신입 직원 온보딩 보안 체크리스트: IT 관리자를 위한 가이드
새로운 직원의 입사 시 필수적인 보안 체크리스트. 계정 생성, 비밀번호 정책, 2FA 설정, 보안 교육, 접근 권한 관리까지 단계별로 안내합니다.
신입 직원 온보딩 보안 체크리스트
새로운 직원이 입사할 때마다 수십 개의 계정을 생성하고 접근 권한을 부여해야 합니다. 이 과정에서 보안을 소홀히 하면 나중에 심각한 문제로 이어질 수 있습니다. 임시 비밀번호를 카카오톡으로 보내거나, 모든 직원에게 동일한 비밀번호를 사용하거나, 2FA 설정을 미루는 것 모두 흔한 실수입니다.
이 가이드는 IT 관리자와 소규모 팀 리더를 위한 실전 온보딩 보안 체크리스트입니다.
입사 전 준비 (D-3 ~ D-1)
계정 프로비저닝
신입 직원의 첫 출근 전에 필요한 계정을 미리 준비하세요.
| 항목 | 상세 내용 | 우선순위 |
|---|---|---|
| 이메일 계정 생성 | 회사 도메인 이메일 생성 | 필수 |
| 슬랙/카카오워크 초대 | 업무 메신저 계정 설정 | 필수 |
| 클라우드 저장소 접근 | Google Drive/OneDrive 폴더 공유 | 필수 |
| 프로젝트 관리 도구 | Jira/Notion/Asana 계정 생성 | 높음 |
| VPN 설정 | 원격 접속용 VPN 계정 | 해당 시 |
| 소스코드 저장소 | GitHub/GitLab 초대 | 개발직 |
장비 준비
- 노트북/데스크톱에 회사 보안 정책 적용
- 디스크 암호화 활성화 (BitLocker/FileVault)
- 안티바이러스 소프트웨어 설치
- 자동 화면 잠금 설정 (1분)
- 원격 초기화 기능 설정 (MDM)
입사 당일 (D-Day)
1단계: 비밀번호 정책 안내
첫날에 반드시 비밀번호 정책을 안내하세요.
최소 요구사항:
- 길이: 12자 이상
- 구성: 대소문자, 숫자, 특수문자 포함
- 금지: 이름, 생일, 연속된 숫자, 사전 단어
- 재사용 금지: 이전 비밀번호 재사용 불가
- 변경 주기: 90일마다 변경
비밀번호 관리자 사용 권장:
- 1Password, Bitwarden 등 기업용 비밀번호 관리자 도입
- 모든 업무 계정의 비밀번호를 관리자에 저장
- 마스터 비밀번호만 기억하면 됨
2단계: 2FA(이중 인증) 설정
모든 주요 계정에 이중 인증을 설정하세요.
| 계정 | 2FA 방식 | 우선순위 |
|---|---|---|
| 이메일 | 인증 앱 (Google Authenticator) | 필수 |
| 슬랙/카카오워크 | 인증 앱 | 필수 |
| 클라우드 저장소 | 인증 앱 | 필수 |
| VPN | 하드웨어 키 (YubiKey) 또는 인증 앱 | 필수 |
| GitHub/GitLab | 인증 앱 또는 하드웨어 키 | 개발직 필수 |
| 관리자 패널 | 하드웨어 키 권장 | 관리직 필수 |
주의: SMS 인증은 SIM 스와핑 공격에 취약하므로 인증 앱이나 하드웨어 키를 우선 사용하세요.
3단계: 초기 비밀번호 전달
임시 비밀번호를 안전하게 전달하는 것이 중요합니다.
잘못된 방법:
- 카카오톡으로 비밀번호 전송
- 이메일에 모든 계정 비밀번호 나열
- 포스트잇에 적어서 책상에 부착
- 전 직원 공용 비밀번호 사용
올바른 방법:
- LOCK.PUB의 비밀 메모로 임시 비밀번호 전달 (24시간 만료)
- 첫 로그인 시 비밀번호 변경 강제
- 각 서비스별로 다른 비밀번호 설정
입사 첫 주 (D+1 ~ D+7)
보안 교육
첫 주 내에 기본 보안 교육을 실시하세요.
