Domain Keys

도메인 키(DomainKeys)는 이메일 발신자의 도메인을 확인하고 메시지 무결성을 보장하기 위해 설계된 이메일 인증 방법이다. 2004년 야후(Yahoo)에서 개발했으며, 현재 널리 사용되는 DKIM(DomainKeys Identified Mail)의 전신이라고 할 수 있다.

도메인 키는 이메일 보안의 중요한 이정표였으며, 현대 이메일 인증 기술 발전에 중요한 역할을 했다. 비록 현재는 DKIM으로 대체되었지만, 도메인 키가 도입한 공개 키 암호화 방식은 오늘날 이메일 인증의 핵심 원칙으로 남아있다. 이메일 사용자는 이러한 기술 덕분에 더욱 안전한 통신 환경을 누릴 수 있게 되었다.

작동 원리

도메인 키는 공개 키 암호화 방식을 사용한다.
이 시스템은 다음과 같이 작동한다:

  1. 발신 서버는 개인 키(private key)를 사용하여 발송되는 이메일에 디지털 서명을 추가한다.
  2. 이 서명은 이메일 헤더에 “DomainKey-Signature” 필드로 포함된다.
  3. 발신 도메인은 DNS 레코드에 공개 키(public key)를 게시한다.
  4. 수신 서버는 발신자의 DNS에서 공개 키를 조회한다.
  5. 수신 서버는 이 공개 키를 사용하여 서명을 검증하고, 메시지가 실제로 해당 도메인에서 전송되었는지 확인한다.

이 과정을 통해 다음 두 가지를 확인할 수 있다:

  • 메시지가 실제로 발신자 도메인에서 발송되었는지 여부 (인증)
  • 전송 과정에서 메시지가 변조되지 않았는지 여부 (무결성)

도메인 키의 역사적 발전

도메인 키는 이메일 스푸핑(spoofing)과 피싱(phishing) 공격에 대응하기 위해 개발되었다.
그 발전 과정은 다음과 같다:

  1. 2004년: 야후가 도메인 키 개념을 처음 제안
  2. 2005년: 시스코(Cisco)가 유사한 기술인 IIM(Identified Internet Mail)을 개발
  3. 2006년: 도메인 키와 IIM이 통합되어 DKIM(DomainKeys Identified Mail)이 탄생
  4. 2007년: DKIM이 IETF(Internet Engineering Task Force)에 의해 표준화 작업 시작
  5. 2009년: RFC 5585로 DKIM이 공식 표준으로 채택

도메인 키와 DKIM의 차이점

도메인 키와 DKIM은 유사하지만 몇 가지 중요한 차이점이 있다:

  1. 헤더 필드: 도메인 키는 “DomainKey-Signature” 헤더를 사용하지만, DKIM은 “DKIM-Signature” 헤더를 사용한다.
  2. 서명 알고리즘: DKIM은 더 많은 해시 알고리즘을 지원한다.
  3. 표준화: DKIM은 IETF에 의해 공식적으로 표준화되었지만, 도메인 키는 그렇지 않았다.
  4. 확장성: DKIM은 도메인 키보다 더 많은 확장 기능을 제공한다.

도메인 키 구현의 기술적 세부 사항

도메인 키를 구현하기 위해서는 다음과 같은 기술적 요소가 필요하다:

  1. 키 생성:

    1
2
3
4
5

    # 개인 키 생성 예시
openssl genrsa -out private.key 1024

# 공개 키 생성 예시
openssl rsa -in private.key -pubout -out public.key

  2. DNS 레코드 설정: 공개 키는 발신 도메인의 DNS TXT 레코드에 게시된다.

    1

    selector._domainkey.example.com. IN TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8yPAEDV…"

  3. 이메일 서명: 발신 메일 서버는 개인 키를 사용하여 이메일 본문과 특정 헤더 필드에 서명한다.

  4. 서명 검증: 수신 메일 서버는 발신자의 DNS에서 공개 키를 조회하고 이를 사용하여 서명을 검증한다.

도메인 키의 한계점

도메인 키는 혁신적인 기술이었지만 몇 가지 한계점이 있다:

  1. 표준화 부족: 초기에는 업계 표준으로 완전히 채택되지 못했다.
  2. 구현 복잡성: 일부 소규모 조직에서는 구현이 복잡했다.
  3. 전달된 메일: 메일이 전달될 때 원래 서명이 무효화될 수 있었다.
  4. 호환성 문제: 모든 메일 서버가 도메인 키를 지원하지는 않았다.

현대 이메일 인증에서의 위치

도메인 키는 DKIM으로 발전하면서 현대 이메일 인증 체계의 중요한 부분이 되었다. 현재 이메일 인증은 주로 다음과 같은 세 가지 기술의 조합으로 이루어진다:

  1. SPF(Sender Policy Framework): 어떤 메일 서버가 특정 도메인 이름으로 이메일을 보낼 수 있는지 확인
  2. DKIM(DomainKeys Identified Mail): 도메인 키의 후속 기술로, 메시지 인증 및 무결성 제공
  3. DMARC(Domain-based Message Authentication, Reporting, and Conformance): SPF와 DKIM 결과를 바탕으로 정책 실행 및 보고

이 세 기술을 함께 사용하면 이메일 스푸핑과 피싱을 상당히 효과적으로 방지할 수 있다.

용어 정리

용어설명

참고 및 출처