퇴사자 오프보딩 체크리스트: 마지막 날 빠뜨리면 보안 구멍 나는 14가지
퇴사자가 나가도 계정은 살아 있고 노트북은 안 돌아옵니다. OpsX가 운영을 도운 41개 회사 기준, 마지막 날 빠뜨리기 쉬운 14가지를 빈도순으로 정리했어요.
마지막 출근일 오후 5시. 퇴사자는 송별 인사를 하고 엘리베이터를 탑니다. 그런데 그 사람의 노트북은 아직 책상에 없고, 사내 메신저 계정은 켜져 있고, 출입카드는 지갑 안에 그대로예요. 일주일 뒤 GA 담당자가 자산 대장을 맞추다가 멈칫하죠. "이 노트북, 지금 누가 가지고 있더라?"
OpsX가 운영을 도운 41개 회사를 보면, 문서로 된 오프보딩 체크리스트를 가진 곳은 13곳뿐이었습니다. 셋 중 하나죠. 나머지 28곳은 퇴사 처리가 담당자 기억에 매달려 있었고요. 그 28곳에서 최근 1년간 회수하지 못한 장비가 회사당 평균 1.8대, 금액으로 환산하면 한 곳당 210만원어치가 그냥 사라졌습니다. 노트북 한 대 값이 아니라, 누가 챙길지 정해두지 않아서 생긴 비용이에요.
가장 먼저 새는 건 계정입니다
장비보다 더 조용히 새는 게 권한이에요. 퇴사자가 나가도 그룹웨어, 클라우드 저장소, 코드 저장소, 고객 CRM 계정이 멀쩡히 살아 있는 경우가 흔합니다. A사는 영업 담당이 나간 지 4개월 뒤에야 그 사람의 CRM 계정이 외부에서 로그인된 걸 발견했어요. 다행히 악의는 없었지만, 고객 명단 전체가 4개월 동안 열려 있었던 셈이죠.
이유는 단순합니다. 누가 어떤 계정을 만들었는지 아무도 추적하지 않거든요. 입사할 때 필요할 때마다 하나씩 발급하니, 나갈 때 그 목록이 어디에도 없습니다. 그래서 기억나는 것부터 띄엄띄엄 닫죠.
24시간 안에 닫아야 하는 것들
오프보딩은 속도 싸움입니다. 마지막 출근일을 기준으로 시점을 나눠 보면 정리가 한결 쉬워져요.
| 시점 | 처리할 일 | 놓치면 |
|---|---|---|
| D-7 | 자산 대장 대조, 인수인계 문서 | 후임이 0부터 시작 |
| 마지막 날 | 장비 회수, 출입카드 반납 | 물리 자산 분실 |
| 퇴사 당일 즉시 | 계정 비활성화, 권한 회수 | 데이터 유출 창 |
| D+3 | 메일 포워딩, 정산 마감 | 고객 연락 끊김 |
핵심은 계정 비활성화를 퇴사 인사와 동시에 끝내는 거예요. 하루만 미뤄도 그 하루가 고스란히 보안 구멍입니다. 우리 회사는 퇴사자 계정을 몇 시간 안에 닫고 있나요?
빠뜨리기 쉬운 14가지
아래는 41개 회사에서 실제로 가장 자주 누락된 항목을 빈도순으로 추린 목록입니다. 위에서부터 잘 빠뜨려요.
| # | 항목 | 분류 |
|---|---|---|
| 1 | 그룹웨어·메일 계정 비활성화 | 계정 |
| 2 | 클라우드 저장소 공유 해제 | 계정 |
| 3 | 노트북·모니터 회수 | 장비 |
| 4 | 출입카드·주차권 반납 | 물리 |
| 5 | 코드 저장소 권한 회수 | 계정 |
| 6 | 고객 CRM·영업툴 계정 | 계정 |
| 7 | 법인카드 회수·한도 정지 | 행정 |
| 8 | 사내 메신저·협업툴 제거 | 계정 |
| 9 | VPN·서버 접근 키 폐기 | 계정 |
| 10 | 식대·복지 포인트 정산 | 행정 |
| 11 | 공용 비밀번호 변경 | 보안 |
| 12 | 메일 자동 포워딩 설정 | 행정 |
| 13 | 비상연락망·조직도 갱신 | 행정 |
| 14 | 자산 대장 최종 반영 | 장비 |
11번 공용 비밀번호 변경은 거의 다 빠뜨립니다. 와이파이, 공용 스트리밍 계정, 공유 관리자 비밀번호처럼 여러 명이 같이 쓰던 건 퇴사자도 그대로 알고 있죠. 개인 계정만 닫고 끝내면 이 문은 계속 열려 있어요.
B사는 이 14개를 노션 템플릿 하나로 만들어 퇴사 면담 때 같이 띄웁니다. 면담이 끝나면 체크박스가 다 채워져 있고요. 도입 전엔 오프보딩 한 건에 평균 3일이 걸렸는데, 지금은 당일에 끝납니다. 거창한 시스템이 아니라 목록 하나의 차이였어요.
장비 회수, 계정 차단, 정산까지 사람이 기억으로만 굴리면 언젠가 한 칸이 빕니다. 다음 글에서는 반대로 입사자 온보딩 첫날 셋업을 같은 방식으로 풀어볼게요.