AI 요약
2026년 2월 12일, IT 전문가 Ian Atha는 유럽의 주요 핀테크 인프라인 Viva.com의 회원 가입 과정에서 중대한 기술적 결함을 발견하고 이를 보고했습니다. 구글 워크스페이스를 사용하는 기업용 이메일로 가입을 시도할 경우, Viva.com이 발송하는 인증 이메일이 'Message-ID' 헤더가 없다는 이유로 구글 서버에서 즉시 거부(Bounced)되는 현상이 확인되었습니다. 이는 2008년 제정된 RFC 5322 및 2001년 RFC 2822 표준을 위반한 것으로, 현대적인 이메일 보안 정책 하에서는 스팸 처리조차 되지 않고 삭제됩니다. 저자는 개인용 Gmail 계정으로 우회하여 가입에 성공했으나, 비즈니스 결제 플랫폼이 정작 기업용 이메일 수신을 보장하지 못하는 모순적인 상황을 지적했습니다. 특히 Viva.com 고객 지원팀은 상세한 기술적 증거를 제출했음에도 불구하고, 사용자가 가입에 성공했다는 이유만으로 해당 버그를 무시하는 무책임한 대응을 보였습니다.
핵심 인사이트
- 표준 위반: Viva.com은 2008년부터 필수 사양이었던 인터넷 메시지 포맷 규격인 RFC 5322를 준수하지 않고 'Message-ID' 헤더를 누락한 채 이메일을 발송하고 있습니다.
- 기술적 차단: 구글 워크스페이스 서버는 해당 이메일을 에러 코드 550 5.7.1과 함께 즉각 거부하며, 이는 스팸 폴더로 이동하는 것이 아니라 서버 단에서 수신이 완전히 차단됨을 의미합니다.
- 부실한 대응: 2026년 2월 12일 보고된 버그 리포트에 대해 Viva.com 지원팀은 "계정이 인증되었으므로 문제가 없다"는 답변을 내놓으며 엔지니어링 단계로의 에스컬레이션을 거부했습니다.
주요 디테일
- 장애 대상: 커스텀 도메인을 사용하는 구글 워크스페이스(Google Workspace) 사용자에게 주로 발생하며, 개인용 @gmail.com 계정은 상대적으로 유연한 필터링 정책 덕분에 수신이 가능한 것으로 확인되었습니다.
- 검증 도구: 저자는 구글 워크스페이스의 'Email Log Search' 기능을 활용하여 이메일이 수신되지 않는 원인이
550-5.7.1 Messages missing a valid Message-ID header임을 기술적으로 증명했습니다. - 핀테크 신뢰도: 유럽 최대 결제 대행사 중 하나임에도 불구하고, 가장 기본적인 이메일 라이브러리 표준조차 지키지 않는 인프라의 부실함이 노출되었습니다.
- 우회 수단: 사용자는 비즈니스 결제 서비스 가입을 위해 선호하는 업무용 이메일을 포기하고 개인용 이메일 주소를 사용해야 하는 불편을 겪었습니다.
향후 전망
- 공론화의 영향: HackerNews 등 개발자 커뮤니티의 토론 결과가 업데이트됨에 따라, Viva.com이 기술 부채를 인정하고 이메일 전송 인프라를 수정할 가능성이 높습니다.
- 보안 정책 강화: 구글과 같은 대형 이메일 서비스 제공업체들이 RFC 표준 준수 여부를 더욱 엄격하게 검사함에 따라, 오래된 발송 시스템을 유지하는 다른 기업들도 유사한 가용성 문제에 직면할 것입니다.
출처:hackernews