DKIM 키 회전 설명

DKIM 키 로테이션은 DKIM 키를 업데이트하는 과정입니다. 정확한 주기는 중요하지 않지만 프로세스 자체는 중요하므로 주기적으로 DKIM 키를 교체해야 합니다. 왜 해야 하나요? 키 순환은 새 키를 생성하고 새 키로 DNS 레코드를 업데이트하는 것을 말합니다. 공격자가 도메인을 사칭하여 스팸 또는 피싱 이메일을 보내는 것을 방지하기 위한 보안 조치로, 주기적으로 비밀번호를 변경하는 이유와 비슷합니다.

애초에 DKIM 키를 사용하는 이유를 살펴보겠습니다.

DKIM 키를 사용하는 이유는 무엇인가요?

DKIM 은 DomainKeys 식별 메일의 약자입니다. 이메일 서버에 추가 보안 계층을 추가하여 이메일이 스팸으로 표시되어 스팸 폴더에 쌓이는 것을 방지하는 방법입니다. DKIM을 가장 쉽게 생각하면 메시지에 첨부된 암호화된 식별자라고 생각하면 되는데, 이를 통해 수신자는 메시지가 실제로 보낸 사람인 본인이 보낸 것인지 확인할 수 있습니다. 이 식별자 또는 키를 통해 수신자는 이를 확인할 수 있습니다.

DKIM은 어떻게 작동하나요?

DKIM은 발송되는 각 이메일에 이 식별자를 추가하는 방식으로 작동합니다. 이러한 이메일을 받은 사람은 메시지의 머리글이나 바닥글을 확인하여 암호화된 식별자 또는 DKIM 키인 숫자와 문자 문자열을 찾을 수 있습니다. 이메일이 수신자에게 전송되기 전에 발신자의 이메일 서버는 모든 이메일에 디지털 서명으로 서명하고, 수신 이메일 서버에서 이를 검증합니다. 이 과정을 통해 이메일이 어떤 방식으로든 위조 또는 변경되지 않았음을 증명합니다. 

이메일을 보낼 때 서명은 메시지 끝에 헤더로 첨부됩니다. 수신자 서버는 공개 키(도메인 소유자가 DNS 레코드를 통해 제공)를 사용하여 이러한 서명을 해독하고 확인합니다.

도메인 보안을 위해 DKIM 키를 순환하는 것이 중요한 이유

DKIM 키를 교체하는 것은 새 개인/공개 키 쌍을 사용하여 메시지에 서명하고 인증하기 시작한 다음 이전 개인/공개 키 쌍의 사용을 중지하는 것입니다.

이것이 왜 중요한가요? 누군가 내 개인 키에 액세스할 수 있다면 실제로 내가 보낸 것처럼 보이는 사기성 이메일을 보내는 데 사용할 수 있기 때문입니다! 이러한 종류의 악의적인 활동을 방지하려면 몇 달마다 DKIM 키를 교체하는 것이 가장 좋습니다.

DKIM 키 회전의 중요성을 더 잘 이해하기 위해 이 예시를 살펴보겠습니다: 

스토어에서 연말 세일을 위한 이메일 캠페인을 발송한다고 가정해 보겠습니다. DKIM 키를 사용하여 이메일에 서명하지만, 시간이 지남에 따라 동일한 키 쌍을 사용하여 이메일을 많이 보내면 각 메시지가 동일한 암호화 해시 알고리즘을 사용하기 때문에 악의적인 공격자가 결국 그 중 하나를 가로채서 해독할 수 있습니다. 일단 사용자의 공개 키를 알아내면 사용자도 모르게 피싱 이메일에 이 키로 서명을 시작할 수 있습니다! 그렇기 때문에 주기적인 DKIM 키 교체가 도메인 보안에 매우 중요합니다.

PowerDMARC로 DKIM을 간소화하세요!

DKIM 키는 어떻게 회전하나요?

1. 수동 DKIM 키 회전

도메인에 대한 새 키를 만들어 DKIM 키를 수시로 수동으로 회전할 수 있습니다. 이렇게 하려면 다음 단계를 따르세요: 

• 무료 DKIM 레코드 생성기 도구
• 도메인 정보를 입력하고 원하는 DKIM 선택기를 입력합니다. 
• "생성" 버튼을 누릅니다. 
• 새 DKIM 키 쌍 복사 
• 공개 키는 DNS에 게시되어 이전 레코드를 대체합니다.
• 개인 키는 ESP와 공유하거나(이메일을 아웃소싱하는 경우) 이메일 서버에 업로드해야 합니다(온프레미스에서 이메일 전송을 처리하는 경우). 

