조직에서 공유 계정을 운영하면 접근 통제와 감시 추적성 양쪽 모두 약해진다. 누가 어떤 작업을 했는지 기록이 남지 않고, 계정 권한이 퇴직자에게도 그대로 남을 수 있으며, 비정상 접근을 감지하기 어렵다. 공유 계정 사용 점검표를 먼저 정리해 현재 상태를 객관적으로 파악한 뒤, 개인 계정 전환 기준을 설정하는 단계별 접근이 필요하다.
빠른 판단 포인트
- 공유 계정이 몇 개인지, 어느 시스템에서 쓰이는지 목록을 만들지 못했으면 지금부터 시작해야 한다
- 공유 계정 비밀번호를 엑셀, 종이, 메신저에 남겨두거나 주기적으로 변경하지 않으면 보안 사건 대응 때 증거 추적이 불가능해진다
- 팀원 이직이나 부서 이동 시 공유 계정 접근 권한을 정리하는 절차가 없으면 퇴사자가 계속 접근할 수 있는 상태가 유지된다
체크리스트
- 조직 내 공유 계정 목록이 문서화되어 있는가 (시스템명, 용도, 담당자, 최근 변경일 포함)
- 공유 계정 비밀번호가 안전한 방식으로 관리되는가 (엑셀이나 메신저 아님)
- 공유 계정 로그인 시 누가 언제 접근했는지 기록되는 기능이 활성화되어 있는가
- 비밀번호 변경 주기가 정해져 있고 변경 기록이 유지되는가
- 퇴사자나 부서 이동 담당자의 공유 계정 접근을 정지하는 절차가 있는가
- 개인 계정 사용이 가능한 시스템은 이미 그렇게 전환했는가
- 공유 계정 사용 승인 기준 문서가 있어 새로운 공유 계정 신청을 검증할 수 있는가
- 감시 추적성이 필요한 작업 (재무, 보안, 컴플라이언스)에 공유 계정을 쓰지 않고 있는가
핵심포인트
원인과 문제 상황 공유 계정은 빠른 협업과 접근 편의성을 위해 만들어진다. 하지만 누가 어떤 작업을 했는지 추적할 수 없으므로 보안 사건이 발생했을 때 원인 규명이 어렵고, 내부 감시 기능이 무력화된다. 특히 재무 시스템, 고객 정보 관리 시스템, 인사 기록 시스템에서는 개별 책임성이 매우 중요하다.
자주 놓치는 포인트 많은 조직이 공유 계정 목록을 관리하지 않아 어떤 계정이 존재하는지조차 모른다. 또한 권한 변경 기록을 추적하지 않으면 서드파티 감시나 내부 감시에서 ‘누가 변경했는지’ 파악 불가능하다. 비밀번호 관리 방식도 간과하기 쉬운데, 팀원들 사이에 메신저나 메모로 비밀번호를 공유하면 어떤 채널을 거쳤는지 추적할 수 없게 된다.
먼저 볼 승인 기준과 검토 포인트 공유 계정 사용을 계속하려면 새로운 공유 계정 요청마다 검증 절차를 거쳐야 한다. 검토 대상은 ‘개인 계정으로 대체 불가능한가’, ‘여러 명이 동시에 같은 작업을 해야 하는가’, ‘접근 기록이 필수 요건이 아닌가’ 세 가지다. 하나라도 충족되지 않으면 개인 계정 도입이나 권한 위임 같은 다른 방식을 찾아야 한다.
대응 절차
- 상황 확인 현재 조직 내 공유 계정이 몇 개이고, 어디서 쓰이며, 누가 접근하는지 목록을 만든다. 각 계정의 비밀번호 관리 방식과 변경 주기도 함께 기록한다.
- 영향 범위 파악 공유 계정이 접근하는 데이터의 민감도 수준을 정리한다. 고객 정보, 재무 기록, 인사 데이터, 지적재산권 등급에 따라 우선순위를 매긴다.
- 우선 조치 민감도가 높은 시스템부터 공유 계정 사용을 제한한다. 기존 공유 계정 비밀번호를 즉시 변경하고, 안전한 관리 도구 도입을 검토한다. 로그인 기록 기능이 지원되는지 시스템별로 확인한다.
- 내부 확인 각 팀별로 공유 계정이 정말 필요한지 면담을 진행한다. 개인 계정으로 대체 가능한 경우를 파악하고, 공유 계정 전환 기준을 세운다. 담당 팀장과 IT 담당자 간 합의 기록을 남긴다.
- 후속 대응 공식 공유 계정 운영 정책을 수립하고, 정기적 감사 일정을 수립한다. 퇴사자 처리 절차에 공유 계정 정리 단계를 추가하고, 분기별 목록 재검증 일정을 잡는다.
개인 계정 전환 기준
공유 계정을 개인 계정으로 전환할 때는 세 가지 조건을 평가한다. 첫째, 해당 시스템이 개인 계정 기능을 지원하는가다. 클라우드 협업 도구나 업무 관리 플랫폼은 대부분 개인 계정 할당이 표준이다. 둘째, 작업 기록의 감시 추적성이 필요한가다. 금융, 의료, 법률, 공공 분야에서는 개별 책임성 기록이 의무화될 수 있다. 셋째, 팀 규모와 구성 변화 빈도가 얼마나 되는가다. 팀원이 자주 변경되는 부서일수록 개인 계정 관리가 효율적이다.
공식 정보 확인 안내
조직이 속한 산업의 규제 기준과 데이터 보호 요건을 먼저 확인해야 한다. 시스템 제공사의 공식 문서에서 계정 관리 정책, 로그 기능, 감사 보고서 제출 방식을 검토하면 정책 수립에 도움이 된다.
자주 묻는 질문 FAQ
Q1. 공유 계정을 완전히 없앨 수 없으면 어떻게 해야 하는가
공유 계정이 꼭 필요한 경우라도 보안을 강화할 방법이 있다. 비밀번호를 안전한 관리 도구에 저장하고, 정기적으로 변경하며, 로그인 기록 기능을 반드시 켜두고 정기적으로 검토한다. 퇴사자 처리 절차에서 공유 계정 비밀번호 변경을 필수 항목으로 넣는다.
Q2. 공유 계정 로그인 기록이 나오지 않는 시스템은 어떻게 하는가
시스템 자체가 개별 로그인 기록을 지원하지 않으면, 그 시스템에서는 공유 계정 사용을 제한해야 한다. 제공사에 개인 계정 기능 여부를 문의하거나, 다른 도구로의 전환을 검토하는 것이 실무적 선택지다.
Q3. 여러 명이 동시에 접근해야 하는 경우 공유 계정 말고 다른 방법이 있는가
역할 기반 권한 위임, 임시 권한 부여, 위임된 접근 기능 등이 대안이 될 수 있다. 예를 들어 클라우드 저장소나 협업 도구 중 많은 제품이 팀 폴더, 공유 워크스페이스 같은 기능으로 여럿의 개인 계정 접근을 지원한다. 시스템 설명서나 제공사 상담을 통해 확인하면 좋다.
Q4. 공유 계정 목록을 만들 때 어떤 정보를 기록해야 하는가
계정명, 용도, 접근 범위, 담당자, 비밀번호 마지막 변경일, 생성 사유, 지속 필요성 여부를 최소한 기록한다. 분기별 검증 시 이 정보를 갱신하면서 불필요한 계정은 정리한다.
이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.