필수 교육 항목:
- 피싱 인식: 의심스러운 이메일/링크 식별 방법
- 비밀번호 관리: 비밀번호 관리자 사용법
- 기기 보안: 화면 잠금, 디스크 암호화, 분실 시 대처
- 데이터 분류: 기밀/내부/공개 데이터 구분
- 인시던트 보고: 보안 사고 발생 시 보고 절차
접근 권한 설정
최소 권한 원칙에 따라 접근 권한을 부여하세요.
| 역할 | 접근 범위 | 권한 수준 |
|---|---|---|
| 일반 직원 | 소속 팀 자료 | 읽기/쓰기 |
| 팀장 | 소속 팀 + 크로스팀 자료 | 읽기/쓰기/관리 |
| IT 관리자 | 전사 시스템 | 전체 관리 |
| 외부 협력자 | 프로젝트 한정 | 읽기 전용 |
원칙:
- 처음에는 최소 권한으로 시작
- 필요에 따라 권한을 추가
- 정기적으로 불필요한 권한 제거 (분기별)
진행 중 모니터링
30일 점검
입사 후 30일에 다음 항목을 점검하세요.
- 모든 초기 비밀번호가 변경되었는지 확인
- 2FA가 모든 필수 서비스에 설정되었는지 확인
- 불필요한 접근 권한이 없는지 확인
- 비밀번호 관리자를 올바르게 사용하고 있는지 확인
- 보안 교육 완료 여부 확인
분기별 감사
- 접근 권한 검토 및 불필요한 권한 제거
- 비밀번호 변경 여부 확인
- 보안 인시던트 기록 검토
- 퇴사자 계정 즉시 비활성화 여부 확인
LOCK.PUB을 온보딩에 활용하기
LOCK.PUB은 온보딩 과정에서 임시 비밀번호를 안전하게 전달하는 데 유용합니다.
- 비밀번호 보호 메모: 임시 비밀번호를 만료 시간과 함께 전달
- 암호화 채팅방: IT 지원팀과 신입 직원 간의 보안 커뮤니케이션
- 접근 추적: 신입 직원이 정보를 확인했는지 모니터링
활용 예시
- 각 서비스별 임시 비밀번호를 개별 비밀 메모로 생성 (24시간 만료)
- 메모 링크를 회사 이메일로 전송
- 접근 비밀번호는 대면 또는 전화로 전달
- 신입 직원이 확인 후 즉시 비밀번호 변경
- 만료 후 메모 자동 소멸
퇴사 시 보안 체크리스트
온보딩만큼 오프보딩도 중요합니다.
- 모든 계정 즉시 비활성화/삭제
- 이메일 포워딩 설정 (필요 시)
- 공유 비밀번호 즉시 변경
- VPN/원격 접근 권한 즉시 철회
- 회사 기기 회수 및 초기화
- 클라우드 저장소 접근 권한 제거
- 소스코드 저장소 접근 제거
- 물리적 출입 카드 회수
마무리
보안이 잘 갖추어진 온보딩은 조직 전체의 보안 수준을 높입니다. 계정 생성부터 비밀번호 정책, 2FA 설정, 보안 교육, 접근 권한 관리까지 체계적으로 진행하세요. 특히 임시 비밀번호 전달 시에는 카카오톡이나 이메일 대신 만료 기능이 있는 보안 도구를 활용하는 것이 중요합니다.
LOCK.PUB에서 신입 직원을 위한 비밀번호 보호 메모를 만들어 안전한 온보딩을 시작하세요.
관련 키워드
다른 글도 읽어보세요
가족·커플 공유 계정 비밀번호, 안전하게 주고받는 법
넷플릭스, 와이파이, 클라우드 등 가족이나 연인과 공유하는 계정 비밀번호를 안전하게 전달하는 방법을 정리했습니다. 메신저로 보내면 안 되는 이유와 실전 대안까지.
링크에 비밀번호 거는 법: 가장 쉽게 URL을 보호하는 방법
링크에 비밀번호를 설정하는 방법을 단계별로 알려드립니다. 링크 잠금 도구로 URL을 무료로 보호하는 가장 간단한 방법.
절대 평문으로 보내면 안 되는 5가지 정보
비밀번호, 카드번호, 주민등록번호... 카카오톡이나 이메일로 평문 전송하면 왜 위험한지, 안전한 대안은 무엇인지 알아보세요.