공유 금고를 설계할 때 먼저 정할 기준
공유 금고는 팀이 함께 써야 하는 로그인 정보만 들어가는 장소여야 합니다. 모든 비밀번호를 한곳에 몰아넣는 방식은 편해 보여도 위험합니다. 어떤 자격 증명을 어디에 두어야 하는지 기준이 먼저 있어야 오프보딩과 감사가 쉬워집니다.
| 자격 증명 유형 | 권장 저장 위치 | 접근 대상 | 오프보딩 조치 |
|---|---|---|---|
| 개인 생산성 앱 | 개인 금고 | 본인만 | 회사 자산 여부만 확인 |
| 회계·광고·고객지원 공용 계정 | 팀 공유 금고 | 해당 팀 | 멤버십 회수 및 필요 시 비밀번호 변경 |
| 클라우드 관리자·도메인·결제 루트 | 관리자 전용 금고 | 지정 관리자 | 즉시 회전, 세션 종료 |
| 비상 복구 코드 | 비상 접근 금고 | 제한된 승인자 | 접근 기록 검토 |
1. 개인 금고와 공유 금고를 분리한다
업무 계정이라도 개인만 쓰는 계정과 팀이 이어받아야 하는 계정은 다릅니다. 예를 들어 개인 노트 앱, 개인 개발 환경, 개인 테스트 계정은 개인 금고에 두되, 회사 도메인 관리, 광고 계정, 결제 계정, 고객 지원 도구, 소셜 미디어, 서버 관리자 계정처럼 담당자가 바뀌어도 회사가 계속 써야 하는 계정은 공유 금고에 넣어야 합니다. 이 원칙이 없으면 퇴사 시 가장 큰 혼선이 생깁니다.
2. 공유 금고는 팀 단위와 업무 단위로 쪼갠다
모든 직원이 모든 비밀번호를 볼 수 있게 만드는 것은 공유 금고가 아니라 전사 노출입니다. 회계, 영업, 마케팅, 개발, 운영처럼 실제 업무 흐름에 맞춰 금고를 나누고, 각 금고마다 읽기 전용과 편집 권한을 다르게 설정해야 합니다. 소기업에서는 전 직원 공용 금고를 최소화하고, 꼭 필요한 항목만 넣는 것이 더 안전합니다.
3. 민감한 자격 증명은 관리자 전용 금고로 분리한다
클라우드 루트 계정, DNS, 결제 관리자, 생산 서버, 배포 키, 도메인 등록기관 같은 항목은 일반 공유 금고와 같은 수준으로 다루면 안 됩니다. 이런 정보는 관리자 전용 금고나 비상 대응용 금고로 분리하고, 접근자 수를 최소화해야 합니다. 또한 접속 후 변경 이력과 사용 사유를 남기는 절차가 필요합니다.
관리자 역할은 어떻게 나눠야 할까
비밀번호 관리자에서 가장 위험한 사용자는 외부 공격자만이 아닙니다. 잘못 설계된 관리자 권한도 큰 리스크입니다. 관리자 역할은 사람이 아니라 책임에 맞춰 설계해야 합니다.
| 역할 | 권장 권한 | 적합한 대상 | 주의할 점 |
|---|---|---|---|
| 전역 관리자 | 정책, 라이선스, 복구, SSO 설정 | 대표 또는 IT 책임자 2명 이상 | 일상 계정으로 사용하지 않기 |
| 팀 관리자 | 팀 금고 멤버 추가·삭제, 항목 구조 관리 | 부서 리더 | 전사 정책 변경 권한 제외 |
| 일반 사용자 | 필요 금고 보기·사용 | 실무자 | 내보내기·복구 권한 제한 |
| 감사·비상 승인자 | 비상 접근 승인, 로그 검토 | 경영진 또는 보안 담당 | 상시 사용 금지 |
2. 전역 관리자와 팀 관리자를 분리한다
모든 문제를 한 종류의 관리자 계정으로 해결하면 운영은 편해 보여도 사고 범위가 커집니다. 전역 관리자는 라이선스, 정책, SSO, 복구 설정만 담당하고, 일상적인 멤버 추가와 공유 금고 멤버십 관리는 팀 관리자에게 맡기는 구조가 현실적입니다. 소기업이라도 최소 2명의 전역 관리자를 두고, 한 사람에게만 복구 권한이 집중되지 않도록 해야 합니다.
