참고: DKIM2는 현재 IETF의 문서 아카이브에 초안이 보관 중이며 향후 변경될 수 있습니다.
DKIM 또는 도메인키 인증 메일의 현재 버전은 발신자를 인증하기 위해 디지털 서명으로 메시지에 서명하는 이메일 인증 프로토콜로 2011년에 처음 발표되었습니다. DKIM을 통해 이메일 서버는 전송 중에 메시지가 변조되지 않았는지 확인할 수 있었습니다. DKIM은 다음에서 정의됩니다. RFC 6376 에 정의된 프로토콜로 "서명 도메인을 소유한 사람, 역할 또는 조직이 도메인을 메시지와 연결하여 메시지에 대한 일부 책임을 주장할 수 있도록 허용합니다."
2024년에 DKIM은 DKIM2라는 새로운 모습으로 바뀔 수 있습니다! DKIM2는 곧 기존 이메일 보안 메커니즘(DKIM)을 새롭고 업데이트된 메커니즘으로 대체하여 인증 및 보안을 강화할 예정입니다.
주요 내용
- DKIM2는 현재 DKIM1 프로토콜의 운영상 약점을 보완하여 이메일 보안과 인증을 강화하는 것을 목표로 합니다.
- 이 업데이트된 버전은 헤더 서명을 표준화하여 위협 행위자가 악용할 수 있는 허점을 최소화합니다.
- DKIM2는 이메일을 마지막으로 처리한 서버로 배달 실패 알림을 전송하여 백스캐처를 방지합니다.
- 오류 처리가 개선되고 반송이 간소화되어 수신자의 개인 정보를 보호하고 이메일 관리를 간소화할 수 있습니다.
- DKIM2는 여러 암호화 알고리즘을 지원함으로써 진화하는 보안 위협에 대한 미래 대비 기능을 제공합니다.
DKIM 교체 필요성
DKIM - DKIM1의 초기 메커니즘은 처음에 RFC 4871에 처음 설명되어 2007년에 발표되었습니다. 그 이후로 수년에 걸쳐 몇 가지 운영상의 취약점이 발견되었습니다:
1. 중개자 수정 문제
다음과 같은 여러 경우에 이메일 전달중개 서버는 종종 바닥글을 추가하거나 서명을 수정하는 등 합법적인 이메일을 임의로 수정하는 경우가 있습니다. 이로 인해 원본 DKIM1 서명을 확인할 수 없게 되어 원치 않는 DKIM 실패로 이어집니다. 해당 이메일은 합법적인 이메일임에도 불구하고 스팸으로 신고되거나 스팸으로 표시될 가능성이 있습니다.
2. 리플레이 공격을 통한 평판 피해
에서 DKIM 리플레이 공격에서는 위협 행위자가 원래 DKIM 서명으로 인증되고 서명된 이메일을 다시 전송하여 새롭고 진짜 메시지인 것처럼 위장합니다. 그러나 메시지가 변경되었을 수 있으며 잠재적으로 해로울 수 있습니다. 즉, 악의적인 공격자는 DKIM 서명이 있는 이메일을 '재생'하여 합법적인 서명자의 평판을 훼손할 수 있습니다.
3. 표준화된 피드백 부족
일부 시스템에서는 이메일 발신자에게 DKIM 서명 이메일이 얼마나 잘 전달되는지 알려주는 비공식적인 피드백 메커니즘이 있습니다. 이러한 피드백 루프를 통해 발신자는 자신의 메시지가 제대로 전달되고 있는지 또는 문제가 있는 것으로 플래그가 지정되었는지 알 수 있습니다. 그러나 현재 이러한 피드백 시스템이 어떻게 작동해야 하는지에 대한 공식적인 규칙은 없습니다. 이러한 표준화의 부재로 인해 피드백이 불필요하게 전송되거나 도움이 되지 않을 수 있습니다.
4. 후방 산란 문제
누군가 이메일 발신자를 위조(발신자 위조)하여 이메일을 배달할 수 없는 경우 시스템에서 '배달 실패 알림'을 보내는 경우가 많습니다. 이 알림을 배달 상태 알림 또는 DSN이라고 합니다. 이 알림은 도메인이 위조된 의심하지 않는 피해자에게 전달됩니다. 즉, 이메일과 아무 관련이 없는 무고한 사람이 혼란스럽거나 원치 않는 알림을 받게 되는 것입니다. 이러한 현상을 백스캐터링이라고 합니다.
PowerDMARC로 DKIM2를 간소화하세요!
DKIM2란 무엇인가요?
DKIM2는 리플레이 공격에 대한 취약성, 메일 전달 문제 등 이전 버전의 단점을 수정하고 더 나은 인증 및 후속 보호를 위해 향상된 암호화를 제공하는 것을 목표로 하는 DKIM1의 업데이트 버전으로 곧 출시될 예정입니다.
또한 DKIM2는 헤더 서명 문제를 해결하고, 후방 산란을 방지하며, 여러 암호화 알고리즘을 지원하여 오래된 알고리즘 버전에서 새 버전으로 쉽게 마이그레이션할 수 있을 것으로 기대됩니다.
