최근 우리 회사에서도 외부 협력사와 프리랜서 분들과 함께 일할 기회가 정말 많아졌어요. 특히 IT 프로젝트나 마케팅 캠페인을 진행하다 보면 외부 전문가의 도움이 꼭 필요한 경우가 많죠. 그런데 이렇게 외부 인력과 협업하다 보면 생각지도 못한 권한 관리 문제로 골치를 앓는 경우가 생각보다 정말 많더라고요.
실제로 제가 IT 관리 업무를 하면서 겪었던 일인데요, 한 번은 프로젝트가 끝난 프리랜서 개발자의 계정을 제때 정리하지 못해서 몇 달 뒤에도 회사 서버에 접속할 수 있는 상태로 방치된 적이 있었어요. 다행히 큰 문제는 없었지만, 만약 악의적인 의도가 있었다면 정말 위험한 상황이 될 뻔했죠.
오늘은 이런 경험을 바탕으로, 협력사나 프리랜서와 일하면서 흔히 발생하는 권한 관리 실수들을 정리해봤어요. 여러분도 혹시 이런 실수를 하고 계시진 않은지 한번 체크해보시면 좋을 것 같아요.
Table of Contents
프로젝트 종료 후 계정 미삭제, 가장 흔한 실수
협력사와의 권한 관리 실수 체크리스트
협업이 끝났는데도 외부 인력의 계정을 그대로 두는 경우, 이게 정말 가장 흔하게 발생하는 문제예요. 3개월짜리 프로젝트를 마치고 나서 협력사 직원 5명의 계정이 그대로 살아있는 경우를 너무 많이 봤거든요.
왜 이런 일이 발생할까요? 보통은 프로젝트 마무리에 정신이 팔려서 계정 정리까지 신경 쓰기 어렵기 때문이에요. 특히 여러 부서가 관여된 프로젝트라면 “누가 계정을 정리할 것인가”에 대한 책임 소재가 불분명한 경우가 많죠.
실제로 한 중소기업에서는 2년 전에 퇴사한 프리랜서 디자이너가 여전히 회사 클라우드 스토리지에 접근할 수 있는 상태였대요. 다행히 악용 사례는 없었지만, 정기 보안 점검에서 발견되어 부랴부랴 정리했다고 하더라고요.
이 문제를 해결하려면 프로젝트 시작할 때부터 종료 체크리스트에 ‘외부 인력 계정 정리’를 반드시 포함시켜야 해요. 그리고 가능하다면 임시 계정에 자동 만료 기능을 설정해두는 것도 좋은 방법이에요.
과도한 권한 부여, “일단 관리자 권한 주고 보자”
급하게 프로젝트를 시작하다 보면 “일단 관리자 권한 주고 시작하자”는 생각으로 필요 이상의 권한을 주는 경우가 많아요. 디자인 작업만 필요한 프리랜서에게 서버 관리자 권한까지 주는 식이죠.
저도 한 번은 ERP 시스템 커스터마이징을 맡은 외부 개발자에게 너무 광범위한 권한을 줬다가, 나중에 그분이 실수로 생산 데이터베이스를 건드려서 아찔한 순간을 겪은 적이 있어요. 개발 환경과 운영 환경을 구분해서 권한을 줬어야 했는데, 편의상 모든 권한을 준 게 문제였죠.
특히 클라우드 서비스를 사용하는 경우 이런 실수가 더 위험해요. AWS나 Azure 같은 플랫폼에서 관리자 권한을 잘못 주면 회사의 전체 인프라에 접근할 수 있게 되니까요. 실제로 한 스타트업은 마케팅 대행사에 너무 많은 권한을 줬다가 실수로 서버 인스턴스가 삭제되는 바람에 서비스가 몇 시간 동안 중단된 사례도 있었어요.
권한은 항상 ‘최소 권한 원칙’에 따라 업무 수행에 꼭 필요한 것만 부여해야 해요. 처음엔 좀 불편할 수 있어도, 나중에 큰 사고를 예방할 수 있어요.
공용 계정 남발, “team@company.com으로 다 같이 써요”
여러 명이 하나의 계정을 공유하는 것도 정말 흔한 실수예요. 협력사 팀원 3명이 모두 같은 아이디와 비밀번호를 사용하는 경우가 있는데, 이렇게 되면 나중에 누가 무엇을 했는지 추적이 불가능해져요.
작년에 한 회사에서 외부 마케팅팀과 공용 계정을 사용했는데, 중요한 광고 캠페인 설정이 잘못 변경되는 일이 있었대요. 그런데 5명이 같은 계정을 쓰고 있어서 누가 변경했는지 확인할 방법이 없었죠. 결국 팀 전체가 의심받는 불편한 상황이 되었어요.
요즘은 대부분의 업무용 소프트웨어가 사용자별 계정 생성을 지원하고 있어요. 비용이 좀 더 들더라도 개인별 계정을 만들어서 사용하는 게 훨씬 안전하고 관리하기도 쉬워요. Microsoft 365나 Google Workspace 같은 경우 게스트 계정 기능도 제공하니까 적극 활용하시면 좋을 것 같아요.
