美 국립표준기술연구소(NIST)는 이메일 보안 가이드 2차 개정판 초안(NIST SP800-177: Trustworthy Email)을 발표했다. 근 10년만의 업데이트다. 개정판 초안은 이메일 보안 강화를 위한 권장 사항을 소개하고 있다. 대상은 기업 이메일 관리자, 정보보안 전문가, 네트워크 관리자로, 최종판이 완성되면 미국 연방 IT 시스템은 이 가이드를 적용해야 된다. NIST는 가이드가 중소기업이나 조직들에게도 유용하게 사용될 수 있다고 밝혔다.
가이드는 이메일 보안 강화를 위한 프로토콜과 기술을 중점적으로 소개한다. 발신자와 수신자 모두에게 해당되는 이메일 스푸핑 공격과 이메일 콘텐트 노출 위험을 줄이는 방법, DNS, PKI 이메일 보안 활용법도 설명한다. 주요 내용은 다음과 같다:
- 1장: 개요, 소개
- 2장: 주요 이메일 프로토콜, MTA, MUA, 이메일 암호화
- 3장: 피싱, DoS 등 이메일 서비스 관련된 위협
- 4장: 발송자 인증에 사용 가능한 프로토콜과 기술. SPF, DKIM, DMARC
- 5장: server-to-server, end-to-end 이메일 인증, 메시지 콘텐츠 기밀성. TLS, S/MIME, OpenPGP 권
- 6장: 도메인으로 발송되는 스팸, 피싱, 악성 이메일 처리 방법
- 7장: 사용자 교육, IMAP, POP
NIST는 이번 달 말까지 공공의 의견을 접수한 후 최종판을 발표할 예정이다. 94장의 가이드는 완전히 새롭거나 크게 달라진 내용은 없지만 시스템 관리자라면 이메일 보안 점검 리마인더나 체크리스트로 유용하게 사용될 수 있다고 NIST는 강조했다.
출처: NIST 가이드(PDF)