외주사나 협력사에게 접속 정보를 전달할 때 체크리스트

외주사나 협력사에게 접속 정보를 넘기는 순간은 보안이 약해지기 쉬운 지점입니다. 내부 팀원끼리 공유할 때보다 전달 경로가 길고, 계약 종료 시점이나 권한 회수 시점도 더 복잡하기 때문입니다. 그래서 외부 전달은 “보내는 순간”보다 “끝내는 순간”까지 포함해 설계해야 합니다.

첫 번째 체크포인트는 계정 분리입니다

가능하면 공용 계정보다 외부 인원 전용 계정이나 범위가 제한된 임시 자격증명을 따로 발급하세요. 누가 언제 접근했는지 남기려면 사람별 식별이 먼저 가능해야 합니다. 시작부터 공용 계정을 쓰면 종료 시점의 회수도 모호해집니다.

두 번째는 전달 방식입니다

접속 정보는 채팅 본문이나 메일 본문에 남기지 않는 편이 좋습니다. 링크로 전달하더라도 만료 시간은 짧게 잡고, 최대 조회수는 최소로 두세요. 수신자 확인은 다른 채널로 한 번 더 하는 편이 안전합니다. 링크 전달 채널과 본인 확인 채널을 분리하면 오발송 리스크를 줄일 수 있습니다.

세 번째는 종료 절차입니다

작업이 끝났다면 계정 폐기, 비밀번호 변경, 키 회전 중 무엇을 할지 미리 정해 두어야 합니다. 외주 일정이 길수록 “나중에 정리하자”가 가장 위험합니다. 전달은 시작 이벤트지만, 보안은 종료 이벤트에서 품질이 갈립니다.

마지막으로 기록을 남기세요

누가 받았는지, 언제 열람했는지, 어떤 작업을 위해 발급했는지, 종료 후 무엇을 회수했는지만 적어도 운영 품질이 크게 달라집니다. 이 기록은 감시용이 아니라 회복용입니다. 문제가 생겼을 때 빨리 끊고 바꾸기 위해 남기는 기록입니다.