'메일 보내서 확인하자'가 왜 위험하냐면요
회원가입 폼에서 이메일을 받을 때, '이게 진짜 살아있는 주소인가'를 확인하고 싶은 마음, 개발하다 보면 다들 한 번씩 들거든요. 가짜 주소로 가입하면 나중에 알림 메일도 못 보내고, 통계도 지저분해지니까요. 그런데 이걸 확인하는 제일 게으른 방법이 하나 있어요. 바로 '일단 메일 한 통 쏴보고, 안 튕겨 나오면 살아있는 거겠지' 하는 방식이에요.
여기서 한 발 더 나가면, 아예 가입 환영 메일이나 마케팅 뉴스레터를 곧바로 보내버리는 서비스도 많아요. 진짜 문제는 누군가 내 이메일 주소를 자기 것처럼 입력했을 때 터져요. 오타로 잘못 친 경우도 있고, 장난으로 남의 주소를 넣는 경우도 있거든요. 'hong@gmail.com'을 쓰려다 'hng@gmail.com'을 쳤다고 해볼게요. 그럼 그 메일은 가입한 적도 없는 엉뚱한 사람에게 날아가고, 받는 사람 입장에선 영락없는 스팸이에요. '확인'을 핑계로 스팸을 보낸 셈이 되는 거죠.
그럼 어떻게 확인하는 게 맞냐면요
이메일 검증은 여러 단계로 쪼개서 생각하면 훨씬 깔끔해져요.
첫 번째는 문법 검사(syntax validation) 예요. '@'가 들어있는지, 도메인 형식이 맞는지 정규식 같은 걸로 보는 거죠. 메일을 한 통도 안 보내고 코드만으로 즉시 끝나요. 다만 'test@test.com'처럼 형식만 맞고 실제론 없는 주소도 통과하니까 이것만으론 부족하죠.
두 번째는 MX 레코드 확인이에요. 이게 뭐냐면, 해당 도메인에 '메일 받는 서버'가 등록돼 있는지 DNS에 물어보는 거예요. 'gmail.com'은 당연히 메일 서버가 있지만, 오타로 친 'gmial.com' 같은 도메인은 받는 서버 자체가 없을 수 있거든요. 이것도 메일은 안 보내고 DNS 조회만으로 끝나요.
세 번째가 진짜 핵심인 더블 옵트인(double opt-in) 이에요. 가입할 때 '확인 메일'을 딱 한 통만 보내고, 그 안의 링크를 눌러야만 가입이 진짜로 완료되는 방식이죠. 여기서 절대 잊으면 안 되는 게, 링크를 누르기 전까지는 어떤 마케팅 메일도, 알림도 보내면 안 된다는 거예요. 확인 메일 한 통이 전부여야 해요. 그래야 엉뚱한 사람한테 메일이 가도 '난 가입한 적 없는데?' 하고 무시하면 그걸로 깔끔하게 끝나거든요.
업계에서는 이걸 어떻게 다루냐면요
더블 옵트인은 누가 갑자기 발명한 게 아니라, 메일 업계가 수십 년간 욕먹어가며 정착시킨 표준이에요. 미국의 CAN-SPAM 법, 유럽의 GDPR, 그리고 한국의 정보통신망법까지 하나같이 '동의하지 않은 사람에게 광고성 메일을 보내면 불법'이라고 못 박고 있거든요. 한국은 특히 정보통신망법에서 영리 목적 광고성 정보를 보내려면 사전 수신 동의를 받도록 하고 있어서, 확인도 안 된 주소로 마케팅 메일을 쏘는 건 법적으로도 위험해요.
SendGrid, Mailgun, AWS SES 같은 발송 서비스들도 '확인 안 된 주소로 막 보내면 너희 발송 평판(sender reputation)이 깎인다'고 경고해요. 발송 평판이 뭐냐면, 메일 서버들이 '이 발신자가 믿을 만한가'를 점수처럼 매겨두는 건데요, 이게 떨어지면 정작 보내야 할 중요한 메일까지 죄다 스팸함으로 직행해버려요. 결국 게으른 검증이 자기 발등을 찍는 셈이죠.
한국 개발자에게 주는 시사점
새 서비스 회원가입 흐름을 짤 때, '메일이 도달하나 안 하나'로 검증하려는 유혹을 버리는 게 좋아요. 대신 문법 검사 → MX 확인까지는 가입 폼에서 즉시 처리하고, 최종 확인은 더블 옵트인 링크 한 통으로 끝내는 구조가 깔끔하고 안전하거든요. 특히 B2C 서비스라면 정보통신망법 위반 소지까지 피할 수 있고, 발송 평판도 지킬 수 있어요. 사소해 보여도 사용자가 받는 첫인상을 좌우하는 부분이라 신경 쓸 가치가 충분해요.
한 줄 정리
이메일 검증은 '메일을 보내서' 하는 게 아니라, 보내기 전에 형식과 도메인을 확인하고, 단 한 통의 확인 메일로 동의를 받는 것이에요. 여러분은 회원가입 만들 때 이메일 검증을 어디까지 하고 계세요? 더블 옵트인, 실제로 적용해보셨나요?
🔗 출처: Hacker News