[보안맨] 퇴직 및 직무 변경 관리

안녕하세요,

이번 글에서는 '퇴직 및 직무 변경 관리'라는 주제를 다루고 싶습니다.

특별히 국내 정보보호 관리체계 (이하 ISMS, Information Security Management System)가 아닌 외국 내부회계통제 (이하 Sarbanes-Oxley Act, SOX) 관점의 '퇴직 및 직무 변경 관리' 관련 에피소드를 정리했습니다.

필자의 회사는 미국계 모회사의 지배를 받기 때문에 SOX의 규정을 준수해야 했는데요. 그중에서도 IT General Controls이라는 IT 관련 요구사항 (이하 'SOX ITGC')을 충족해야 했습니다.

※ 추후 SOX ITGC 주제에 대해 자세히 다루겠습니다.

ISMS에서는 퇴직 및 직무 변경 관리에 대해 다음과 같이 언급하고 있습니다.

"퇴직 및 직무변경 시 인사/정보보호/개인 정보보호/IT 등 관련 부서별 이행하여야 할 자산 반납, 계정 및 접근 권한 회수/조정, 결과 확인 등의 절차를 수립/관리하여야 한다."

이와 달리, SOX ITGC에서는 퇴직 및 직무 변경 관리 관련 유사 항목인 'Access Termination' 관련 다음과 같이 언급하고 있습니다.

"HR Notifies the IT team of terminated employees and Access privileges of such employees are removed within one (1) business days. Transferred employees access is appropriately approved by Management."

즉, ISMS 내 퇴직 및 직무 변경 관리 요건이 좀 더 포괄적입니다. SOX ITGC 내에서는 퇴사(또는 직무 변경 등) 시 시스템 접근 권한 회수/변경에 포커싱 하고 있습니다. 개인적으로 두 관리 체계 내 기준이 다른 까닭은 '체계 특성 또는 환경'이라고 생각합니다. ISMS에 비해, SOX ITGC는 재무 데이터의 무결성을 담보해야 합니다. 회사 내 정보 유출보다는 데이터 내 조작이 가해지지 않도록 여러 통제 요소를 고려하며, 이때 자산 회수 등 은 고려하지 않는 것 같습니다.

필자는 SOX ITGC 관련 내부 감사를 대비하기 위해 'Access Termination' 통제 활동 관련 두 가지 관점으로 업무를 파악했습니다.

1) 현황 파악

주 점검 대상인 직원 관리 시스템(또는 그룹웨어) 및 ERP(Enterprise Resource Planning) 시스템 내의 임직원 계정 연동 현황을 파악했습니다. 전반적으로 반 자동 방식의 계정 삭제 처리가 이루어지고 있었습니다. 즉, HR 부서에서 퇴사자 정보를 공유하면, IT 담당자가 AD (Active Directory) 서버 내 퇴사자 계정을 비활성화합니다. 그러면, 관련 회사 중요 시스템과 기 연동 되어있던 정보가 자동으로 삭제되는 방식입니다.

이때, 크게 두 가지 이슈 사항을 발견했습니다.

첫 번째는 IT 담당자와 여러 차례 미팅을 통해 확인한 결과, 그룹웨어/ERP와 AD가 연동되지 않고 있었습니다. 담당자가 수동으로 계정을 삭제하고 있었고, 일부 퇴사자의 정보는 제대로 삭제(또는 비활성화) 처리되지 않았습니다.

두 번째는 타 부서(HR)와의 퇴사자 공유 문제였습니다. 예를 들어 퇴사자가 +1일에 발생하는 경우, 경우에 따라 +7일에 공유 받는 케이스가 왕왕 있었습니다. 위 SOX ITGC에서 언급하는 'removed within one business day'에 저촉되는 문제였습니다.

Figure 1. 퇴사자 계정 삭제 요청 양식 (예시)

Figure 2. AD 내 사용자 정보 (예)

2) 개선점 도출

위 두 가지 이슈사항에 대해 크게 아래와 같은 개선 방향을 도출했습니다.

- AWS(클라우드) 환경 이관에 따른 AD 연동 (장기)

- HR 부서 협조 요청/미팅 등에 따른 퇴사자 발생 시 즉시 공유

클라우드 환경 이관의 경우, DevOps/Finance 부서와 면밀한 업무 공조가 필요했습니다. 작업 계획, 시기 등 구체적인 방법에 대해서는 논의를 진행하던 중, 그룹웨어/ERP 벤더 담당자로부터 AD 연동이 어렵다는 답변을 받았습니다. 마침, 본사에서 여러 자회사에 그룹웨어/ERP를 기존 본사가 사용하는 시스템으로 통합 교체 요청 (AD연동 가능) 하는 일정을 알고 있었던 터라, 일단 내부적인 상황을 좀 더 지켜보기로 하고 내부 감사를 준비했습니다.

결론적으로 내부 감사 때, AD 연동 이슈를 제외하고는 Access termination 통제항목에 대해 내부 우려와 달리 양호한 평가를 받을 수 있었습니다.