3. 감사 로그와 비상 복구 권한을 문서화한다
누가 금고에 접근했고, 항목을 공유했는지, 내보냈는지, MFA를 재설정했는지 볼 수 있어야 합니다. 로그를 남기지 않으면 오프보딩 후에도 무엇을 바꿔야 하는지 판단하기 어렵습니다. 비상 복구 절차는 더 중요합니다. 대표 부재, 관리자 퇴사, MFA 분실 같은 상황에서 누가 어떤 순서로 계정을 복구할지 사전에 정리해야 합니다.
퇴사자 오프보딩에서 가장 많이 놓치는 부분
많은 회사가 퇴사 당일 이메일과 메신저만 끊고 끝냅니다. 하지만 비밀번호 관리자 오프보딩은 더 세밀해야 합니다. 핵심은 접근 차단과 회사 자격 증명 회수를 분리해서 보는 것입니다.
1. 퇴사 전에 회사용 자격 증명이 개인 보관 상태인지 확인한다
업무용 계정이 개인 금고에만 저장돼 있으면 퇴사 순간 인수인계가 막힐 수 있습니다. 그래서 오프보딩 때 갑자기 찾는 것이 아니라, 입사 온보딩 단계에서부터 회사 자격 증명은 반드시 지정된 공유 금고에 저장하도록 정책을 정해야 합니다. 퇴사 예정자가 생기면 담당 업무와 연결된 공유 항목, 소유한 폴더, 생성한 보안 노트를 먼저 확인해야 합니다.
2. 비활성화 후에는 세션 종료와 기기 연결 해제를 함께 한다
계정만 비활성화하고 기존 로그인 세션을 남겨두면 모바일 앱이나 브라우저 확장에서 계속 접근이 유지될 수 있습니다. 오프보딩 체크리스트에는 계정 비활성화, 활성 세션 종료, 신뢰 기기 제거, MFA 재설정 또는 회수, SSO 연결 해제를 한 묶음으로 넣는 것이 좋습니다.
3. 고위험 공유 비밀번호와 키는 즉시 교체한다
모든 비밀번호를 한꺼번에 바꾸는 것은 비현실적이지만, 고위험 항목은 예외입니다. 결제 시스템, 은행, 클라우드 관리자, VPN, 도메인, 소셜 관리자, CI/CD 토큰, API 키처럼 퇴사자 접근이 사업 운영에 직접 영향을 주는 항목은 우선순위를 정해 즉시 회전해야 합니다. 로그를 기준으로 실제 접근 여부를 확인하면 교체 범위를 더 정확히 정할 수 있습니다.
4. 오프보딩 후 24시간 안에 권한 검토를 끝낸다
퇴사자 계정만 지우고 팀 금고 멤버십, 그룹 동기화, 외부 공유 항목을 그대로 두면 보안 공백이 남습니다. 퇴사 후 24시간 안에 어떤 금고에서 제거됐는지, 관리자 역할이 남아 있지 않은지, 교체해야 할 비밀번호와 토큰이 완료됐는지 검토해야 합니다. 이 검토 결과는 인사와 IT가 함께 보관하는 것이 좋습니다.
소기업이 바로 적용할 수 있는 6단계 운영 순서
- 현재 사용하는 SaaS, 금융, 인프라, 소셜 계정을 목록화하고 개인 금고, 공유 금고, 관리자 금고로 분류한다.- 공유 금고를 부서별·업무별로 설계하고 전사 공용 금고는 최소 항목만 남긴다.- 전역 관리자, 팀 관리자, 일반 사용자의 권한 범위를 문서로 정하고 최소 2명의 전역 관리자를 지정한다.- 모든 사용자에게 강한 마스터 비밀번호 정책과 MFA를 적용하고, 가능하면 SSO와 자동 프로비저닝을 연동한다.- 입사 온보딩과 퇴사 오프보딩 체크리스트에 비밀번호 관리자 항목을 넣어 HR 프로세스와 연결한다.- 분기마다 감사 로그, 오래된 공유 항목, 비사용 계정, 고위험 비밀번호 회전 상태를 점검한다.이 순서는 작은 팀에서도 실행 부담이 낮습니다. 처음부터 완벽한 체계를 만들기보다, 회사가 계속 써야 하는 자격 증명을 회사가 통제하는 구조로 옮기는 것이 가장 큰 변화입니다.