권한 변경 이력 미관리, “누가 언제 바꿨지?”
프로젝트 진행 중에 권한을 조정하는 경우가 많은데, 이런 변경 사항을 제대로 기록하지 않으면 나중에 문제가 생겨요. 특히 장기 프로젝트의 경우 처음에 부여한 권한과 현재 권한이 달라질 수 있는데, 이런 변화를 추적하지 않으면 보안 구멍이 생길 수 있어요.
저희 회사에서도 6개월짜리 공장 자동화 프로젝트를 진행할 때, 초기에는 개발 서버만 접근 가능했던 협력사 엔지니어에게 중간에 운영 서버 권한까지 추가로 줬던 적이 있어요. 그런데 프로젝트가 끝난 후에도 운영 서버 권한이 그대로 남아있는 걸 나중에야 발견했죠.
이런 문제를 막으려면 권한 변경 시마다 간단하게라도 기록을 남기는 습관이 필요해요. 누가, 언제, 왜 권한을 변경했는지만 기록해도 나중에 큰 도움이 돼요. 요즘은 IT 관리 도구들이 자동으로 이런 로그를 남겨주기도 하니까 활용하시면 좋아요.
비밀번호 관리 소홀, “카톡으로 비번 보내드릴게요”
협력사나 프리랜서에게 계정 정보를 전달할 때 카카오톡이나 이메일로 평문으로 보내는 경우가 너무 많아요. “아이디는 abc123이고 비밀번호는 pass1234입니다” 이런 식으로요.
실제로 한 IT 기업에서는 외주 개발자에게 이메일로 서버 접속 정보를 보냈는데, 그 개발자의 이메일 계정이 해킹당해서 서버 정보가 유출된 사례도 있었어요. 다행히 빠르게 대응해서 큰 피해는 없었지만, 정말 위험한 상황이었죠.
요즘은 LastPass, 1Password, Bitwarden 같은 비밀번호 관리 도구들이 공유 기능을 제공하고 있어요. 이런 도구를 사용하면 비밀번호를 안전하게 공유할 수 있고, 나중에 접근 권한을 쉽게 회수할 수도 있어요.
또한 가능하다면 이중 인증(2FA)을 반드시 설정하는 것이 좋아요. 설령 비밀번호가 유출되더라도 추가 인증 단계가 있으면 훨씬 안전하거든요.
퇴사자 계정과 연결된 외부 권한 방치
정직원이 퇴사할 때는 대부분 계정 정리를 하는데, 그 직원이 관리하던 외부 협력사 계정은 놓치는 경우가 많아요. 예를 들어 마케팅 팀장이 퇴사하면서 그분이 권한을 부여했던 광고 대행사 계정들이 그대로 남아있는 식이죠.
한 제조업체에서는 구매 담당자가 퇴사한 후, 그분이 권한을 줬던 협력업체들이 여전히 내부 재고 시스템에 접근할 수 있는 상태로 1년 넘게 방치된 적도 있었대요. 정기 감사에서 발견되기 전까지는 아무도 몰랐다고 하더라고요.
이런 문제를 예방하려면 직원 퇴사 시 체크리스트에 “해당 직원이 관리하던 외부 인력 권한 검토” 항목을 꼭 포함시켜야 해요. 그리고 가능하다면 외부 권한 부여는 개인이 아닌 팀장이나 IT 부서를 통해 중앙에서 관리하는 게 좋아요.
계약 범위와 권한 범위 불일치
계약서에는 “데이터베이스 설계 및 개발”이라고 되어 있는데, 실제로는 전체 서버 관리자 권한을 주는 경우가 있어요. 법적으로는 특정 업무만 하기로 했지만, 실무에서는 훨씬 광범위한 접근이 가능한 거죠.
이런 불일치는 나중에 법적 분쟁이나 보안 사고가 발생했을 때 책임 소재를 가리기 어렵게 만들어요. 저도 한번은 ERP 개발 프로젝트에서 계약상으로는 개발 업무만 하기로 했는데, 실제로는 운영 데이터에도 접근 가능한 권한을 줬다가 나중에 감사에서 지적받은 적이 있어요.
계약서를 작성할 때부터 구체적으로 어떤 시스템에 어느 수준의 접근 권한을 부여할 것인지 명시하는 게 중요해요. 그리고 실제 권한 부여 시에도 계약 내용과 일치하는지 반드시 확인해야 하고요.
모바일 기기 접근 통제 부재
요즘은 재택근무도 많고 외부 협력사 분들도 자신의 개인 노트북이나 스마트폰으로 업무를 하는 경우가 많아요. 그런데 이런 개인 기기에 대한 보안 정책이 없는 경우가 대부분이에요.
한 금융권 협력사에서 일하던 프리랜서가 개인 태블릿으로 고객 정보에 접근했다가, 그 태블릿을 분실해서 큰 소동이 벌어진 적이 있었어요. 회사 지급 기기였다면 원격으로 데이터를 지울 수 있었겠지만, 개인 기기라서 그것도 불가능했죠.
