도입
열심히 만든 마케팅 이메일이 고객의 스팸함으로 직행합니다.
또는, 누군가가 우리 회사 이메일 주소를 사칭하여 피싱 메일을 보냅니다.
이런 상황을 방지하려면 이메일 인증(Email Authentication)이 필요합니다.
그리고 이메일 인증의 세 가지 핵심 기술 중 하나가 바로 DKIM(DomainKeys Identified Mail)입니다.
DKIM은 이메일에 디지털 서명을 추가하여, 수신자가 "이 메일이 정말 저 도메인에서 보낸 것인지", 그리고 "전송 중에 내용이 변조되지 않았는지"를 확인할 수 있게 해 줍니다.
DKIM이란? — 한 줄 정의
DKIM(DomainKeys Identified Mail)이란, 발신 도메인이 이메일에 암호화된 디지털 서명을 추가하여 수신 서버가 이메일의 진위성과 무결성을 검증할 수 있게 하는 이메일 인증 기술입니다.
쉽게 말해, 이메일에 붙이는 "위조 방지 도장"입니다
수신 메일 서버는 이 도장을 확인하여 이메일이 정당한 발신자로부터 왔고, 중간에 변조되지 않았음을 검증합니다
공개키 암호화(Public Key Cryptography)를 사용합니다
SPF, DMARC와 함께 이메일 인증의 3대 표준을 구성합니다
왜 DKIM이 필요한가요?
이메일은 태생적으로 발신자를 검증하는 기능이 없습니다.
누구든 "보낸 사람" 필드에 아무 주소나 넣어서 이메일을 보낼 수 있습니다.
이를 이메일 스푸핑(Email Spoofing)이라고 합니다.
DKIM이 있을 때 | DKIM이 없을 때 |
|---|---|
수신 서버가 발신 도메인을 암호학적으로 검증 | 발신자 위조 여부를 판단할 수 없음 |
이메일 내용이 전송 중 변조되지 않았음을 보장 | 이메일이 중간에 변조되었는지 알 수 없음 |
발신 도메인의 평판(Reputation) 축적에 기여 | 스팸 발송자가 도메인을 사칭하여 평판 훼손 |
이메일 전달률(Deliverability) 향상 | 정상 이메일도 스팸으로 분류될 가능성 높음 |
DMARC, BIMI 같은 고급 인증 기술의 토대 | DMARC 정책 적용 불가 |
2024년부터 Google과 Yahoo는 대량 발송자(일 5,000통 이상)에게 SPF, DKIM, DMARC를 모두 필수로 요구합니다. DKIM이 없으면 이메일이 거부되거나 스팸으로 분류될 수 있습니다.
DKIM은 어떻게 작동하나요?
DKIM은 공개키 암호화를 사용합니다. 과정을 단계별로 살펴보겠습니다.
1단계: 키 쌍 생성
도메인 소유자가 개인키(Private Key)와 공개키(Public Key) 쌍을 생성합니다
개인키는 메일 서버에 안전하게 보관합니다
공개키는 DNS TXT 레코드로 공개합니다
2단계: 이메일 서명
이메일을 보낼 때, 발신 메일 서버가 개인키로 디지털 서명을 생성합니다
서명은 이메일 헤더와 본문의 특정 부분을 해시(Hash)한 값을 암호화한 것입니다
이 서명이 이메일 헤더의 DKIM-Signature 필드에 추가됩니다
3단계: 수신 서버 검증
수신 메일 서버가 이메일을 받으면, DKIM-Signature에서 발신 도메인과 셀렉터(Selector)를 확인합니다
해당 도메인의 DNS에서 공개키를 조회합니다
공개키로 서명을 복호화하고, 이메일 내용의 해시와 비교합니다
일치하면 PASS — 이메일이 진짜이고 변조되지 않았음이 확인됩니다
불일치하면 FAIL — 위조 또는 변조 가능성
DKIM vs SPF vs DMARC — 뭐가 다른가요?
이 세 가지는 이메일 인증의 서로 다른 부분을 담당합니다.
구분 | DKIM | SPF | DMARC |
|---|---|---|---|
핵심 질문 | "이메일이 변조되지 않았는가?" | "이 서버가 이 도메인으로 메일을 보낼 권한이 있는가?" | "인증 실패 시 어떻게 처리할 것인가?" |
검증 대상 | 이메일 콘텐츠 무결성 + 발신자 도메인 | 발신 서버 IP 주소 | SPF/DKIM 결과 + From 주소 정렬 |
작동 방식 | 공개키 암호화로 디지털 서명 | DNS에 허용 IP 목록 게시 | SPF/DKIM 결과에 따른 정책(none/quarantine/reject) 적용 |
DNS 레코드 | TXT (selector._domainkey.도메인) | TXT (도메인) | TXT (_dmarc.도메인) |
단독 사용 시 한계 | 인증 실패 시 처리 정책이 없음 | 이메일 내용 변조를 감지 못함 | SPF 또는 DKIM 없이는 작동 불가 |
비유: SPF는 "방문자 명단"(이 서버가 우리 대신 메일 보내도 돼?), DKIM은 "위조 방지 도장"(이 메일이 진짜고 변조 안 됐어?), DMARC는 "경비 지침"(명단에 없거나 도장이 가짜면 어떻게 해?)입니다. 세 가지가 함께 작동해야 완전한 보호가 됩니다.
