이메일 보안

우리 회사 이름으로 피싱 이메일이 발송되고 있다면?
SPF·DKIM·DMARC 10분 설정 가이드

2026.04.10 · 7 min read · CyberShield
Advertisement (AdSense 승인 후 활성화)

이런 경험이 있으신가요? 거래처에서 "귀사 이름으로 이상한 이메일이 왔는데요"라는 연락을 받거나, 고객이 우리 도메인에서 온 것처럼 보이는 피싱 이메일을 받았다면 — 이메일 보안 설정이 되어 있지 않은 것입니다.

무서운 사실은, 아무 설정 없이도 누구나 your-company.com에서 보내는 척 이메일을 발송할 수 있다는 것입니다. 이 문제를 막는 것이 SPF, DKIM, DMARC 세 가지입니다.

⚠ 이메일 스푸핑의 실제 피해:
• 고객에게 우리 회사를 사칭한 피싱 이메일 발송
• 구매 요청이나 계좌이체 사기 (BEC 공격)
• 브랜드 신뢰도 하락 및 스팸 필터에 의한 정상 이메일 차단
• 해외 기업 피해액: 평균 수억~수십억 원

세 가지 이메일 보안 설정 이해하기

SPF
"우리 도메인의 이메일은 이 서버에서만 보낼 수 있다"고 명시. DNS TXT 레코드로 설정.
DKIM
이메일에 디지털 서명을 추가. 전송 중 내용이 변조되지 않았음을 증명.
DMARC
SPF·DKIM 실패 시 어떻게 처리할지 정책 설정. "차단", "스팸함", "그냥 통과" 중 선택.

1. SPF 설정하기

DNS 관리 페이지(가비아, 후이즈, Cloudflare 등)에서 TXT 레코드를 추가합니다.

Google Workspace를 사용하는 경우:

TXT 레코드
이름: @ (또는 yourdomain.com)
값: v=spf1 include:_spf.google.com ~all

Microsoft 365를 사용하는 경우:

TXT 레코드
이름: @ (또는 yourdomain.com)
값: v=spf1 include:spf.protection.outlook.com ~all
💡 ~all vs -all:
~all = 소프트 실패 (처음에는 이걸로 시작하세요)
-all = 하드 실패 (설정이 안정화되면 이걸로 변경)

2. DKIM 설정하기

DKIM은 이메일 제공업체(Google, Microsoft 등)에서 키를 생성한 후 DNS에 등록하는 방식입니다.

Google Workspace:

  1. Google Admin Console → Apps → Google Workspace → Gmail
  2. Authenticate email → DKIM 탭
  3. "Generate new record" 클릭
  4. 생성된 TXT 레코드를 DNS에 추가
  5. "Start authentication" 클릭

3. DMARC 설정하기

SPF와 DKIM 설정이 완료된 후 DMARC를 추가합니다. _dmarc.yourdomain.com에 TXT 레코드를 만듭니다.

단계별 DMARC 도입 전략:

# 1단계: 모니터링만 (처음 2~4주)
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com

# 2단계: 실패 이메일 스팸 처리 (안정화 후)
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com

# 3단계: 실패 이메일 완전 차단 (최종)
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com
✓ rua=mailto: 설정 이유: DMARC 리포트를 받으면 누가 우리 도메인을 사칭해서 이메일을 보내는지 파악할 수 있습니다. 처음에는 꼭 설정하세요.

설정 확인하기

DNS 변경은 전파에 최대 48시간이 걸립니다. 설정 후 CyberShield로 확인해보세요:

SPF·DKIM·DMARC 설정 즉시 확인

도메인 입력 → 30초 → 이메일 보안 점수 + 구체적 수정 방법

📧 이메일 보안 검사
Advertisement (AdSense 승인 후 활성화)

관련 글: SSL 인증서 무료 자동 갱신 가이드 · AI 생성 코드의 7가지 보안 취약점