퇴사자 계정 회수 체크리스트는 조직이 정보보호와 운영 안정성을 지키기 위해 반드시 실행해야 하는 절차다. 계정을 제때 회수하지 않으면 데이터 유출, 무단 접근, 규제 위험이 발생할 수 있다. 이 글은 실무자가 퇴사자 발생 시 빠르고 누락 없이 계정을 정리할 수 있도록 정리했다.
빠른 판단 포인트
- 퇴사 확정 시점부터 계정 회수 절차를 시작해야 한다. 인수인계 완료까지 기다리면 중요 데이터나 권한이 남아 있을 수 있다.
- 이메일, 클라우드 스토리지, 메신저, SaaS 툴, VPN, 내부 시스템 등 모든 계정을 종류별로 분류해서 점검해야 누락을 줄일 수 있다.
- 계정 회수 후에도 공유 폴더, 위임된 권한, 외부 협력사 계정 접근 권한 등이 남아 있는지 확인하는 단계가 필수다.
체크리스트
- 계정 회수 담당자 지정 및 HR, 보안팀, IT팀 간 연락처 확인
- 이메일 계정 비활성화, 메일 자동 전달 설정 확인 및 제거
- 클라우드 스토리지(드라이브, 박스 등) 접근 권한 제거 및 소유 파일 이관 처리
- 메신저, Slack, Teams 등 업무 채팅 계정 접근 차단 및 채팅 내역 보관 확인
- SaaS 도입 현황 파악 및 각 서비스별 계정 비활성화 또는 삭제
- VPN, 원격 접근 도구 계정 회수 및 액세스 로그 삭제 여부 정책 확인
- 내부 시스템 접근 권한 회수(ERP, 인사 관리 시스템, 재무 시스템 등)
- 위임된 캘린더, 메일함 접근 권한 해제
- 외부 협력사, 고객사에서 부여한 계정 접근 권한 정리 요청
- 모바일 기기, 노트북 등에 저장된 로그인 정보 삭제 확인
- 계정 회수 완료 후 모든 절차를 문서화하고 서명
핵심포인트
계정 정리 절차에서 자주 놓치는 포인트
조직에서 계정 회수를 부분적으로만 진행하는 경우가 많다. 주요 이메일과 내부 시스템만 끄고 SaaS 도구나 외부 협력사 접근 권한은 그대로 둔다. 또는 계정 비활성화 후 며칠 지나서야 공유 폴더 접근 권한이 남아 있다는 것을 발견하곤 한다. 이런 상황은 데이터 유출 경로가 될 수 있다.
조직 규모별 검토 포인트
소규모 조직은 계정 목록이 명확하지 않을 수 있다. 퇴사자가 어떤 외부 SaaS를 사용했는지, 어떤 협력사 시스템에 접근했는지 파악하기 어려울 수 있다. 이 경우 퇴사자의 메일 계정에서 가입 확인 메일이나 결제 알림을 확인해서 사용 중인 서비스를 찾을 수 있다. 중규모 이상 조직은 IT 자산 관리 도구나 IAM(Identity and Access Management) 시스템을 통해 계정을 일괄 조회하는 방식을 먼저 검토해야 한다.
공개 여부에 따른 리스크
퇴사자 이름으로 생성된 구글 드라이브, GitHub, Notion, Figma 등 공개 계정이 있으면 문제다. 이 계정에 팀 프로젝트나 고객 자료가 저장되어 있으면 접근 권한을 정리하는 것으로 끝나지 않는다. 인수인계 담당자 계정으로 소유권을 이전하거나 팀 공유 계정으로 마이그레이션해야 한다.
회수 우선순위 기준
퇴사자의 직무 민감도에 따라 우선순위를 나눈다. 개발자, 재무팀, 법무팀 등 시스템 접근 권한이 높거나 민감 정보를 다루는 직무는 퇴사 확정과 동시에 계정을 회수한다. 일반 사원은 인수인계 기간 동안 제한된 권한으로 계정을 유지할 수도 있다. 하지만 계정 정리 절차 자체는 모든 퇴사자에게 동일하게 적용해야 한다.
