이메일의 미래: 이메일 인증, 미래의 이메일이 의존할 신뢰 계층

이메일 인증: 이메일의 미래가 의존할 신뢰 계층

이메일은 항상 스푸핑 (Spoofing) 문제를 안고 있었습니다. 누구나 이메일의 "보낸 사람 (From)" 필드에 무엇이든 적을 수 있습니다. 이메일 역사의 대부분 동안 이는 관리 가능한 수준이었습니다. 주의 깊은 독자라면 약간 어색한 도메인 이름, 믿기 어려운 긴박함, 또는 어색한 문구와 같은 징후를 포착할 수 있었습니다. 하지만 AI (인공지능) 사용이 점점 더 광범위해짐에 따라, 우리가 이메일을 사용하는 방식이 변하고 있습니다.

AI 어시스턴트 (AI assistants)는 점점 더 사용자를 대신하여 이메일을 읽고, 요약하고, 실행하고 있습니다. AI 필터 (AI filters)는 어떤 메시지가 받은 편지함에 도달할지에 대해 중대한 결정을 내리고 있습니다. 이러한 세상에서는 "메시지가 도착했는가?"보다 "우리가 실제로 그것이 어디에서 왔는지 검증할 수 있는가?"가 훨씬 더 중요합니다. 그 질문에 대한 답은 대부분의 이메일 사용자가 생각해 볼 이유조차 없었던, 하지만 조용히 모든 것의 토대가 되어가고 있는 일련의 표준들에 달려 있습니다.

이메일 인증이란 무엇인가?

이메일 인증은 서로 맞물려 있는 세 가지 표준인 SPF, DKIM, DMARC로 구성됩니다. SPF는 메시지를 보내는 서버가 해당 도메인을 대신하여 메시지를 보낼 권한이 있는지 확인합니다. DKIM은 각 메시지에 암호화된 서명 (Cryptographic signature)을 첨부하여 수신 서버가 전송 과정에서 메시지가 변경되지 않았음을 확인할 수 있도록 합니다. DMARC는 이 두 가지를 하나로 묶어 메시지가 해당 검사를 통과하지 못했을 때 수신 서버가 어떻게 해야 할지(거부, 격리 또는 통과)를 알려줍니다.

이들은 함께 작동하여 여러분의 받은 편지함이 은행이나 고용주로부터 왔다고 주장하는 메시지가 실제로 그곳에서 온 것인지 판단할 수 있게 해줍니다. 이들이 없다면, 스푸핑된 메시지는 정당한 메시지와 구별할 수 없습니다. 이것이 새로운 문제는 아니지만, 우리가 이메일과 상호작용하는 방식이 변화함에 따라 훨씬 더 큰 문제가 되고 있습니다.

AI가 여기에 미치는 영향

두 가지 종류의 AI가 이제 이메일 경험의 표준 기능이 되고 있습니다. 첫 번째는 AI 필터링 (AI filtering)입니다. 무엇이 스팸인지, 무엇이 피싱인지, 그리고 무엇이 당신의 주의를 끌 가치가 있는지를 결정하는 시스템입니다. 이러한 시스템은 수년 동안 존재해 왔지만, 현대적인 버전은 훨씬 더 뛰어난 능력을 갖추고 있으며, 인증 (authentication) 결과는 이들이 결정을 내리는 방식에 있어 점점 더 핵심적인 입력값 (input)이 되고 있습니다.

두 번째는 AI 보조 (AI assistance)입니다. 받은 편지함을 요약하고, 실행 항목을 찾아내며, 답장을 초안하고, 어떤 경우에는 당신을 대신하여 작업을 수행하는 도구들입니다. Fastmail에서 이것이 어떻게 구현되어 있는지 투명하게 밝힐 가치가 있습니다. 우리는 당신의 받은 편지함에 AI를 통합하지 않았으며, 당신의 메일은 백그라운드에서 모델에 의해 처리되지 않습니다. 우리의 MCP 서버는 당신이 명시적인 권한 부여를 통해 원하는 AI 클라이언트를 연결하고자 할 때 사용할 수 있는 단순한 API 엔드포인트 (API endpoint)일 뿐이며, 연결하지 않는다면 아무것도 변하지 않습니다.

