DNS 레코드 최적화로 $2.77B 규모의 Email Compromise 위협 차단

Lazy SRE's guide to secure systems, part 4: the four DNS records

Harshit Luthra2026년 5월 18일10분intermediate

AI 요약

Context

SPF의 include: 체인을 통한 타사 도메인 신뢰 위임 구조가 가진 보안 취약점 분석. 외부 계약업체 도메인 만료 후 공격자가 해당 도메인을 재등록하여 합법적인 발신 권한을 탈취하는 SubdoMailing 공격 방식의 한계점을 식별.

SPF 레코드의 ~all(Soft-fail) 설정을 -all(Hard-fail)로 변경하여 비인가 발신 메일의 즉각적인 거부 유도
SPF의 10-DNS-lookup 제한을 초과하여 발생하는 permerror 및 이에 따른 SPF 무력화 방지를 위한 정기적 룩업 감사 수행
RSA-1024 비트의 암호학적 취약점을 해결하기 위해 RSA-2048 표준 기반의 DKIM Public Key 적용 및 Selector를 통한 무중단 Key Rotation 설계
DMARC 정책을 p=none에서 시작하여 p=reject 및 sp=reject로 단계적 상향함으로써 SPF/DKIM 실패 시 수신 서버의 처리 방침 강제
Aggregate Report 분석을 통해 인지하지 못한 Third-party 발신 경로를 식별하고 화이트리스트를 정교화하는 Feedback Loop 구축

실천 포인트

1. SPF 레코드 내 `include:` 대상 도메인의 소유권 및 유효성을 분기별로 감사

2. SPF 룩업 횟수가 10회를 초과하는지 dmarcian 등 도구를 통해 검증

3. DKIM Key 길이를 2048비트로 유지하고 Selector 기반의 순환 교체 전략 수립

4. DMARC 정책을 `p=none` → `p=quarantine` → `p=reject` 순으로 점진적으로 적용

태그