직원 퇴사 시 이메일, 클라우드 스토리지, SaaS 도구 등 수십 개 서비스의 계정을 제때 회수하지 못하면 데이터 유출, 권한 남용, 규제 위반으로 이어진다. 퇴사자 계정 회수 체크리스트는 단순 계정 삭제를 넘어 권한 정리 항목별로 누가, 언제, 무엇을 확인하고 차단하는지 명확히 해야 한다.
빠른 판단 포인트
- 퇴사 예정 공지 후 즉시 관리자 권한부터 박탈하고 소속 팀과 외부 공유 상태를 파악한다
- 이메일, 메신저, VPN, 클라우드 스토리지 등 접근 채널을 동시에 차단하지 않으면 퇴사 후에도 원격 접근이 가능하다
- SaaS 도구별로 라이선스 해지 시점과 데이터 소유권 이관 절차가 다르므로 체계적으로 구분해서 처리한다
퇴사자 계정 회수 체크리스트
- 인사 시스템에 퇴사 예정일 등록 및 관리자 공지
- 회사 이메일 계정 비활성화 및 자동 전달 설정 제거
- 클라우드 스토리지(드라이브, OneDrive 등) 접근 권한 박탈 및 소유 파일 이관
- VPN, 원격 접근 도구 계정 삭제 및 기기 로그 확인
- 메신저, 협업 도구(Slack, Teams 등) 채널 및 DM 접근 차단
- 데이터베이스, 서버, 개발 환경 계정 및 SSH 키 회수
- 프로젝트 관리, CRM, 회계 소프트웨어 등 업무 SaaS 계정 비활성화
- 권한 정리 항목: 관리자, 편집자, 뷰어 권한 단계별 확인
- 외부 협력업체 초대 상태 확인 및 공동 작업 파일 권한 정리
- 모바일 기기, 노트북, USB 기기 원격 삭제 및 로그인 기록 검토
- 신용카드, 구독 서비스 결제 권한 제거
- 2단계 인증 설정 변경 및 복구 키 제거
핵심포인트
원인과 문제 되는 상황
퇴사자 계정 회수가 지연되는 이유는 담당 부서가 명확하지 않아서다. 인사팀만 알고 IT팀은 모르거나, 관리자가 회사 정책을 몰라서 개별 대응하다가 누락이 생긴다. 특히 권한 정리 항목이 명문화되지 않으면 관리자, 편집자, 뷰어 중 어느 권한을 먼저 박탈해야 하는지 판단이 늦어진다. 클라우드 환경에서는 계정 비활성화 후에도 이전에 공유한 링크로 접근할 수 있어서 단순 계정 삭제만으로는 부족하다.
자주 놓치는 포인트
퇴사일을 기준으로 업무 이관은 하되 계정 접근 차단은 미루는 경우가 많다. 넉 달간 재직했던 직원도 특정 SaaS 도구에는 여전히 접속 가능하다는 것을 발견하는 식이다. 또한 팀 내 공유 폴더나 협업 문서에서 권한을 제거하고도 해당 직원이 개인적으로 초대받은 파일은 놓친다. 외부 협력업체와 공동 작업하던 경우 초대 권한 회수 절차가 더 복잡해진다.
먼저 볼 승인 기준과 검토 포인트
퇴사 공지 후 처음 24시간 내에 관리자 권한 박탈, 이메일 접근 차단, VPN 삭제를 완료해야 한다. 이후 일주일 이내에 모든 SaaS 도구 계정 비활성화를 마친다. 권한 정리 항목을 점검할 때는 (1) 개인 계정인가 공용 계정인가, (2) 데이터 소유권은 누구에게 있는가, (3) 퇴사 후 다른 직원이 인수할 것인가를 기준으로 판단한다.
대응 절차
- 상황 확인: 인사팀으로부터 퇴사 확정 공지를 받으면 해당 직원이 접근 중인 모든 시스템과 서비스 목록을 수집한다. IT 자산 관리 시스템이나 라이선스 관리 대시보드에서 활성 계정을 조회한다.
- 영향 범위 파악: 퇴사자가 관리자 권한을 가진 계정이 몇 개인지, 공개된 링크나 공유 폴더를 통해 누가 접근 가능한지 확인한다. 특히 데이터베이스나 운영 서버 관리 권한이 있다면 우선순위를 높인다.
- 우선 조치: 퇴사 당일 아침 또는 전날 오후에 회사 이메일 접근 차단, VPN 삭제, 관리자 권한 박탈을 동시에 실행한다. 이 순서를 지키지 않으면 퇴사자가 다른 시스템에서 비상 설정을 변경하거나 권한을 이전할 수 있다.
- 내부 확인: 각 팀 관리자에게 권한 정리 항목 체크리스트를 배포하고 해당 직원의 SaaS 도구 계정, 협업 폴더, 개별 문서 공유 상태를 확인하도록 요청한다. 회계 팀은 구독 서비스 결제 권한을 정리한다.
- 후속 대응: 이관 대상 데이터와 파일을 인수자에게 이전하고, 퇴사자가 만든 공개 링크나 게시물을 비공개로 전환한다. 1개월 후 재차 확인해서 삭제된 계정에 대한 접근 시도가 로그에 남지 않는지 검증한다.
공식 정보 확인 안내
각 회사의 정보 보안 정책과 계정 회수 절차는 회사 규모, 산업, 보유한 데이터 민감도에 따라 다르다. 퇴사 처리 매뉴얼과 권한 정리 기준을 마련할 때는 담당 부서 간 역할 분담을 명확히 하고 필요하면 외부 보안 컨설팅을 참고해서 정책을 수립하기 바란다.
자주 묻는 질문 FAQ
Q1. 퇴사자가 사용 중이던 SaaS 도구 계정을 바로 삭제해도 되나?
즉시 삭제하기보다는 먼저 비활성화해서 로그인 불가능한 상태로 만든 후 3개월 이상 로그 기록을 보관하는 것이 좋다. 나중에 권한 이상 접근이나 데이터 조회 사건이 발생했을 때 증거가 필요할 수 있고, 퇴사자가 저장한 파일을 찾거나 권한을 재설정해야 할 상황도 생긴다.
Q2. 퇴사자 이메일로 가입한 외부 서비스들은 어떻게 처리하나?
회사 이메일 계정이 비활성화되면 자동으로 외부 서비스에서도 로그인할 수 없다. 다만 구독 서비스나 중요 플랫폼은 미리 비밀번호 재설정 링크를 보내거나 계정 소유권을 다른 관리자 이메일로 이전해야 한다. 특히 도메인 등록, 호스팅, 결제 계약은 회사 명의로 변경하는 절차를 먼저 확인한다.
Q3. 권한 정리 항목에서 ‘공동 소유자’ 권한은 어떻게 처리하나?
공동 소유자는 관리자급 권한이므로 가장 먼저 박탈한다. 그 다음 편집 권한, 마지막으로 뷰어 권한을 정리한다. 퇴사자가 공동 소유자로 지정한 파일이나 프로젝트가 있다면 다른 팀 관리자를 새로운 소유자로 지정한 후 퇴사자 권한을 제거한다.
Q4. 퇴사 후 한 달이 지난 뒤에 회수하지 않은 계정을 발견했으면?
즉시 비활성화하고 지난 한 달간의 로그 기록을 검토해서 퇴사자가 실제로 접속했는지 확인한다. 만약 접속 기록이 있다면 데이터 다운로드나 파일 수정 내역도 함께 점검한다. 대기 중인 회의 초대나 협업 요청을 정리하고, 문서 공유 설정을 재검토한다.
이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.