DKIM 설정하는 법
대부분의 이메일 서비스(Google Workspace, Microsoft 365 등)는 DKIM 설정을 지원합니다.
1. 이메일 플랫폼에서 DKIM 활성화
Google Workspace, Microsoft 365, 또는 사용 중인 이메일 마케팅 도구의 관리자 설정에서 DKIM을 활성화합니다
플랫폼이 DKIM 키 쌍을 자동으로 생성해 줍니다
2. DNS에 공개키 레코드 등록
플랫폼이 제공하는 TXT 레코드를 도메인 DNS에 추가합니다
레코드 위치:
selector._domainkey.yourdomain.com예:
google._domainkey.trackit.so
3. 테스트 이메일 발송 및 확인
설정 후 테스트 이메일을 보내고, 이메일 헤더에서 DKIM 서명을 확인
Gmail에서는 "원본 보기"로
DKIM=PASS여부를 확인할 수 있습니다온라인 DKIM 검증 도구를 활용하면 더 쉽게 확인 가능
4. 서드파티 발송 서비스 설정
마케팅 이메일(Mailchimp, HubSpot 등), CRM, 고객 지원 도구 등 우리 도메인으로 이메일을 보내는 모든 서비스에 DKIM을 설정해야 합니다
각 서비스마다 별도의 DKIM 레코드가 필요할 수 있습니다
DKIM 설정 시 주의사항
❌ 하지 마세요 | ✅ 이렇게 하세요 |
|---|---|
DKIM만 설정하고 SPF, DMARC는 무시 | SPF + DKIM + DMARC 세 가지를 모두 설정 |
개인키를 안전하지 않은 곳에 저장 | 개인키를 보안이 확보된 서버에만 보관 |
한 번 설정하고 방치 | 정기적으로 키를 교체(Key Rotation)하고 DMARC 리포트 모니터링 |
메인 이메일만 설정하고 서드파티 서비스는 무시 | 우리 도메인으로 메일 보내는 모든 서비스에 DKIM 설정 |
DNS 전파 전에 서둘러 대량 발송 | DNS 전파 완료(최대 48시간) 확인 후 발송 시작 |
DKIM이 B2B 마케팅·영업에 미치는 영향
DKIM은 기술팀만의 문제가 아닙니다. 마케팅과 영업에 직접적인 영향을 줍니다.
이메일 전달률: DKIM이 없으면 콜드 이메일, 뉴스레터, 트리거 이메일이 스팸함으로 갈 확률이 높아집니다
도메인 평판: 누군가 우리 도메인을 사칭하면 도메인 평판이 훼손되고, 정상 이메일도 전달이 어려워집니다
고객 신뢰: 피싱 메일로 고객이 피해를 입으면 브랜드 신뢰가 심각하게 손상됩니다
법적 리스크: 이메일 인증 미비로 인한 보안 사고는 법적 책임으로 이어질 수 있습니다
B2B 아웃바운드 이메일을 보내는 영업팀이라면, DKIM 설정은 선택이 아니라 필수입니다. DKIM이 없는 도메인에서 콜드 이메일을 보내면, 메일이 도착하지 않을 뿐 아니라 도메인 평판까지 훼손하여 앞으로의 모든 이메일 전달에 악영향을 줍니다.
핵심 요약
항목 | 내용 |
|---|---|
DKIM이란 | 이메일에 디지털 서명을 추가하여 진위성과 무결성을 검증하는 이메일 인증 기술 |
작동 원리 | 공개키 암호화 — 개인키로 서명, 공개키(DNS)로 검증 |
SPF와의 차이 | SPF는 "누가 보냈는가(서버)", DKIM은 "변조되지 않았는가(콘텐츠)" |
DMARC와의 관계 | DMARC는 SPF/DKIM 결과를 기반으로 정책을 적용하는 상위 프레임워크 |
비유 | SPF = 방문자 명단, DKIM = 위조 방지 도장, DMARC = 경비 지침 |
필수인 이유 | 2024년부터 Google/Yahoo 대량 발송 필수 요건, 전달률·평판·보안에 직접 영향 |