2. 하위 도메인 DKIM 키 위임

도메인 소유자는 타사가 대신 처리하도록 허용하여 DKIM 키 로테이션을 아웃소싱할 수 있습니다. 도메인 소유자가 이메일 공급업체에 전용 하위 도메인을 위임하고 DKIM 키 쌍을 대신 생성하도록 요청하는 경우입니다. 이를 통해 소유자는 제3자에게 책임을 아웃소싱하여 DKIM 키 로테이션의 번거로움을 피할 수 있습니다. 

그러나 이로 인해 DMARC 항목에 정책 재정의 문제가 발생할 수 있습니다. 원활하고 오류 없는 배포를 위해 도메인 컨트롤러에서 순환 키를 모니터링하고 검토하는 것이 좋습니다. 

3. DKIM CNAME 키 위임

CNAME은 정식 이름을 나타내며 외부 도메인의 데이터를 가리키는 데 사용되는 DNS 레코드입니다. CNAME 위임을 통해 도메인 소유자는 외부 타사에서 유지 관리하는 DKIM 레코드 정보를 가리킬 수 있습니다. 이는 하위 도메인 위임과 유사하며, 도메인 소유자는 DNS에 몇 개의 CNAME 레코드만 게시하면 되고 DKIM 인프라 및 DKIM 키 로테이션은 레코드가 가리키는 타사에서 처리합니다. 

예를 들어 

"domain.com"은 발신 이메일에 서명할 도메인을 의미하며, "third-party.com"은 서명 프로세스를 처리할 공급업체를 의미합니다. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

위에서 언급한 CNAME 레코드는 도메인 소유자의 DNS에 게시해야 합니다. 

이제 s1.domain.com.third-party.com에는 이미 DNS에 DKIM 레코드가 게시되어 있습니다: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

이 정보는 도메인닷컴에서 발신한 이메일에 서명하는 데 사용됩니다. 

참고: 게시해야 합니다. 여러 개의 DKIM 레코드 (권장: 최소 3개 이상의 CNAME 레코드)를 DNS에 여러 개의 선택기를 사용하여 게시해야 DKIM 키 순환을 사용할 수 있습니다. 이렇게 하면 공급업체가 서명하는 동안 키를 전환하고 대체 옵션을 제공할 수 있습니다.

4. 자동 DKIM 키 회전

대부분의 이메일 공급업체와 타사 이메일 서비스 제공업체는 고객을 위해 자동 DKIM 키 로테이션을 지원합니다. 예를 들어, Office 365를 사용하여 이메일을 라우팅하는 경우 Microsoft가 Office 365 사용자를 위해 자동 DKIM 키 로테이션을 지원한다는 사실을 알게 되면 반가울 것입니다. 

기술 자료에서 Office 365 전자 메일에 대해 DKIM 키 로테이션을 사용하도록 설정하는 방법에 대한 전체 문서를 확인하세요. 

DKIM 키 자동 회전의 이점

• 공급업체에서 DKIM 키의 자동 회전을 허용하는 경우, 귀하는 아무것도 할 필요가 없습니다. 모든 것은 공급업체에서 관리합니다. 
• 수동 구성은 사람의 실수가 발생하기 쉽습니다.
• 자동 키 회전은 빠르고 효과적이며 사용자의 개입이 필요하지 않습니다. 
• DKIM 관리 시스템은 타사에 완전히 아웃소싱되어 처리됩니다.

DKIM 키 순환 전략 배포하기

우리는 이것을 "3차원의 DKIM 키 회전":

• 토론 
• 결정
• 배포 

여기까지 도메인에 대한 효과적인 DKIM 키 로테이션 전략이 요약되어 있습니다. 이메일에 타사 서비스를 이용하고 공급업체에서 로테이션을 처리하는 경우 키를 언제, 얼마나 자주 로테이션할 것인지에 대해 공개적이고 투명하게 논의해야 합니다. 타임라인과 셀렉터 키에 사용할 크기(보안 강화를 위해 1024비트를 사용할지 2048비트를 사용할지)에 대해서도 의견을 제시해야 합니다. 

논의 단계가 지나면 고객과 공급업체는 서로 전략이 무엇인지 결정하고 최종적으로 배포를 진행해야 합니다.

• 정보
• 최신 게시물

유네스 타라다

도메인 및 이메일 보안 전문가 PowerDMARC

Yunes는 이메일 인증 및 보안에 대한 전문 지식을 갖춘 PowerDMARC의 운영 팀장입니다. Yunes는 CompTIA A+ 등의 자격증을 보유한 Microsoft 인증 Azure 관리자 어소시에이트입니다.

Yunes Tarada의 최신 글 (전체 보기)

• 이메일 솔팅 공격: 숨겨진 텍스트가 보안을 우회하는 방법 - 2025년 2월 26일
• SPF 평탄화: 평탄화란 무엇이며 왜 필요한가요? - 2025년 2월 26일
• DMARC와 DKIM: 주요 차이점 및 함께 작동하는 방법 - 2025년 2월 16일