직원이 퇴사하는 경우 사용하던 소프트웨어 계정을 회수하고 기존 계정을 다른 직원 또는 입사자에게 재할당하는 등 SaaS 계정의 관리가 필요합니다. 퇴사한 직원의 접근 권한을 즉시 해지하여 기밀 정보 유출을 방지하고, 퇴사한 직원의 계정을 비활성화하여 라이선스를 낭비하지 않고 비용을 절감할 수 있습니다. 또한 퇴사한 직원이 사용했던 SaaS 계정을 다른 직원에게 재할당하여 효율성을 높일 수 있습니다.

‍

위 내용은 기업의 IT 관리자나 보안 담당자, 인사 담당자에게 해당합니다. 이들은 퇴사한 직원의 계정을 즉시 비활성화하여 보안 문제를 예방하고, 비용을 최적화하기 위해 라이선스를 관리하며, 새로운 직원에게 필요한 계정을 할당하는 등의 작업을 수행합니다.

‍

이번 글에서는 IT 관리 직무에 종사하는 분들이 우리 기업에서도 발생하고 있는 일은 아닌지 꼭 확인해 봐야 하는 실제 사례를 포함합니다. 퇴사 시 SaaS 계정 삭제/관리를 잘하고 있다고 쉽게 오해할 수 있는 3가지 사실에 대해 알아보겠습니다.

‍

‍

‍

전 직원의 31%는 여전히 회사 SaaS에 액세스

뉴욕의 소프트웨어 회사 DoControl이 직원 수 1,000명 이상인 다양한 산업군 내 기업의 SaaS 환경을 분석한 “The State of SaaS Data Security 2024”에 따르면 기업 10곳 중 9곳은 퇴사한 직원이 SaaS 애플리케이션에 저장된 자산에 액세스한 적이 있다고 답했습니다. 

‍

팬데믹 이후 클라우드와 SaaS의 이용률이 급격히 늘어나며 직원들은 언제든지 여러 계정과 민감한 데이터에 액세스할 수 있습니다. 계정과 사용자 권한이 제대로 관리되지 않으면 데이터 유출로 이어질 수 있습니다. 퇴사자의 경우 원칙적으로 계정이나 관련 정보를 폐기하는 것이 맞지만, 업무 연속성 등 여러 요인으로 편의상 남겨두는 경우가 적지 않습니다. 보안 위협으로부터 비즈니스를 보호하기 위해 접근 권한 제거, 계정 삭제 등 SaaS 계정 관리가 제대로 이루어져야 합니다.

‍

계정 생성 및 할당 이후 퇴사자가 생긴다면 해당 직원이 사용했던 모든 계정을 삭제하는 등 확실한 권한 회수가 중요합니다. SaaS 계정 부여 시 정해진 프로세스가 있고 그에 따라 진행이 되면 SaaS 관리를 잘하고 있다고 생각하기 쉽지만, IT 관리자가 수동으로 처리하는 경우 미처 삭제하지 못하는 계정이나 라이선스가 있을 수 있습니다.

‍

실제 메가존클라우드에서 기 고객 약 300명을 대상으로 진행한 “SaaS 관리 현황 조사”에서 ‘계정 부여 시 정해진 프로세스에 따라 잘 관리하고 있다’는 응답은 절반 이상이었으나, ‘SaaS 사용 현황을 쉽게 파악할 수 없다’는 응답이 약 50%였습니다. 이를 통해 계정 할당 이후 SaaS 별 라이선스와 계정 수, 비용 등이 잘 관리되지 않고 있음을 알 수 있습니다. 결국 계정 관리를 ‘툴’이 아닌 ’프로세스’로 하려는 것이 문제임을 유추할 수 있습니다.

‍

‍

‍

정해진 프로세스에 따라 SaaS 관리를 잘하고 있다는 오해 3가지

‍

스프레드시트로 관리하는 경우

미국의 SaaS 관리 플랫폼 업체 Zylo가 발행한 “2024 SaaS Management Index”에 따르면 70%의 기업이 스프레드시트를 사용해 SaaS를 관리하고 있습니다. IT 담당자들이 SaaS 애플리케이션을 관리하기 위해 스프레드시트를 사용하는 것은 흔한 일입니다. IT 관리 소프트웨어를 사용하는 것보다 스프레드시트 사용이 단기적으로는 더 경제적으로 느껴질 수 있으며 사용이 익숙하기 때문입니다.

하지만 스프레드시트는 본질적으로 한계가 있습니다. 스프레드시트는 만드는 순간 구버전의 데이터가 되므로 실시간 데이터를 한눈에 보고 처리할 수 없습니다. 데이터의 양이 증가하면 관리하기 어려워집니다. 유지관리는 노동 집약적인 방식으로 비효율적입니다. 또한 데이터 사일로가 발생할 가능성이 높아져 관련 부서 간 협업과 효과적인 의사결정을 방해합니다.

‍

기업이 처음 SaaS를 도입하기 시작한 경우에는 스프레드시트로 SaaS 관리하는 것이 충분했을 수도 있습니다. 물론 SaaS 관리를 아예 하지 않는 것보다는 스프레드시트로 SaaS 계정 및 사용 현황 등을 추적하는 것이 더 낫습니다. 하지만 스프레드시트로는 전체 SaaS 사용 현황을 파악할 수 없습니다.