DKIM2가 비즈니스에 어떤 도움이 될까요?
DKIM2는 다음과 같은 주요 이점을 제공함으로써 DKIM1의 기능을 능가할 수 있습니다:
표준화된 헤더 서명
DKIM1은 때때로 헤더에 부분적으로 서명하여 위협 행위자가 악용할 수 있는 보안 허점을 남기는 반면, DKIM2는 어떤 헤더에 서명해야 하는지 표준화합니다. 이렇게 하면 혼란을 줄이고 모든 중요한 헤더에 일관되게 서명하고 보안을 유지할 수 있습니다.
후방 산란 방지
백스캐터를 유발하는 DKIM1의 문제는 위 섹션에서 설명했습니다. DKIM2를 사용하면 이메일을 마지막으로 처리한 서버로 DSN을 전송하여 무고한 제3자의 혼란을 방지할 수 있습니다.
간소화된 오류 처리
DKIM2는 반송 및 오류 처리 방식을 개선하여 이메일 보안과 효율성을 향상시킵니다. 반송 메시지가 올바른 경로로 전달되도록 하여 수신자의 개인 정보를 보호하고 이메일 서비스 제공업체나 메일링 리스트와 같은 중개자가 전달 문제를 쉽게 추적하고 관리할 수 있도록 도와줍니다. 또한 DKIM2를 사용하면 메일링 리스트와 보안 게이트웨이가 변경 사항을 기록하고 되돌릴 수 있어 검증을 간소화하고 변조 시도를 발견할 수 있습니다.
DKIM 리플레이 공격 해결
DKIM으로 서명된 유효한 이메일이 탐지되지 않은 채 여러 수신자에게 '재생'되어 재전송될 수 있다는 사실은 이미 알고 있습니다. DKIM2는 타임스탬프와 수신자별 헤더를 도입하여 이메일 리플레이 공격을 더 쉽게 탐지하고 방지함으로써 이 문제를 해결할 수 있습니다. 또한 중복된 메시지도 인식하여 책임자를 추적할 수 있습니다.
알고리즘 손재주
DKIM2는 RSA, 타원 곡선, 포스트 퀀텀과 같은 광범위한 암호화 알고리즘을 지원할 것입니다. 이를 통해 유연성과 미래 대비를 보장할 수 있습니다. 이렇게 다양한 알고리즘을 지원함으로써 얻을 수 있는 긍정적인 측면은 이전 알고리즘이 구식이 되어도 쉽게 마이그레이션할 수 있다는 것입니다.
IETF의 문서에 따르면 암호화 분석 과정에서 한 알고리즘이 더 이상 사용되지 않거나 실패하는 경우 다른 알고리즘이 통과해야 한다고 설명합니다. 이를 가능하게 하기 위해 DKIM2 개발자는 단일 DKIM2 서명 헤더에 두 개 이상의 서명을 포함함으로써 잠재적으로 사용되지 않는 알고리즘에서 전환하는 단계적 접근 방식을 취하고 있습니다. 두 DKIM2 서명의 분석을 지원하는 시스템에서는 두 서명이 모두 유효하고 정확해야 하며, 그렇지 않으면 메일이 거부됩니다.
암호화 계산 최소화
DKIM2는 DKIM 확인 시 메시지 콘텐츠의 진위 여부를 확인하는 데 필요한 암호화 계산을 간소화하고 최소화할 것으로 예상됩니다. 주요 사서함 제공업체는 수신 메시지에 많은 수의 DKIM 서명을 추가합니다. 현재 DKIM1은 모든 DKIM 서명을 검사하는 반면, 암호화 분석 중에 DKIM2는 중개자에 의해 메시지가 변경되지 않은 경우 첫 번째 DKIM2 서명만 검사합니다. 이렇게 하면 암호화 계산에 더 효과적이고 빠른 프로세스가 도입됩니다.
요약
IETF 초안의 주요 내용을 요약하면, DKIM2 프로토콜은 현재 DKIM1 프로토콜 버전의 여러 단점을 우회하여 서명 처리를 간단하고 안전하며 더욱 효과적으로 만드는 것을 목표로 합니다. 또한 보고 기능을 개선하고 피드백 루프를 표준화하여 기업이 이전보다 훨씬 더 많은 정보를 파악할 수 있을 것으로 기대됩니다! 조만간 공식 출시되어 기업들이 DKIM 인증을 최대한 활용할 수 있게 되기를 기대합니다.
DKIM 구현 및 키 관리에 관한 도움이 필요하면 문의하세요, 지금 바로 문의하세요!
- DKIM 도메인 정렬 실패 - RFC 5322 수정 사항 - 2025년 6월 5일
- DMARCbis 설명 - 변화하는 사항과 준비 방법 - 5월 19, 2025
- BIMI란 무엇인가요? BIMI 로고 요구 사항 및 설정에 대한 완벽한 가이드 - 2025년 4월 21일