BIMI 구현 완벽 가이드 2026
BIMI 구현을 위한 공식 기술 레퍼런스. SVG Tiny P/S 규격, DMARC 적용 요구사항, VMC vs. CMC 인증서 현황, DNS 레코드 구조, 그리고 완전한 구현 체크리스트.
BIMI의 정의와 중요성
Brand Indicators for Message Identification (BIMI)는 DMARC 이후 이메일 분야에서 가장 중요한 신뢰 지표입니다. 도메인 소유자는 Gmail, Yahoo, Apple Mail 등에서 발송하는 모든 메시지에 암호학적으로 검증된 브랜드 로고를 표시할 수 있습니다.
이것은 단순한 시각적 기능이 아닙니다. BIMI는 다층적이고 엄격한 인증 체인의 시각적 결과물입니다. 위조할 수 없습니다. 기본적인 보안 요구사항을 우회하여 구매할 수도 없습니다. 바로 이 점이 로고에 의미를 부여합니다: 이는 검증된 노력의 증거입니다.
BIMI는 2021년 7월 IETF에 의해 RFC 9091로 공식화되었으며, Gmail, Yahoo, Apple, Fastmail, Cloudmark 연합체인 AuthIndicators Working Group이 관장합니다. 모든 주요 이메일 서비스 제공업체가 이 표준을 채택했습니다.
BIMI는 엄격한 도메인 보안에 대한 시각적 보상입니다. DMARC를 적용하지 않으면 SVG가 아무리 완벽해도 로고가 표시되지 않습니다.
SVG Tiny P/S 표준 — 엄격한 제한의 이유
BIMI는 일반 SVG 파일을 허용하지 않습니다. 이메일 렌더링 환경을 위해 특별히 정의된 의도적으로 제한적인 XML 프로파일인 SVG Tiny P/S (Portable/Secure)를 요구합니다.
이메일 클라이언트는 수백만 발신자의 신뢰할 수 없는 콘텐츠와 함께 샌드박스 환경에서 BIMI 로고를 렌더링합니다. 표준 SVG는 스크립트 실행, 외부 리소스 로딩, 임의의 바이너리 데이터 임베딩이 가능한 강력한 형식입니다. 이메일 환경에서 이러한 기능은 공격 벡터가 됩니다.
W3C SVG Tiny P/S 프로파일은 다음을 명시적으로 금지하여 이러한 벡터를 제거합니다:
요소 및on*이벤트 핸들러 — 이메일 클라이언트를 통한 악성 코드 삽입 방지태그 및 내장 비트맵 데이터 — 추적 픽셀 및 래스터 데이터 임베딩 방지. 이 금지는 절대적입니다.- 상대적 치수 (
width="100%") — 레이아웃 공격 방지 - CSS
@import규칙 및 외부 스타일시트 — CSS 기반 부채널 공격 방지 - 애니메이션 — 주의 분산 및 타이밍 기반 공격 방지
필수 구조적 요구사항
- 루트
는version="1.2"및baseProfile="tiny-ps"선언 필수 - 정사각형
viewBox(1:1 종횡비) 필수 - 전체 캔버스를 덮는 불투명한 단색 배경
필수 요소 필수- 유효하고 올바른 형식의 XML
<svg xmlns="http:class="hl-cmt">//www.w3.org/2000/svg"
version="1.2"
baseProfile="tiny-ps"
viewBox="0 0 100 100">
<title>Brand Logo</title>
<rect width="100" height="100" fill="class="hl-cmt">#ffffff"/>
<!-- Pure vector paths only -->
</svg>
makeBIMI의 자가 복구 엔진은 모든 요구사항을 자동으로 적용합니다. 래스터 업로드(PNG, JPG)의 경우, Sharp 전처리 후 Potrace 트레이싱을 수행하는 실제 벡터화 파이프라인을 실행하여 내장 픽셀이 전혀 없는 순수한 요소를 생성합니다.
DMARC 전제조건 — 협상 불가능한 기반
이메일 서비스 제공업체가 BIMI 레코드를 인정하기 전에, 도메인은 완전히 적용된 DMARC 정책을 보유해야 합니다.
p=none— 모니터링 전용. BIMI가 렌더링되지 않습니다.p=quarantine— 실패한 메시지가 스팸으로 전송됨. BIMI가 렌더링될 수 있습니다.p=reject— 실패한 메시지가 거부됨. BIMI가 렌더링됩니다. VMC 기반 표시를 위해 Gmail에서 필수.
<h1 id="correct-dmarc-record-for-bimi-eligibility" class="md-h1">Correct DMARC record for BIMI eligibility</h1>
_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com;"
도메인 감사 도구를 사용하여 DMARC 상태를 즉시 확인하세요.
인증서 현황 — 2026년 VMC vs. CMC
Verified Mark Certificate (VMC)
등록 상표를 기반으로 Entrust 또는 DigiCert에서 발급합니다. 공식 Gmail 파란색 체크마크를 활성화합니다. Gmail 표시에 필수. 적합한 대상: 기업, 상장회사, 기존 상표 등록이 있는 브랜드.
Common Mark Certificate (CMC)
상표가 필요 없습니다. 도메인 소유권과 로고 연관성을 검증합니다. Yahoo Mail, Apple Mail, Fastmail에서 허용됩니다. 적합한 대상: 스타트업, 중소기업, 크리에이터, VMC를 향해 성장 중인 모든 브랜드.
결론: Gmail이 주요 타겟이라면 VMC가 필요합니다. VMC를 향해 준비하면서 광범위한 커버리지를 원한다면 CMC로 시작하세요.
DNS 레코드
default._bimi.example.com IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/cert.pem"
v=BIMI1— 버전 태그l=— 로고 URI: SVG Tiny P/S 파일에 대한 공개 접근 가능한 HTTPS URLa=— 권한 증거 위치: VMC 또는 CMC 인증서 PEM 파일에 대한 HTTPS URL
호스팅 및 인프라 요구사항
- 유효한 TLS 인증서 (자체 서명 불가)
- HTTP
200 OK및Content-Type: image/svg+xml - SVG URL에 인증 없음
- CDN 호스팅 강력 권장
- 파일 크기 32 KB 미만
구현 체크리스트
- 모든 인가된 발신 IP에 대해 SPF 레코드가 게시되고 통과함
- From 도메인에 정렬된
d=태그로 DKIM 서명 활성화됨 - DMARC 정책이
p=quarantine또는p=reject이며pct=100임 - SVG Tiny P/S 파일이 생성, 검증되고 HTTPS로 호스팅됨
- VMC 또는 CMC 인증서가 획득되고 HTTPS로 호스팅됨
- BIMI DNS TXT 레코드가
default._bimi.yourdomain.com에 게시됨 - 도메인 감사 도구를 사용하여 레코드 검증됨
- Gmail 또는 Yahoo로 종단간 테스트 이메일을 발송하여 로고 표시 확인함