왜 중소기업에 비밀번호 관리자 정책이 필요한가
중소기업은 대기업보다 시스템이 단순해 보이지만, 실제로는 더 취약한 경우가 많습니다. 한 사람이 여러 역할을 맡고, 긴급 대응을 위해 계정을 빠르게 공유하고, 문서화되지 않은 예외가 계속 쌓이기 때문입니다. 이때 비밀번호 관리자를 도입해도 운영 원칙이 없으면 보관 위치만 바뀐 공유 메모장이 되기 쉽습니다.
- 공유 계정 남용: 결제, 광고, 호스팅, 도메인, 고객 지원 도구처럼 여러 사람이 만지는 계정은 가장 먼저 통제해야 합니다.- 퇴사자 잔여 접근: 퇴사 후에도 공유 볼트에 남아 있거나 복구 이메일, MFA 백업코드에 접근 가능한 상태가 자주 발생합니다.- MFA 예외 확대: 업무가 급하다는 이유로 관리자 계정에 SMS만 걸어 두거나 아예 MFA를 끄는 순간 위험이 커집니다.- 감사 불가능: 누가 언제 비밀번호를 봤고 어떤 계정이 회전되었는지 기록이 없으면 사고 후에도 원인을 좁히기 어렵습니다.결국 비밀번호 관리자 모범 사례의 핵심은 저장이 아니라 권한 구조, 변경 절차, 검토 주기를 만드는 데 있습니다. 조직 규모가 작을수록 이 원칙은 더 간단하고 강하게 설계해야 합니다.
도입 전에 정해야 할 4가지 운영 원칙
- 개인 계정과 업무 계정을 분리합니다. 개인 로그인을 회사 볼트에 섞어 넣기 시작하면 퇴사 시점에 권한 회수가 불가능해집니다. 회사가 비용을 내는 서비스는 가능하면 업무용 이메일 기반 계정으로 재정비해야 합니다.- 공유 볼트는 역할별로 최소 권한만 부여합니다. 전 직원 전체 접근은 편하지만 위험합니다. 마케팅, 재무, 운영, 개발, 경영진처럼 역할별 볼트로 나누고 필요한 사람만 접근하도록 설계해야 합니다.- 모든 공유 계정에는 소유자를 지정합니다. 비밀번호를 저장한 사람이 아니라 계정 운영 책임자를 정해야 합니다. 소유자가 있어야 회전 주기, 라이선스 관리, 퇴사자 접근 차단을 누가 할지 명확해집니다.- 예외는 구두가 아니라 절차로 관리합니다. 외주사, 대행사, 임시 관리자처럼 예외 접근이 필요할 수 있습니다. 이때는 만료일, 승인자, 사용 목적을 남기고 기간이 끝나면 즉시 제거해야 합니다.이 네 가지 원칙만 지켜도 비밀번호 관리자는 단순 편의 도구에서 운영 통제 시스템으로 바뀝니다. 특히 소유자 지정과 최소 권한은 오프보딩 속도를 크게 높여 줍니다.
공유 볼트를 설계하는 5단계
- 먼저 계정 인벤토리를 만듭니다. 결제 수단이 연결된 계정, 고객 데이터가 있는 계정, 인프라 계정, 소셜 로그인 계정부터 우선순위를 매깁니다. 중요한데 아직 누가 관리하는지 모르는 계정이 가장 위험합니다.- 볼트를 업무 기능 기준으로 나눕니다. 부서명보다 실제 사용 목적을 기준으로 나누는 편이 낫습니다. 예를 들어 재무 결제, 광고 운영, 인프라 관리자, 공용 소셜 채널처럼 구성하면 권한 범위를 설명하기 쉽습니다.- 민감도에 따라 보기 권한과 편집 권한을 구분합니다. 모든 사람이 비밀번호를 복사할 수 있게 두지 말고, 가능하면 자동 입력만 허용하거나 편집 권한을 소수에게 제한하세요.- 공유 항목마다 소유자와 대체 책임자를 붙입니다. 대표 한 명만 알고 있는 구조도 위험합니다. 휴가나 퇴사 상황을 고려해 대체 책임자를 지정해 두어야 운영이 멈추지 않습니다.- 월 1회 검토 루틴을 넣습니다. 사용하지 않는 계정, 퇴사자와 외주사 접근, 오래된 비밀번호, MFA 미설정 항목을 짧게라도 점검해야 합니다.
