계약서는 회사의 핵심 자산인 동시에 규제 대상 문서다. 클라우드 기반 협업 도구를 쓸 때 계약서 업로드 전 보안 확인은 선택이 아닌 필수 절차다. 보관 경로부터 접근 통제, 암호화까지 체크하지 않으면 데이터 유출, 무단 수정, 규정 위반으로 이어질 수 있다. 지금 바로 확인해야 할 포인트를 정리했다.
빠른 판단 포인트
- 계약서 저장할 폴더가 공개 공간이 아닌지 확인했는가
- 접근 가능한 사람 목록을 파악하고 승인했는가
- 업로드 시스템이 전송 중 암호화(TLS/SSL)를 적용하는지 확인했는가
체크리스트
- 보관 경로가 팀 공유 폴더인지, 전사 공개 폴더인지, 제한된 폴더인지 확인
- 폴더별 접근 권한 정책이 문서화되어 있는지 확인
- 계약서 다운로드, 편집, 공유 권한을 누가 가지고 있는지 리스트업
- 파일 업로드 후 자동 백업이나 버전 관리 설정 상태 확인
- 시스템 로그에 접근 이력이 기록되는지 확인
- 저장소가 해외 서버에 위치하는 경우 국내 규제 영향 여부 검토
핵심포인트
원인과 문제 상황
많은 팀이 협업 도구의 기본 설정을 그대로 쓰다 보니 계약서가 의도치 않게 광범위한 사람에게 노출된다. 보관 경로 점검 없이 업로드하면 누가 접근할 수 있는지 파악하기 어렵고, 나중에 권한을 수정하기도 복잡하다. 특히 외부 협력사와 공동 작업하는 경우 불필요한 정보 노출로 이어질 수 있다.
자주 놓치는 포인트
첫째, 폴더 수준의 권한과 파일 수준의 권한이 다를 수 있다는 점을 간과한다. 폴더는 제한되어 있어도 특정 파일만 공개로 설정되면 보안이 무너진다. 둘째, 임시 공유 링크를 만들고 만료 기한을 설정하지 않는 경우가 많다. 협업이 끝나도 링크가 계속 유효하면 누군가 접속할 수 있다. 셋째, 시스템 관리자가 배경 규칙을 설정했더라도 사용자가 개별적으로 권한을 변경했을 가능성을 확인하지 않는다.
먼저 볼 승인 기준
계약서 업로드 승인 전에 담당자에게 다음을 확인받아야 한다. 보관 폴더가 승인된 경로인지, 해당 폴더의 접근 권한이 현재 팀 구성과 일치하는지, 파일 수정 권한은 누가 가질 필요가 있는지, 다운로드 제한 여부를 정했는지 여부다. 이를 문서로 남겨 나중에 감시 대상이 되었을 때 증거 자료로 쓸 수 있다.
대응 절차
- 상황 확인: 계약서를 업로드할 클라우드 저장소에 접속해 보관 경로가 어디인지 파악한다. 현재 폴더의 공개 범위를 확인하고, 접근 가능한 사람 목록을 스크린샷이나 리포트로 기록한다.
- 영향 범위 파악: 이미 같은 경로에 올라간 다른 문서들이 있다면 각각의 접근 권한을 확인한다. 계약서 외에 다른 민감한 정보도 노출되어 있지 않은지 검토한다.
- 우선 조치: 계약서 업로드 전에 폴더 권한을 정정해야 한다면 IT 또는 시스템 담당팀에 요청한다. 임시 공유 링크를 만든 경우 만료 기한을 명시적으로 설정한다.
- 내부 확인: 법무나 컴플라이언스 팀에 보관 경로와 접근 범위를 알려 문제 없는지 검토받는다. 동시에 문서 관리 정책에 이번 경로가 합치하는지 확인한다.
- 후속 대응: 계약서 업로드 후 1주일 내에 접근 로그를 확인해 예상치 못한 접근이 있었는지 검토한다. 정기적으로 권한을 재검토하는 일정을 팀 캘린더에 기록한다.
공식 정보 확인 안내
사용 중인 클라우드 서비스의 보안 및 컴플라이언스 문서를 확인하고, 조직의 문서 관리 정책 및 정보보호 지침을 검토하기 바랍니다. 필요시 IT 보안팀이나 법무팀과 미리 상담하는 것이 좋습니다.
자주 묻는 질문 FAQ
Q1. 폴더 권한과 파일 권한이 다르면 어느 쪽이 우선인가
클라우드 서비스마다 정책이 다르므로 사용 중인 플랫폼의 규칙을 확인해야 한다. 보통 더 제한적인 설정이 우선 적용된다. 예를 들어 폴더는 팀원에게만 공개되어 있어도 특정 파일이 전사 공개로 설정되면 모두가 접근할 수 있을 수 있다. 따라서 폴더와 파일 권한을 동시에 확인하는 습관을 들이는 것이 안전하다.
Q2. 외부 협력사와 계약서를 공유할 때 보관 경로는 어떻게 정해야 하는가
외부 협력사에게 공유할 경로는 별도로 구성하거나, 공유 폴더를 따로 만드는 방식을 권장한다. 회사 내부 계약서를 모두 보관하는 폴더에 외부인 접근을 허용하면 의도치 않은 정보 노출이 생길 수 있다. 공유 기간을 정해두고, 협업 종료 후 해당 협력사의 접근 권한을 즉시 회수해야 한다.
Q3. 계약서를 여러 팀에 공유해야 할 경우 어떻게 관리해야 하는가
각 팀의 실제 필요 범위만 공개하는 원칙을 적용한다. 전체 계약서를 한 폴더에 두고 모두 공개하기보다는, 관련된 팀별로 접근할 수 있는 폴더를 나누거나 특정 파일만 공유하는 방식을 검토해보자. 접근 권한 목록을 분기별로 재검토해 불필요한 접근 권한이 남아 있지 않은지 확인하는 프로세스도 필요하다.
Q4. 계약서를 클라우드에 올리지 말고 로컬 저장소만 써야 하는 건 아닌가
협업, 버전 관리, 접근 통제, 자동 백업 등의 이유로 클라우드 사용이 필수인 경우가 많다. 로컬 저장소만 쓰면 관리 리스크가 오히려 높아질 수 있다. 문제는 보관소 선택이 아니라 보안 설정이다. 클라우드를 쓰더라도 계약서 업로드 전 보안 확인 절차를 거치면 위험을 크게 줄일 수 있다.
이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.