‍

‍

SaaS마다 일일이 권한 할당 및 삭제하는 경우

입사자가 발생하면 해당하는 부서에 따라 사용하고 있는 SaaS를 조사합니다. SaaS A에 대한 권한을 요청하고 라이선스 확인 후 권한을 부여합니다. SaaS B에 대해서도 권한을 요청하고 라이선스 확인 후 권한을 부여합니다. SaaS C, D, E… 직원 한 사람당 필요한 SaaS마다 권한 할당을 반복합니다.

‍

퇴사 과정은 어떨까요? 마찬가지로 SaaS마다 권한 회수를 일일이 반복해야 합니다. SaaS마다 일일이 관리자 계정으로 접속해 권한을 할당하고 삭제합니다. 이때 모든 권한을 제대로 다 회수했는지, 데이터 유출은 없었는지 확인이 가능할까요? 애초에 SaaS마다 권할 할당과 삭제가 수동으로 이루어져 휴먼 에러의 발생 가능성이 높고, 보안 정책을 일일이 적용하는 것도 한계가 있습니다.

‍

관리해야 할 SaaS 개수가 적은 경우에는 IT 담당자가 정해진 프로세스에 따라 관리하는 것이 가능할 수 있으나, SaaS의 개수가 많아지면 수동으로 관리하는 방법은 비효율적일 수밖에 없습니다.

‍

‍

SaaS 관리를 계정 생성 및 할당, 삭제에 국한하는 경우

퇴사자가 사용하던 SaaS 계정들을 모두 삭제했어도 연결된 계정이 삭제되지 않아 문제가 발생하기도 합니다. 예시로 AWS IAM(Identity and Access Management)의 경우가 있습니다. IAM은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹서비스로 AWS 계정 생성 시 IAM을 생성합니다. 퇴사자의 AWS 계정은 삭제하지만, IAM은 미처 삭제하지 못하는 경우가 있습니다. 이 경우 퇴사자가 IAM을 통해 접속해 비트코인 채굴을 하는 등 서버 비용이 하루에 천만 원씩 나가는 사례가 발생하기도 합니다.

‍

정리되지 않은 계정과 영원히 만료되지 않는 Access Key는 비용 폭탄으로 돌아오거나 정보 유출 등 큰 사고로 이어질 수 있습니다. PoPs(팝스)는 역할 기반 액세스(RBAC)로 IT 담당자를 AWS IAM 관리로부터 해방시킵니다. 개발자, 엔지니어, 디자이너, 운영자 등 필요한 역할을 등록하고 직무별 담당자에게 역할을 할당합니다. 관리자는 더 이상 개인에게 발급된 계정을 관리할 필요가 없어지고, 실무자는 PoPs Launcher에서 클릭만으로 부여받은 역할로 AWS에 접근할 수 있게 됩니다.

퇴사자의 계정은 삭제됐으나 IAM을 통해 서버에 접속한 사례가 시사하는 바는 무엇일까요? SaaS 관리는 단순 계정 생성, 할당, 삭제에 국한되지 않고 직원별 SaaS 이용의 전체 수명 주기를 관리하는 것으로 SaaS 사용 가시성을 확보해야 합니다.

‍

‍

‍

SaaS 관리 플랫폼의 필요성

조직 내 SaaS 관리의 필요성을 느끼고 만든 프로세스가 잘 작동하고 있는지 점검해 볼 필요가 있습니다. 스프레드시트에 계정 상태를 수기로 업데이트하는 것은 다각도의 SaaS 가시성을 확보하는 데 분명한 한계가 있습니다. SaaS마다 일일이 수동으로 계정 관리를 할수록 IT 업무의 부담과 비효율성, 보안 위협이 커집니다.

‍

SaaS 사용이 증가하고 IT 환경이 복잡해짐에 따라 프로세스를 간소화하고 정확성을 높이며 보안을 강화할 수 있는 SaaS 관리 플랫폼(SMP)에 대한 필요성이 증가하고 있습니다. 조직에 잘 맞는 SMP를 사용하여 사용하고 있는 SaaS 리소스를 최적화해야 할 시기입니다.

‍

‍

‍

계정 관리 자동화로 안전한 퇴사 과정을 돕는 ‘PoPs’

PoPs(팝스)는 SSO(싱글사인온)와 2차 인증을 기본으로 하는 SaaS 관리 플랫폼입니다. 사용자 프로비저닝으로 입사자에게 필요한 SaaS 계정을 자동으로 추가하고 퇴사자는 자동으로 삭제합니다. 조직에서 사용하는 SaaS를 한 곳에서 관리하고 권한 할당과 회수가 간편해져 IT 담당자의 시간을 절약하고 더 중요한 업무에 집중할 수 있도록 합니다. 전체 SaaS 비용과 사용을 한 눈에 볼 수 있어 효과적인 SaaS 운영 관리가 가능해집니다.

‍

PoPs에 대해 궁금한 점은 언제든지 문의 바랍니다. 👉PoPs 데모 신청하기