공유 볼트의 목표는 누구나 쉽게 찾는 것이 아니라 필요한 사람만 필요한 순간에 쓰는 것입니다. 이 기준이 명확하면 직원 이동이 있어도 운영이 흔들리지 않습니다.볼트 유형 담아야 할 항목 접근 권한 검토 주기 재무/결제 볼트 은행, 카드, 회계, 청구, 세금 서비스 재무 담당자와 승인권자만 매월 운영 도구 볼트 CRM, 고객지원, 프로젝트 관리, 내부 툴 해당 팀 중심 월 1회 인프라 관리자 볼트 클라우드, 도메인, 호스팅, 배포, 관리자 패널 최소 인원만 변경 시 즉시와 월 1회 대행사/외주 전용 볼트 광고 플랫폼, 디자인 툴, 소셜 미디어 등 제한 공유 항목 기간 제한된 외부 인력 프로젝트 종료 시 즉시
직원 온보딩과 오프보딩 절차를 비밀번호 관리자에 연결하는 방법
온보딩 시 해야 할 일
- 입사자의 역할에 맞는 볼트만 기본 배정하고 관리자 권한은 첫날 자동 부여하지 않습니다.- 비밀번호 관리자 계정 생성 직후 MFA 등록을 완료하게 하고 백업 방법까지 확인합니다.- 공유 계정 사용 규칙, 비밀번호 생성 규칙, 개인용 볼트와 업무용 볼트 구분 기준을 짧은 체크리스트로 안내합니다.- 민감한 계정은 관리자 승인 후 접근되도록 해 일단 다 열어두는 방식을 막습니다.
오프보딩 시 해야 할 일
- 퇴사 통보 즉시 접근 목록을 확인합니다. 어떤 공유 볼트와 관리자 계정에 접근 중인지 먼저 파악해야 합니다.- 퇴사 시점에 볼트 접근을 제거합니다. 단순히 이메일 계정을 끄는 것만으로 끝내면 안 됩니다. 비밀번호 관리자 자체 접근과 공유 링크, 비상 접근 권한까지 함께 끊어야 합니다.- 중요 계정 비밀번호를 회전합니다. 클라우드 콘솔, 도메인, 결제 계정, 회계 서비스, 관리자 이메일은 우선순위로 즉시 변경해야 합니다.- MFA 등록 기기를 재검토합니다. 퇴사자의 휴대전화, 인증 앱, 보안키가 아직 등록된 상태인지 확인하고 제거합니다.- 복구 수단을 바꿉니다. 백업 이메일, 복구 코드, 비상 연락처가 퇴사자 정보로 남아 있으면 실제로는 접근이 살아 있는 것입니다.- 감사 로그를 남깁니다. 언제 접근을 제거했고 어떤 계정을 회전했는지 기록해 두면 나중에 분쟁이나 사고 조사에 유용합니다.오프보딩의 핵심은 계정 삭제가 아니라 접근 경로 전체를 닫는 것입니다. 비밀번호, MFA, 복구 수단, 공유 링크 네 가지를 함께 봐야 진짜 회수가 끝납니다.
MFA를 실제로 작동하게 만드는 운영 기준
MFA는 켜는 것보다 제대로 운영하는 것이 더 중요합니다. 중소기업에서는 한두 개 관리자 계정만 예외로 남겨도 전체 리스크가 커집니다. 따라서 MFA 정책은 계정 중요도에 따라 차등 적용하되 예외는 최소화해야 합니다.
- 관리자 계정과 결제 계정은 MFA 의무: 클라우드, 도메인, 결제, 회계, 광고 관리자 계정은 예외 없이 보호해야 합니다.- SMS보다 인증 앱 또는 보안키 우선: 가능하다면 TOTP 앱이나 하드웨어 보안키를 우선 사용하세요. SMS는 최후의 대안이어야 합니다.- 백업 코드는 별도 보호: 백업 코드를 공유 볼트에 둘 수는 있지만 일반 계정과 같은 볼트에 무분별하게 넣으면 우회 경로가 됩니다. 민감 계정은 별도 제한 볼트에 보관하는 편이 안전합니다.- 공유 계정의 MFA 소유권을 명확히: 누가 인증 앱을 관리하는지, 팀 변경 시 누가 이전받는지 절차가 있어야 합니다.- 분실 시 복구 경로 테스트: 보안키 분실, 휴대전화 교체, 담당자 부재 상황에서 어떻게 복구할지 분기별로 한 번은 확인해야 합니다.
