팀용 비밀번호 관리자는 이런 혼선을 줄여 주는 좋은 도구지만, 도입만으로 보안이 해결되지는 않습니다. 소기업에 정말 필요한 것은 공유 금고 구조, MFA 강제 정책, 그리고 퇴사자 오프보딩 절차를 하나의 운영 체계로 묶는 일입니다. 이 세 가지가 연결되어야 회사가 계속 써야 하는 자격 증명을 회사가 통제하고, 사람 변화가 생겨도 접근 권한을 빠르게 회수할 수 있습니다.
공유 금고는 편의가 아니라 소유권 기준으로 설계해야 한다
공유 금고의 핵심은 많이 공유하는 것이 아니라 정확하게 공유하는 것입니다. 회사가 계속 써야 하는 계정은 개인 금고가 아니라 회사가 통제하는 위치에 있어야 하고, 모든 직원이 모든 계정을 보는 구조는 피해야 합니다. 아래 기준으로 분류하면 운영과 오프보딩이 훨씬 쉬워집니다.
| 자격 증명 유형 | 권장 보관 위치 | 접근 대상 | 오프보딩 시 조치 |
|---|---|---|---|
| 개인 업무용 로그인 | 개인 금고 | 해당 직원 | 회사 자산 여부만 확인 |
| 팀 공용 SaaS 계정 | 부서별 공유 금고 | 해당 팀 멤버 | 멤버 제거 후 필요 시 비밀번호 변경 |
| 결제, 도메인, 클라우드 관리자 | 관리자 전용 금고 | 지정 관리자만 | 즉시 회전 및 세션 종료 |
| 복구 코드, 백업 코드, 비상 키 | 비상 접근 금고 | 승인된 최소 인원 | 접근 기록 검토 후 재발급 |
1. 개인 금고와 공유 금고를 섞지 않는다
직원이 혼자 쓰는 업무용 계정과 회사가 계속 써야 하는 계정은 성격이 다릅니다. 예를 들어 개인 메모 앱, 개인 테스트 계정, 개인 개발 도구는 개인 금고에 둘 수 있지만 광고 계정, 고객지원 도구, 도메인 관리, 결제 서비스, 소셜 미디어, 서버 관리자 계정은 반드시 공유 금고 또는 관리자 금고에 있어야 합니다. 이 구분이 없으면 퇴사 시 인수인계가 막힙니다.
2. 공유 금고는 부서와 업무 흐름 기준으로 나눈다
전사 공용 금고 하나에 모든 비밀번호를 넣는 방식은 관리가 아니라 노출입니다. 회계, 영업, 마케팅, 운영, 개발처럼 실제 업무 흐름에 맞춰 금고를 쪼개고, 각 금고마다 보기 권한과 편집 권한을 분리하는 것이 좋습니다. 소기업일수록 전 직원 공용 금고는 최소화하고, 정말 모두가 써야 하는 항목만 남겨야 합니다.
3. 최고 위험 자격 증명은 별도 금고로 분리한다
클라우드 루트 계정, DNS, 결제 관리자, 서버 배포 키, VPN, API 키, 백업 코드 같은 항목은 일반 공유 금고와 같은 수준으로 다루면 안 됩니다. 이런 항목은 관리자 전용 금고 또는 비상 접근 금고에 따로 보관하고, 접근 가능한 인원을 최소화해야 합니다. 누가 언제 왜 접근했는지 남길 수 있는 로그 정책도 함께 필요합니다.
MFA 강제는 선택 기능이 아니라 기본 정책이다
공유 금고 구조가 자격 증명의 위치를 통제한다면, MFA는 계정 탈취 가능성을 줄이는 핵심 방어선입니다. 비밀번호 관리자를 도입하면서도 MFA를 선택 사항으로 두는 회사가 많지만, 소기업은 오히려 예외 없이 강제하는 편이 안전합니다. 사용자가 적을수록 예외 한 명이 전체 리스크가 되기 쉽기 때문입니다.
| MFA 수단 | 보안 수준 | 운영 적합성 | 권장 여부 |
|---|---|---|---|
| 보안 키 | 매우 높음 | 관리자, 재무, 인프라 계정에 적합 | 최우선 권장 |
| 인증 앱 | 높음 | 대부분의 직원에게 적용 가능 | 기본 권장 |
| 이메일 코드 | 보통 | 복구 용도로만 제한적 사용 | 예외적 허용 |
| 문자 메시지 | 낮음 | SIM 스와프 위험 존재 | 가급적 비권장 |
1. 비밀번호 관리자 자체에 MFA를 필수로 건다
소기업은 먼저 비밀번호 관리자 로그인에 MFA를 의무화해야 합니다. 그다음 결제, 회계, 클라우드, 도메인, 고객 데이터 접근 계정처럼 중요한 서비스에도 별도로 MFA를 적용해야 합니다. 비밀번호 관리자만 보호하고 내부의 고위험 계정을 평문 비밀번호 수준으로 남겨 두면 절반만 막은 셈입니다.