외부 인력이 모바일 기기로 업무를 할 경우, 최소한 다음 사항들은 확인해야 해요. 기기에 비밀번호나 생체인증이 설정되어 있는지, 중요 데이터는 암호화되어 저장되는지, 기기 분실 시 대응 계획이 있는지 등이요.
가능하다면 MDM(모바일 기기 관리) 솔루션을 도입해서 외부 인력의 기기도 관리하는 것이 좋지만, 비용이나 프라이버시 문제로 어렵다면 최소한 VPN을 통한 접속이나 웹 기반 접근만 허용하는 방식으로 제한하는 것도 방법이에요.
멀티 프로젝트 권한 중복, “A프로젝트 끝났는데 B프로젝트 권한도?”
같은 협력사나 프리랜서와 여러 프로젝트를 진행하다 보면, 각 프로젝트마다 부여된 권한들이 누적되어 있는 경우가 있어요. A 프로젝트는 끝났는데 B 프로젝트를 진행하면서 A 프로젝트 권한은 그대로 남아있는 식이죠.
작년에 한 IT 서비스 회사에서 같은 개발 업체와 3년 동안 5개 프로젝트를 진행했는데, 각 프로젝트마다 부여한 권한을 정리하지 않아서 마지막에는 그 업체가 회사의 거의 모든 시스템에 접근 가능한 상태가 되었대요. 다행히 신뢰할 수 있는 업체였지만, 생각만 해도 아찔한 상황이었죠.
이런 문제를 방지하려면 프로젝트별로 권한을 명확하게 구분하고, 한 프로젝트가 끝나면 해당 권한은 반드시 회수해야 해요. 그리고 새로운 프로젝트를 시작할 때는 백지 상태에서 필요한 권한만 새로 부여하는 것이 안전해요.
클라우드 서비스 권한 관리 혼선
요즘은 업무 대부분이 클라우드 기반으로 이뤄지다 보니, AWS, Azure, Google Cloud 같은 플랫폼에서의 권한 관리가 정말 중요해졌어요. 그런데 클라우드 서비스는 권한 체계가 복잡해서 실수하기 쉬워요.
실제로 한 스타트업에서는 외주 개발자에게 S3 버킷 읽기 권한만 주려고 했는데, 설정을 잘못해서 전체 AWS 계정의 관리자 권한을 주게 된 적이 있었어요. 다행히 그 개발자가 양심적이어서 이 사실을 알려줬지만, 악의적이었다면 정말 큰일 날 뻔했죠.
클라우드 플랫폼마다 IAM(Identity and Access Management) 정책이 있는데, 이걸 제대로 이해하고 설정하는 게 중요해요. 복잡하다면 클라우드 보안 전문가의 도움을 받거나, 최소한 플랫폼에서 제공하는 가이드를 꼼꼼히 읽어보는 것이 좋아요.
효과적인 권한 관리를 위한 실천 방법
지금까지 많은 실수 사례들을 살펴봤는데요, 그렇다면 어떻게 해야 이런 문제들을 예방할 수 있을까요?
먼저 프로젝트 시작 전에 명확한 권한 관리 계획을 세워야 해요. 누구에게 어떤 권한을 줄 것인지, 언제까지 유효할 것인지, 누가 관리할 것인지를 문서화하는 거죠. 조금 번거롭더라도 이 단계를 거치면 나중에 훨씬 수월해요.
그리고 정기적인 권한 검토도 필수예요. 분기마다 한 번씩이라도 외부 인력 계정 목록을 체크하고, 불필요한 권한은 없는지 확인하는 시간을 가지세요. 저희 회사도 이걸 시작한 후로 잠재적 보안 위험이 크게 줄었어요.
자동화 도구를 활용하는 것도 좋은 방법이에요. 계정 생성부터 권한 부여, 만료 관리까지 자동화할 수 있는 도구들이 많이 나와 있거든요. Okta, Azure AD 같은 솔루션들을 검토해보시면 좋을 것 같아요.
무엇보다 중요한 건 조직 내에서 권한 관리의 중요성에 대한 인식을 공유하는 거예요. IT 부서만의 문제가 아니라 프로젝트를 진행하는 모든 부서의 관심사가 되어야 해요.
마치며
협력사나 프리랜서와의 협업은 이제 선택이 아니라 필수가 되었어요. 하지만 그만큼 권한 관리의 중요성도 커졌죠. 오늘 소개한 사례들이 여러분의 조직에서 유사한 실수를 예방하는 데 도움이 되었으면 좋겠어요.
권한 관리는 한 번 설정하고 끝나는 것이 아니라 지속적으로 관심을 가지고 관리해야 하는 영역이에요. 처음에는 조금 귀찮고 복잡하게 느껴질 수 있지만, 이것이 결국 회사의 소중한 자산과 정보를 지키는 첫 걸음이라는 걸 기억하시면 좋겠어요.
여러분의 조직에서는 외부 인력과의 협업 시 권한 관리를 어떻게 하고 계신가요? 혹시 이 글에서 다루지 못한 사례나 좋은 해결 방법이 있다면 공유해주시면 감사하겠습니다.