MFA를 문서에만 적어 두지 말고 입사 체크리스트와 퇴사 체크리스트에 각각 포함시켜야 실제로 지켜집니다. 정책과 운영 루틴이 분리되면 반드시 예외가 누적됩니다.계정 유형 권장 MFA 방식 메모 클라우드/도메인 관리자 보안키와 백업 TOTP 가장 우선순위가 높음 재무/결제 계정 TOTP 또는 보안키 복구 이메일도 함께 점검 일반 SaaS 협업 도구 TOTP SSO가 가능하면 장기적으로 전환 고려 외부 대행사 공유 계정 기간 제한된 TOTP 프로젝트 종료 즉시 회수
중소기업이 자주 하는 실수와 더 나은 대안
- 실수: 공유 볼트를 잡동사니 보관함처럼 쓰는 것. 대안: 볼트 목적을 명확히 정하고 더 이상 쓰지 않는 항목은 월 1회 정리합니다.- 실수: 한 명에게만 마스터 권한을 몰아주는 것. 대안: 소유자와 대체 책임자를 지정해 단일 실패 지점을 줄입니다.- 실수: 퇴사 후 비밀번호만 바꾸면 끝이라고 생각하는 것. 대안: MFA 기기, 복구 이메일, 백업코드, 공유 링크까지 함께 점검합니다.- 실수: 외주사에 내부 볼트를 그대로 열어 주는 것. 대안: 별도 외부 협업 볼트를 만들고 만료일과 승인자를 남깁니다.- 실수: 너무 복잡한 정책을 만드는 것. 대안: 1페이지 운영 원칙, 월간 검토표, 오프보딩 체크리스트처럼 작고 반복 가능한 절차로 단순화합니다.보안 수준은 도구가 아니라 반복 가능한 습관에서 나옵니다. 작은 조직일수록 지킬 수 있는 규칙을 먼저 만들고 필요할 때만 정교하게 확장하는 편이 현실적입니다.
30일 실행 체크리스트
- 모든 관리자 계정과 결제 계정에 MFA를 적용했다.- [ ] 공유 계정을 업무용 이메일 기준으로 정리했다.- [ ] 공유 볼트를 역할별로 다시 나누고 소유자를 지정했다.- [ ] 퇴사자 오프보딩 절차에 비밀번호 회전과 MFA 제거 단계를 추가했다.- [ ] 외주사와 대행사 접근을 별도 볼트로 분리했다.- [ ] 월 1회 접근 검토 일정과 담당자를 정했다.이 체크리스트만 완료해도 중소기업의 계정 보안 성숙도는 크게 올라갑니다. 이후에는 SSO, SCIM 프로비저닝, 감사 리포트 자동화 같은 상위 통제를 순차적으로 검토하면 됩니다.
FAQ
개인용 무료 비밀번호 관리자를 업무에 써도 되나요?
권장되지 않습니다. 업무용 계정은 소유권, 감사 로그, 권한 회수, 공유 볼트 관리가 가능해야 하므로 팀 기능이 있는 비즈니스 플랜이 더 안전합니다. 무료 개인용 도구는 오프보딩과 관리 책임 추적이 어렵습니다.
공유 볼트에 MFA 백업 코드를 같이 저장해도 되나요?
가능하지만 같은 계정 비밀번호와 동일한 범위로 공개하면 우회 경로가 될 수 있습니다. 민감한 관리자 계정의 백업 코드는 제한된 별도 볼트나 더 좁은 권한 그룹에서 관리하는 편이 좋습니다.
퇴사 직후 가장 먼저 바꿔야 할 것은 무엇인가요?
클라우드, 도메인, 결제, 회계, 관리자 이메일처럼 연쇄 피해가 큰 계정부터 우선 회전해야 합니다. 동시에 퇴사자의 MFA 기기, 복구 이메일, 백업코드 접근을 함께 제거해야 오프보딩이 완결됩니다.