퇴사 인수인계 시 비밀번호와 데이터를 안전하게 넘기는 방법

3~4월, 인수인계 시즌의 보안 위험

매년 3~4월은 한국과 일본 모두 이직과 퇴사가 집중되는 시기입니다. 이 시기에 가장 많이 발생하는 보안 사고가 바로 인수인계 과정에서의 정보 유출입니다.

퇴사자가 후임자에게 비밀번호, API 키, 고객 데이터를 카카오톡이나 메모장 파일로 넘기는 경우가 아직도 흔합니다. 이런 방식은 정보가 대화 기록에 영구적으로 남고, 퇴사 후에도 접근 가능한 채널에 민감 정보가 방치됩니다.

인수인계 시 넘겨야 하는 민감 정보 목록

항목	예시	위험 수준
서비스 계정	CMS, 호스팅, 도메인, SNS 계정	높음
API 키·토큰	결제 시스템, 외부 서비스 연동	매우 높음
데이터베이스 접근	DB 호스트, 사용자명, 비밀번호	매우 높음
고객 데이터	고객 연락처, 계약 정보	높음
내부 문서	기획서, 예산안, 전략 보고서	중간
물리적 접근	사무실 출입 코드, 금고 비밀번호	높음

절대 하면 안 되는 인수인계 방법

1. 카카오톡으로 비밀번호 전송

대화 기록에 영구 보존됩니다. 퇴사 후에도 퇴사자의 폰에 남아 있습니다.

2. 엑셀 파일에 비밀번호 목록 작성

암호화되지 않은 엑셀 파일은 누구나 열 수 있습니다. USB에 담아 전달하면 분실 위험까지 추가됩니다.

3. 포스트잇에 비밀번호 적기

모니터에 붙여둔 포스트잇은 사무실을 방문하는 누구나 볼 수 있습니다.

4. 이메일 본문에 비밀번호 나열

이메일은 여러 기기에 동기화되고, 검색 가능하며, 해킹 시 대량 유출됩니다.

안전한 인수인계 방법 5단계

1단계: 인수인계 항목 정리

퇴사 2주 전까지 넘겨야 할 계정, 데이터, 문서를 목록화합니다.

2단계: 계정 소유권 이전

가능한 계정은 소유권을 직접 이전합니다. Google Workspace, AWS, Slack 등은 관리자가 소유권을 변경할 수 있습니다.

3단계: 비밀번호를 LOCK.PUB으로 전달

소유권 이전이 불가능한 계정의 비밀번호는 LOCK.PUB을 사용하여 암호화된 메모로 전달합니다.

사용 방법:

1. LOCK.PUB에서 비밀 메모 생성
2. 비밀번호 목록을 입력
3. 접근 비밀번호 설정 + 만료 기한 설정 (예: 7일)
4. 생성된 링크를 후임자에게 전달
5. 접근 비밀번호는 전화나 대면으로 전달

후임자가 확인한 후 링크가 만료되므로, 인수인계 완료 후에는 누구도 접근할 수 없습니다.

4단계: 후임자에게 비밀번호 변경 요청

인수인계 받은 비밀번호는 반드시 즉시 변경하도록 안내합니다.

5단계: 퇴사자 계정 비활성화

퇴사일에 퇴사자의 모든 계정 접근 권한을 즉시 제거합니다.

인수인계 보안 체크리스트

퇴사자 체크리스트

• 인수인계 항목 목록 작성
• 계정 소유권 이전 (가능한 것)
• 비밀번호는 LOCK.PUB 암호화 메모로 전달
• 개인 기기에서 업무 데이터 삭제
• 업무용 메신저·이메일에서 로그아웃

IT 관리자 체크리스트

• 퇴사자 계정 비활성화
• 2단계 인증 재설정
• 공유 비밀번호 변경
• VPN·원격 접근 권한 제거
• 퇴사자 기기 회수

후임자 체크리스트

• 인계받은 비밀번호 즉시 변경
• 2단계 인증 설정
• 접근 권한 범위 확인
• LOCK.PUB 링크 확인 후 만료 확인

흔한 실수와 사고 사례

사례 1: 퇴사자가 6개월 후에도 Slack에 접근

퇴사 시 Slack 계정을 비활성화하지 않아, 퇴사자가 회사 채널의 대화를 계속 열람한 사례.

사례 2: 카카오톡 대화방에 남은 API 키 유출

인수인계 시 카카오톡으로 보낸 API 키가 대화 기록에 남아 있다가, 퇴사자의 폰이 해킹되어 유출된 사례.

사례 3: 공유 계정 비밀번호 미변경

퇴사자가 알고 있는 공유 계정 비밀번호를 변경하지 않아, 퇴사 후에도 서비스에 접근한 사례.

정리

퇴사와 이직은 누구에게나 찾아오는 일이지만, 인수인계 과정의 보안은 대부분 간과됩니다. 비밀번호를 카카오톡으로 보내는 대신 LOCK.PUB의 암호화 메모를 활용하고, 체계적인 체크리스트를 따르면 정보 유출 위험을 크게 줄일 수 있습니다.

안전한 인수인계는 떠나는 사람의 책임이자, 남는 사람의 안전입니다.