자주 나오는 실수와 수정 방법
- 공유 금고를 메신저 대체품처럼 사용한다. 모든 계정을 넣기보다 업무 소유권 기준으로 나눠야 합니다.- 대표 한 사람에게만 복구 권한을 몰아준다. 휴가, 분실, 퇴사 상황을 생각하면 최소 2인 체계가 안전합니다.- 퇴사자 계정만 삭제하고 공유 항목 비밀번호는 그대로 둔다. 고위험 항목은 반드시 회전이 필요합니다.- 감사 로그를 보지 않는다. 누가 무엇을 공유하고 내보냈는지 모르면 사고 후 대응이 늦어집니다.- 브라우저 저장 비밀번호와 비밀번호 관리자를 동시에 방치한다. 저장 위치가 여러 곳이면 통제와 회수가 어려워집니다.
빠른 체크리스트
- □ 회사가 계속 써야 하는 계정은 모두 공유 금고 또는 관리자 금고에 저장되어 있다.- □ 전 직원이 모든 금고를 보는 구조가 아니라 역할별 접근만 허용된다.- □ 전역 관리자 수는 최소 2명이며, 일상 운영 권한과 정책 변경 권한이 분리돼 있다.- □ 모든 사용자에게 MFA가 적용되어 있고 복구 절차가 문서화돼 있다.- □ 오프보딩 시 세션 종료, 기기 해제, 그룹 제거, 비밀번호 회전 항목이 포함돼 있다.- □ 클라우드, 결제, 도메인, VPN, API 키 같은 고위험 항목은 별도 금고로 관리한다.- □ 분기마다 감사 로그와 오래된 공유 항목을 검토한다.
자주 묻는 질문
Q1. 공유 금고에 회사 비밀번호를 모두 넣어야 하나요?
아닙니다. 공유 금고에는 팀이 이어서 써야 하는 회사 자격 증명만 넣는 것이 원칙입니다. 개인 업무용 로그인이나 개인 메모까지 모두 공유하면 권한 범위가 과도하게 넓어집니다. 개인 금고, 팀 공유 금고, 관리자 금고를 분리해야 오프보딩과 감사가 쉬워집니다.
Q2. 소기업에서도 관리자 역할을 여러 개로 나눠야 하나요?
네. 직원 수가 적어도 권한 분리는 필요합니다. 정책 변경과 복구를 담당하는 전역 관리자, 팀 멤버십을 관리하는 팀 관리자, 실제 업무에만 접근하는 일반 사용자를 구분하면 실수와 내부 리스크를 줄일 수 있습니다. 핵심은 많은 역할이 아니라 명확한 책임 구분입니다.
Q3. 직원이 퇴사하면 공유 금고 비밀번호를 전부 바꿔야 하나요?
항상 전부 바꿀 필요는 없습니다. 다만 결제, 금융, 클라우드 관리자, 도메인, VPN, 서버, API 키처럼 고위험 항목은 즉시 교체하거나 토큰을 폐기하는 편이 안전합니다. 접근 로그와 역할을 함께 검토하면 실제 회전이 필요한 범위를 더 정확히 정할 수 있습니다.
정리
소기업 비밀번호 관리자 운영의 핵심은 누가 무엇을 영구적으로 통제해야 하는가를 분명히 하는 것입니다. 공유 금고는 소유권을 회사로 돌려놓는 장치이고, 관리자 역할 분리는 사고 범위를 줄이는 장치이며, 오프보딩은 그 체계가 실제로 작동하는지 검증하는 순간입니다. 도구를 깔끔하게 배치하고 권한과 절차를 단순하게 유지할수록 작은 팀은 더 안전해집니다.