2. 가능하면 인증 앱 또는 보안 키를 기본값으로 둔다
실무적으로는 인증 앱이 가장 보편적이고, 고위험 계정은 보안 키까지 쓰는 방식이 좋습니다. 문자 인증은 편하지만 피싱과 번호 탈취에 상대적으로 약합니다. 최소한 관리자, 재무 담당자, 인프라 접근자, 대표 계정은 문자 인증만으로 운영하지 않는 것이 안전합니다.
3. 예외 계정과 복구 절차를 함께 문서화한다
직원이 휴대폰을 교체하거나 인증 앱을 잃어버리는 상황은 반드시 생깁니다. 그래서 MFA 강제 정책에는 복구 담당자, 백업 코드 보관 위치, 신뢰 기기 제거 절차, 관리자 승인 기준이 함께 포함되어야 합니다. 예외를 허용하더라도 누가 승인하고 언제 해제되는지 기록하지 않으면 정책은 금방 무너집니다.
직원 오프보딩은 24시간 안에 접근 차단과 자격 증명 회전까지 끝내야 한다
퇴사자 오프보딩에서 가장 흔한 실수는 계정 비활성화만 하고 끝내는 것입니다. 실제로는 공유 금고 멤버십 제거, 활성 세션 종료, 신뢰 기기 해제, MFA 재설정, 고위험 비밀번호 회전이 한 세트로 움직여야 합니다.
- 퇴사 시점에 맞춰 비밀번호 관리자 계정과 회사 이메일, SSO 접근을 동시에 차단합니다.
- 모든 공유 금고, 그룹, 관리자 역할에서 퇴사자를 즉시 제거합니다.
- 브라우저 확장, 모바일 앱, 신뢰 기기, 기존 세션을 강제로 종료합니다.
- 퇴사자가 보거나 내보낼 수 있었던 고위험 자격 증명과 API 키를 우선 회전합니다.
- 해당 직원이 관리하던 항목, 보안 노트, 복구 코드의 소유권을 후임자에게 이전합니다.
- 24시간 안에 접근 제거 결과와 교체 완료 항목을 인사 및 운영 기록에 남깁니다.
특히 결제 시스템, 은행, 클라우드 관리자, 도메인 등록기관, 광고 계정, 소셜 관리자, VPN, CI/CD 토큰은 비밀번호를 그대로 두면 안 됩니다. 모든 계정을 한꺼번에 바꾸기 어렵다면 위험도 순으로 우선순위를 정해 회전하고, 누가 어떤 범위를 완료했는지 체크리스트로 남겨야 합니다.
소기업이 자주 하는 실수
- 공유 금고를 메신저 대체품처럼 사용해 모든 계정을 한곳에 넣습니다.
- MFA를 권장만 하고 강제하지 않아 예외 사용자가 계속 남습니다.
- 대표나 한 명의 관리자에게만 복구 권한을 몰아줍니다.
- 퇴사자 계정은 지우지만 세션 종료와 비밀번호 회전은 놓칩니다.
- 브라우저 저장 비밀번호와 비밀번호 관리자를 동시에 방치합니다.
빠른 운영 체크리스트
- □ 회사가 계속 써야 하는 계정은 모두 공유 금고 또는 관리자 금고에 저장되어 있다.
- □ 전 직원이 모든 금고를 보는 구조가 아니라 역할별 접근만 허용된다.
- □ 비밀번호 관리자 로그인에는 예외 없이 MFA가 적용되어 있다.
- □ 관리자와 재무, 인프라 계정은 인증 앱 또는 보안 키를 사용한다.
- □ 오프보딩 시 세션 종료, 기기 해제, 금고 제거, 비밀번호 회전이 포함된다.
- □ 분기마다 오래된 계정, 미사용 공유 항목, 관리자 권한을 점검한다.
FAQ
공유 금고 하나만 만들어서 전 직원이 같이 쓰면 안 되나요?
권장되지 않습니다. 그렇게 하면 접근 범위가 필요 이상으로 넓어지고, 누가 어떤 계정을 실제로 써야 하는지 통제가 어려워집니다. 공유 금고는 부서와 업무 기준으로 나누고, 회사 전체 공용 금고는 최소 항목만 두는 편이 오프보딩과 감사에 유리합니다.
MFA를 문자 인증으로만 운영해도 충분한가요?
일반 계정의 임시 대안으로는 가능할 수 있지만 기본 정책으로 두기에는 약합니다. 인증 앱이 더 안전하고, 관리자나 재무, 인프라 계정은 가능하면 보안 키까지 고려하는 것이 좋습니다. 중요한 것은 MFA를 선택 사항이 아니라 강제 정책으로 운영하는 것입니다.
퇴사자 계정만 비활성화하면 비밀번호를 바꾸지 않아도 되나요?
항상 그렇지는 않습니다. 퇴사자가 실제로 보거나 내보낼 수 있었던 공유 비밀번호, 백업 코드, API 키, 관리자 자격 증명은 우선 회전해야 합니다. 특히 결제, 도메인, 클라우드, VPN, 서버 접근처럼 사업 운영에 직접 연결된 항목은 즉시 교체하는 편이 안전합니다.