HR·회계 SaaS에 저장된 직원 개인정보, 안전하게 관리하는 법

사람인 HR, 더존 경리나라, 페이히어 같은 클라우드 기반 인사·회계 서비스는 이제 대부분의 중소기업에서 사용하고 있습니다. 편리하지만, 이 시스템에는 직원의 가장 민감한 정보가 집중되어 있습니다.

HR·회계 SaaS에 저장되는 민감 정보

정보 유형	구체적 데이터	유출 시 위험
신상정보	주민등록번호, 주소, 연락처	신분 도용, 보이스피싱
급여정보	급여, 상여, 공제내역	사내 갈등, 협박
금융정보	계좌번호, 카드정보	금전 피해
건강정보	건강검진 결과, 병가 이력	차별, 프라이버시 침해
평가정보	인사평가, 징계 이력	명예 훼손, 커리어 피해

실제로 발생하는 유출 경로

1. 관리자 계정 공유

인사팀 담당자가 퇴사하면, 후임자에게 계정을 "인수인계"합니다. 이 과정에서 비밀번호를 카카오톡으로 전달하거나, 포스트잇에 적어 붙여놓는 일이 비일비재합니다.

2. 급여명세서 이메일 발송

매월 급여명세서를 이메일로 보내는 회사가 많습니다. 수신자를 잘못 입력하면 다른 직원의 급여가 노출됩니다. 실제로 이런 사고는 매년 발생합니다.

3. 세무사·노무사와의 자료 공유

외부 전문가에게 급여 데이터나 4대보험 자료를 전달할 때, 엑셀 파일을 이메일에 첨부하는 경우가 많습니다. 암호화 없이 전달되므로 중간에 가로채거나 잘못된 수신자에게 전달될 위험이 있습니다.

4. 퇴사자 계정 미삭제

퇴사한 직원의 HR 시스템 접근 권한을 즉시 회수하지 않으면, 전 직원 정보에 계속 접근할 수 있습니다.

HR 데이터 보안 체크리스트

다음 항목을 정기적으로 점검하세요:

• 모든 HR·회계 SaaS에 2단계 인증(MFA) 활성화
• 관리자 계정 접근 로그 월 1회 점검
• 퇴사자 계정 당일 비활성화 프로세스 확인
• 급여 데이터 공유 시 암호화 여부 확인
• 외부 전문가(세무사, 노무사) 접근 권한 범위 제한
• 직원 개인정보 접근 권한 최소 원칙 적용

안전하게 민감 정보를 공유하는 방법

방법 1: 역할 기반 접근 제어(RBAC)

대부분의 HR SaaS는 역할별 권한 설정을 지원합니다. "전체 관리자" 하나만 쓰지 말고, 급여 담당, 채용 담당, 열람 전용 등으로 나누세요.

방법 2: 감사 로그 활성화

누가 언제 어떤 데이터에 접근했는지 기록을 남기세요. 문제 발생 시 추적이 가능합니다.

방법 3: 외부 공유 시 비밀번호 보호 링크 사용

세무사에게 급여 데이터를 보낼 때, 엑셀 파일을 이메일에 그냥 첨부하는 대신 LOCK.PUB에서 비밀번호가 걸린 비밀 메모나 링크를 생성하여 전달할 수 있습니다. 비밀번호는 별도 채널(전화 등)로 알려주면, 이메일이 유출되더라도 데이터는 안전합니다.

방법 4: 계정 인수인계 시 보안 채널 사용

HR 시스템 관리자 계정을 후임에게 전달할 때, 카카오톡 대신 LOCK.PUB의 자동 만료 비밀 메모를 사용하면 전달 후 자동으로 삭제되어 기록이 남지 않습니다.

개인정보보호법 준수도 확인하세요

한국의 개인정보보호법은 직원 개인정보도 보호 대상입니다. 주민등록번호 수집 제한, 접근 권한 관리, 암호화 의무 등을 위반하면 과태료가 부과될 수 있습니다.

의무 사항	내용	위반 시
주민번호 수집 제한	법령 근거 없이 수집 금지	과태료 최대 5천만원
암호화 저장	고유식별정보 암호화 필수	과태료 최대 3천만원
접근 권한 관리	최소 권한 원칙 준수	과태료 최대 3천만원
파기 의무	목적 달성 시 지체없이 파기	과태료 최대 3천만원

오늘 바로 실천할 수 있는 3가지

1. MFA 켜기 — HR·회계 SaaS 관리자 계정에 2단계 인증을 당장 설정하세요
2. 퇴사자 점검 — 최근 6개월 퇴사자의 계정이 비활성화되었는지 확인하세요
3. 공유 방식 바꾸기 — 민감 정보를 이메일에 첨부하는 대신 LOCK.PUB처럼 비밀번호와 만료 기간이 설정된 보안 링크로 전달하세요

직원 개인정보는 회사의 가장 중요한 자산이자 법적 책임입니다. 편리한 SaaS를 안전하게 사용하는 습관을 지금부터 만들어보세요.