하지만 더 넓은 이메일 환경 전반에 걸쳐, 받은 편지함에서 자율적으로 작동하는 AI 비서들이 점점 더 흔해지고 있습니다. 바로 이 지점에서 인증 (authentication)이 결정적인 역할을 하게 됩니다. 의심스러운 이메일을 읽는 사람은 발신자의 도메인에 문자가 하나 더 추가되었거나, 요청 내용 중 무언가 이상하다는 점을 알아차릴 수도 있습니다. 하지만 실행이 필요한 항목을 찾기 위해 받은 편지함을 스캔하는 AI 비서는 그러한 사항들을 확인하기 위해 속도를 늦추지 않을 수 있습니다. AI는 콘텐츠를 읽고, 긴급성을 파악하며, 그에 따라 행동합니다. 만약 그 메시지가 현재 많은 AI 생성 피싱 (AI-generated phishing) 사례처럼 설득력 있는 사칭 (spoof)이라면, 인증 (authentication)은 해당 메시지가 당신의 우편함에 도달하기 전에 이를 차단해야 하는 안전장치입니다.

인증은 인프라가 되고 있습니다

2024년 초, Google과 Yahoo는 대량 발송자(bulk senders)가 신뢰할 수 있는 전달을 보장받기 위한 조건으로 DMARC를 적절히 구성하도록 요구하기 시작했습니다. 이는 인증(authentication)을 발송자가 우선순위를 낮출 수 있는 요소에서, 편지함(inbox)에 도달하기 위한 기본적인 전제 조건으로 전환시켰습니다. 이는 웹에서 HTTPS가 따랐던 것과 동일한 궤적입니다. 즉, 권장 사항(best practice)으로 시작하여, 기대 사항(expectation)이 되고, 결국 인프라(infrastructure)가 된 것입니다. 브라우저 주소창의 자물쇠 아이콘이 실제로 무엇을 의미하는지 이해하지 못하더라도, 웹사이트를 볼 때 자물쇠가 없으면 무시할 수 없는 경고 신호라는 점은 아마 배우게 되었을 것입니다. 이메일 인증도 같은 방향으로 나아가고 있습니다.

이러한 토대 위에 새로운 표준들이 구축되고 있습니다. BIMI는 인증된 발송자가 지원되는 편지함에 자신의 로고를 직접 표시할 수 있게 해주는데, 이는 AI로 생성된 피싱(phishing)을 콘텐츠만으로는 식별하기가 그 어느 때보다 어려워진 시대에 작지만 의미 있는 시각적 신뢰 신호가 됩니다. DKIM의 설계는 실험적인 ARC 사양(specification)에서 얻은 교훈을 바탕으로 재검토되고 있으며, 복잡한 이메일 흐름에 대한 변경 사항을 추적하고 귀속(attribute)함으로써 필터링 시스템이 악성 콘텐츠의 출처를 파악하고 잘못된 당사자의 평판(reputation)을 해치는 것을 방지할 수 있도록 하고 있습니다.

그렇긴 하지만, 인증만으로는 완전한 해결책이 될 수 없습니다. 인증은 도메인 신원(domain identity)을 확인하는 것이지, 의도(intent)를 확인하는 것이 아니기 때문입니다. 설득력 있는 유사 도메인(look-alike domain)을 사용하고 DMARC 레코드를 적절히 구성한 사기꾼은 여전히 발송자 인증 검사를 통과할 것입니다. 그러나 인증은 사칭(impersonation)의 비용과 복잡성을 크게 높이며, 이는 이메일의 미래가 더욱 자동화됨에 따라 더욱 중요해집니다.

미래의 편지함은 우리 대부분이 오늘날 사용하는 것보다 더 빠르고, 더 똑똑하며, 더 강력한 기능을 갖추게 될 것입니다. 인증은 그 미래를 단순히 편리하게 만드는 것이 아니라 신뢰할 수 있게 유지해 주는 역할을 합니다. 표준들은 수년간 성숙해 왔으며, 이제 이메일이 더욱 자동화됨에 따라 그 토대 위에 계속해서 구축해 나가는 것이 현재의 과제입니다.

이메일은 사라지지 않습니다

모두에게 이메일이 필요합니다. 은행은 명세서를 보내고, 의사는 예약 정보를 보내며, 그 외 모든 사이트는 비밀번호 재설정 메일을 보내는 곳이 바로 이메일입니다. 누구나 이메일을 사용합니다. 특정 기술의 지속 가능성을 보여주는 가장 좋은 지표는 그것이 얼마나 오랫동안 존재해 왔는가이며, 이메일은 아주 오랫동안 존재해 왔습니다! Fastmail은 미래의 이메일을 뒷받침할 표준을 개발하는 데 앞장서고 있으며, 우리는 모두를 위해 상황을 더 개선하고자 이메일과 함께 계속해서 진화해 나갈 것입니다.