대응 절차
- 상황 확인
HR 부서로부터 퇴사 확정 통보를 받으면 퇴사자의 직무, 보직, 시스템 접근 권한 수준을 파악한다. 재직 기간, 담당 프로젝트, 외부 협력사와의 관계도 확인한다. - 영향 범위 파악
퇴사자가 사용한 모든 계정을 나열한다. 회사에서 제공한 이메일, 노트북, 휴대폰은 물론 SaaS 서비스, 클라우드 스토리지, 메신저, VPN, 내부 시스템, 외부 협력사 시스템까지 포함한다. 담당 부서별로 확인해서 누락을 최소화한다. - 우선 조치
비밀번호를 변경하거나 초기화해서 퇴사자가 로그인하지 못하도록 한다. 이메일 자동 전달 설정을 제거한다. 중요 시스템(결제, 인사, 재무)은 즉시 접근을 차단한다. - 내부 확인
퇴사자 계정이 소유한 파일, 폴더, 문서, 프로젝트를 조회한다. 다른 팀 구성원이 접근해야 하는 중요 자료가 있으면 소유권을 이전한다. 팀 공유 폴더와 개인 폴더를 구분해서 정리한다. - 후속 대응
모든 계정 회수 완료 후 체크리스트에 체크 표시하고 날짜와 담당자를 기록한다. 외부 협력사나 고객사에도 계정 비활성화 사실을 알린다. 3개월 뒤 회수된 계정이 다시 활성화되지 않았는지 확인한다.
공식 정보 확인 안내
소속 조직의 정보보호 정책, 계정 관리 규정, 퇴직 매뉴얼을 우선 확인해야 한다. SaaS 도구나 클라우드 서비스를 사용 중이면 해당 서비스의 계정 삭제, 권한 위임, 데이터 이관 정책을 각각 확인하고 진행하길 권장한다.
자주 묻는 질문 FAQ
Q1. 퇴사자 메일 계정을 완전히 삭제해도 되나?
메일 계정을 완전히 삭제하기 전에 중요 메일이나 첨부 파일이 있는지 내부 정책에 따라 확인해야 한다. 일정 기간 보관 후 삭제하는 조직도 있고, 소유권을 이전해서 임시 관리 계정으로 유지하는 조직도 있다. 조직 내 정책과 법적 보존 기간 요구사항을 먼저 검토하고 진행한다.
Q2. 퇴사자가 공유 폴더에 저장한 파일은 어떻게 처리하나?
공유 폴더는 팀 자산이므로 개인 소유가 아니다. 퇴사자 개인 폴더와 구분해서 팀 폴더의 경우 그대로 유지하고, 개인 폴더는 부서장이나 인수인계 담당자에게 소유권을 이전한다. 클라우드 스토리지 서비스마다 소유권 이전 절차가 다르므로 해당 서비스의 안내를 확인해야 한다.
Q3. 외부 협력사에 빌려준 계정 접근 권한을 어떻게 확인하나?
퇴사자가 외부 협력사나 고객사 시스템에 대한 접근 권한을 가진 경우가 있다. 협력사 담당자에게 해당 계정의 비활성화나 권한 정리를 요청해야 한다. 인수인계 단계에서 협력사 접근 권한 목록을 미리 정리하면 퇴사 후 조치가 수월하다.
Q4. SaaS 도구가 너무 많으면 어떻게 해야 하나?
조직에서 사용 중인 모든 SaaS를 파악하지 못할 수도 있다. 이 경우 퇴사자의 메일 계정에서 수신한 서비스 가입, 결제, 알림 메일을 확인해서 사용 중인 서비스를 찾을 수 있다. 중규모 이상 조직이면 SaaS 관리 플랫폼이나 IT 자산 관리 도구 도입을 검토해서 전체 서비스 현황을 파악하는 방식도 있다.
이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.