AxiPassAxiPass
블로그 목록으로
SSO·계정관리·약 4분

퇴사자 계정, 며칠씩 살아 있어도 괜찮으신가요

퇴사자 계정 회수가 늦어질 때 생기는 실제 리스크와, SCIM 프로비저닝으로 온·오프보딩을 자동화해 이 문제를 구조적으로 없애는 방법을 정리했습니다.

직원이 퇴사한 다음 날, 그 사람의 계정으로 아직 사내 앱에 로그인할 수 있다면 어떨까요. 많은 회사에서 이건 가정이 아니라 현실입니다. 인사 시스템에서는 퇴사 처리가 끝났는데, 실제 앱 계정은 며칠, 길게는 몇 주씩 살아 있는 경우가 흔합니다.

계정 회수 지연이 만드는 리스크

오프보딩이 늦어지면 두 가지 문제가 동시에 생깁니다.

하나는 보안 리스크입니다. 퇴사자가 여전히 CRM, 코드 저장소, 문서 도구에 접근할 수 있다는 것은 데이터 유출 경로가 열려 있다는 뜻입니다. 악의가 없더라도, 관리되지 않는 활성 계정은 그 자체로 공격 표면입니다. 다른 하나는 컴플라이언스 리스크입니다. ISMS-P를 비롯한 대부분의 보안 심사는 "불필요한 계정이 적시에 회수되었는가"를 확인합니다. 회수 지연 기록이 남아 있으면 그대로 지적 사항이 됩니다.

문제의 뿌리는 대개 프로세스가 아니라 수작업입니다. 담당자가 여러 앱 관리자 화면을 하나씩 열어 계정을 비활성화하는 방식은, 앱이 열 개만 되어도 누락이 생깁니다. 자주 쓰는 앱은 챙기지만 분기에 한 번 쓰는 앱은 잊힙니다.

SCIM이 해결하는 방식

SCIM(System for Cross-domain Identity Management)은 계정 정보를 시스템 간에 표준 방식으로 주고받기 위한 규약입니다. 쉽게 말해, 사용자의 생성·수정·비활성화를 하나의 소스에서 여러 앱으로 자동 전파하는 표준입니다.

SCIM을 도입하면 흐름이 이렇게 바뀝니다. 신규 입사자가 생기면 중앙에서 계정을 한 번 만들고, 연결된 앱들에 자동으로 계정이 만들어집니다. 직무가 바뀌면 그룹만 조정하면 되고, 퇴사 처리를 하면 연결된 모든 앱에서 계정이 함께 비활성화됩니다. 담당자가 앱마다 들어가 손으로 끄는 단계가 사라집니다.

도입할 때 확인할 것

SCIM 도입을 검토한다면 다음을 먼저 점검하세요.

  • 회사가 쓰는 앱 중 어떤 것이 SCIM 프로비저닝을 지원하는가
  • 계정의 "진실의 원천(source of truth)"을 어디에 둘 것인가 — 보통은 IdP가 그 역할을 합니다
  • 그룹·역할 구조를 어떻게 설계할 것인가 — 이 설계가 곧 접근 권한 정책이 됩니다
  • 프로비저닝 이벤트가 감사로그로 남는가 — 심사 대비에 필요합니다

SCIM을 지원하지 않는 앱은 별도의 계정 관리 방식이 필요하므로, 도입 초기에 앱 목록을 지원/미지원으로 나눠 두면 이후 계획이 명확해집니다.

AxiPass는 이렇게 돕습니다

AxiPass는 SCIM 2.0 API를 수신 서버로 제공합니다. 회사가 쓰는 인사 시스템이나 상위 디렉터리에서 AxiPass로 계정 생성·수정·비활성화를 자동 반영할 수 있어, 계정의 원천을 한곳에 두고 AxiPass 멤버를 그 원천과 동기화된 상태로 유지합니다. 앱 접근 차단은 여기서 IdP 중앙화의 효과로 이어집니다. AxiPass 계정을 비활성화하면 OIDC·SAML로 연결된 모든 앱 로그인이 차단되고, 퇴사 처리 시 다운스트림(OIDC 토큰·SAML·SWA·브라우저 확장) 세션 종료까지 전파됩니다. 프로비저닝을 포함한 주요 이벤트는 감사로그에 자동으로 남아 심사 자료로 활용할 수 있습니다. SCIM 인증에 쓰는 토큰은 단방향 해시로 보관해, 발급 이후에는 원문을 저장하지 않습니다.

오프보딩 자동화를 직접 시험해 보고 싶다면 무료로 시작하기에서 시작하실 수 있고, 사내 앱 구성에 맞는 프로비저닝 설계가 필요하다면 도입 상담으로 문의해 주세요.

AxiPass 알아보기

AxiPass를 무료로 시작하기

Free 플랜으로 SSO·SCIM·MFA·감사로그를 직접 확인해 보세요. 신용카드 없이 바로 시작할 수 있습니다.

무료로 시작

도입 상담이 필요하신가요?

회사 환경과 필요한 기능을 알려 주시면 담당자가 도입 방안을 함께 검토해 드립니다.

도입 상담
블로그 목록으로