접근도 필요 없습니다. 그래서 오후 한나절 계획이 효과적입니다. 이 네 가지는 더 긴 목록의 이메일 항목일 뿐입니다: 사이버 보험 및 벤더 설문지가 도메인에서 확인하는 항목에는 확인하는 모든 통제 항목과 인터넷 전체 통과율이 정리되어 있습니다. 이 페이지는 오후 한나절에 집중합니다 — 무엇을 답변하고 무엇을 먼저 수정할지.

기한 안에 어떻게 답변하나요? 오후 한나절 계획

  1. defaults.exposed에서 무료 검사를 실행하세요 — 2분, 아무것도 변경하기 전에. 도메인의 공개 설정을 읽어 위의 네 영역을 정확히 등급으로 표시합니다. 가입 불필요, 이메일 접근 불필요.
  2. 등급 보고서를 읽으세요. 한 페이지, 일반 언어, 날짜 기재 — 각 등급이 설문지 문항과 대응되므로 추측 대신 실제 답변을 알 수 있습니다.
  3. 이미 사실인 항목에 답변하세요. 보고서에서 통과로 표시된 항목은 “예”라고 하고 이유를 밝히세요(“독립 검사로 확인, 날짜 포함”).
  4. 당일 무료 빠른 수정을 적용하세요. 일반적인 미비점은 구매가 아닌 설정의 문제입니다: 느슨하게 끝나는 발신자 목록(SPF 수정), 없거나 모니터링 모드에 머문 스푸핑 규칙(DMARC 수정), 공급업체 기본 명의의 서명. 모두 무료이며 대부분 DNS 레코드 하나 — 도메인을 관리하는 담당자에게 수정 페이지를 전달하면 양식을 제출하기 전에 “아니오” 여러 개가 “예”로 바뀝니다.
  5. 더 깊은 항목은 날짜가 기재된 보고서와 보완 메모를 전송하세요. 완전한 집행 정책으로 이동하려면 먼저 몇 주간의 모니터링이 필요합니다 — 완료되지 않은 것을 완료라고 절대 주장하지 마세요. “독립 검사 결과 첨부; 집행 적용 진행 중, 목표 시기 9월”은 모든 유능한 구매팀에게 적절한 중간 답변입니다. 거짓 “예”는 그렇지 않습니다: 구매팀은 재확인하며, 종종 바로 이런 검사로 확인합니다.

이 설문지가 오히려 유리하게 작용할 수 있을까요?

그렇습니다 — 다른 업체들이 무엇을 제출하는지 보면 알 수 있습니다. 대부분의 공급업체는 근거 없는 “예”를 제출하는 반면, 261,086,232 등급 도메인 중 실제로 정렬·집행된 곳은 7.4%뿐입니다(기준: 2026-06-29). 날짜가 기재된 독립 등급 보고서 — 미비점과 보완 날짜를 보여주더라도 — 는 근거 없는 “예”보다 낫습니다. 하나는 검증 가능하고 다른 하나는 희망이기 때문입니다. 완벽해야 하는 것이 아닙니다; 확인 가능해야 합니다. 그 목록에 있는 경쟁사들 중 그렇게 준비된 곳은 거의 없을 것입니다.

그리고 네트워킹 행사에서 들은 인보이스 사기 이야기가 마음에 걸린다면 — 같은 설정, 같은 2분짜리 확인입니다.

자주 묻는 질문

기한 전에 모든 것을 수정하지 못하면 어떻게 되나요? 사실인 것을 제출하세요: 날짜가 기재된 보고서, 이번 주에 수정한 항목, 나머지에 대한 날짜가 있는 계획. NIS2 공급망 검토자는 공급업체가 위험을 관리하는지를 평가하지, 완벽한지를 평가하지 않습니다 — 보완 메모가 있는 등급 보고서 자체가 문서화된 위험 관리입니다. 검토에서 실패하는 것은 침묵이거나, 재확인을 버티지 못하는 주장입니다.

IT 계약업체가 이것을 처리할 수 있나요? 무료 설정은 가능합니다 — 발신자 목록, 귀사 서명, 스푸핑 규칙은 일상적인 DNS 작업이며, 위의 수정 페이지는 그 인계를 위해 작성되었습니다. 계약업체가 합당하게 자신의 업무 범위 밖이라고 말하는 것은 판단 영역입니다: 어떤 정책을 집행할지, 언제 강화하는 것이 안전한지, 그 사이 고객에게 무엇을 말할지. 등급 보고서는 그 결정들을 문서로 만들어 주므로, 둘 다 즉흥적으로 결정할 필요가 없습니다.

정말로 공급업체 목록에서 제외될 수 있나요? 응답 없음이나 거짓 주장이 적발된 경우 — 결국 그렇습니다; 고객사는 규제기관에 답해야 합니다. 보완 날짜가 있는 솔직한 미비점 — 매우 드문 경우: 설문지가 묻는 스푸핑 정책을 집행하는 도메인은 전체 261,086,232 등급 도메인 중 10.59%뿐입니다(기준: 2026-06-29). 계획이 있는 솔직함이 목록에서 귀사를 유지시켜 줍니다.

우리는 NIS2 적용 대상이 아닌데 — 설문지를 무시할 수 있나요? 의무는 고객사의 것이며, 고객사는 확인 가능한 공급업체를 선택함으로써 그 의무를 이행합니다. 돋보일 기회는 엄청납니다: 전체 261,086,232 등급 도메인 중 이메일 인증이 정렬·집행된 곳은 7.4%뿐입니다(기준: 2026-06-29). 오후 한나절이면 그 공급업체 목록의 거의 모든 다른 업체보다 앞서 나갈 수 있습니다.

IT 담당자에게 보고서를 전달하세요

이것을 다시 입력할 필요 없습니다. 무료 검사를 실행한 다음 도메인을 관리하는 담당자에게 두 가지를 전달하세요: 등급 보고서와 이 글. 보고서는 변경해야 할 설정을 정확히 알려주고, 수정 페이지는 단계를 제공합니다. 수정된 보고서가 돌아오면 설문지 답변이 저절로 작성됩니다 — 등급별로. 그리고 파일로 보관하세요: 다음 고객사도 같은 네 가지를 물어볼 것이고, 보험 갱신도 이미 묻고 있으며, 5분 만에 첨부할 수 있는 날짜가 기재된 보고서가 오후 한나절과 소방훈련의 차이를 만듭니다.

도메인 확인하기 → · 설문지가 도메인에서 확인하는 항목 → · 들으신 그 인보이스 사기 이야기 → · 집계 데이터만 사용. 데이터는 EU 내에서 저장 및 처리됩니다.