퇴사자 계정 정리, 왜 다시 보안 현안으로 떠오르나
라온시큐어는 4월 3일 업스테이지와 협력해 AI 기반 계정 권한 관리 자동화를 추진한다고 밝혔다. 발표의 초점은 단순한 업무 자동화보다 기업 보안 운영에서 반복적으로 지적돼 온 ‘퇴사자·이직자 계정 정리 지연’ 문제를 줄이는 데 있다. 국내 기업들이 클라우드, SaaS, 협업툴, 내부 업무 시스템을 함께 쓰는 환경으로 이동하면서 계정 수명주기 관리의 난도는 높아졌고, 그만큼 미회수 권한이 남을 가능성도 커졌다.
퇴사자 계정 관리는 보안 점검과 내부통제에서 오래전부터 기본 항목으로 꼽혀 왔다. 다만 실제 현장에서는 인사 시스템, 그룹웨어, VPN, 개발 저장소, 메일, ERP, 문서관리 시스템이 서로 분절돼 있어 처리 속도가 늦어지는 경우가 적지 않다. 한 직원이 회사를 떠날 때 단일 계정만 닫으면 끝나는 구조가 아니라 여러 시스템의 접근 권한을 순차적으로 회수해야 하기 때문이다. 특히 협력사 계정, 단기 프로젝트 계정, 관리자 권한이 얽히면 누락과 예외 처리 부담이 커진다.
국내 IT 업계가 이번 협력을 주목하는 이유도 여기에 있다. 최근 보안 운영의 초점이 단순 탐지보다 권한 부여·변경·회수 같은 사전 통제로 확장되는 가운데, 퇴사자 계정처럼 업무 규칙이 비교적 명확한 영역은 자동화 적용 효과를 검증하기에 적합한 분야로 꼽힌다. 실제 기업 현장에서는 외부 침해 대응뿐 아니라 내부 계정 관리 미흡이 감사, 규제 대응, 법적 분쟁으로 이어질 가능성에도 민감하다. 이 때문에 계정 관리 자동화는 기술 시연보다 운영 리스크 절감 수단으로 평가된다.
AI와 IAM의 결합, 무엇이 달라지나
이번 협력의 핵심은 AI를 계정 및 접근관리(IAM) 업무에 접목하는 데 있다. 일반적인 자동화가 사전에 정의된 규칙에 따라 특정 작업을 수행하는 수준이라면, 최근 논의되는 에이전트형 AI는 주어진 목표를 바탕으로 필요한 절차를 해석하고 여러 시스템에서 작업을 연계하는 방향으로 발전하고 있다. 다만 실제 운영 환경에서는 완전 자율형보다 정책 기반의 제한된 자동화와 관리자 승인 절차가 함께 적용될 가능성이 높다.
예를 들어 인사 시스템에서 퇴사 상태가 확정되면 AI 기반 자동화 체계는 이를 신호로 받아 메일, 메신저, 문서 저장소, VPN, 개발 플랫폼, 결재 시스템 등 연결된 자산의 접근 권한을 점검하고 회수 대상과 예외 대상을 분류하는 흐름을 설계할 수 있다. 여기서 중요한 점은 단순한 ‘삭제’보다 ‘판단과 검증의 순서’다. 관리자 권한 보유 여부, 인수인계 기간 설정, 법적 보존이 필요한 데이터 존재 여부 등을 확인하지 않은 채 일괄 차단하면 업무 혼선이 커질 수 있다. 결국 실효성은 실행 속도보다 정책 해석 정확도와 예외 처리 완성도에서 갈린다.
라온시큐어는 인증·신원관리 분야의 경험을, 업스테이지는 AI 모델과 업무 자동화 역량을 결합하려는 것으로 해석된다. 이 조합이 의미를 가지려면 기술 발표 자체보다 실제 기업 환경에서 얼마나 다양한 시스템을 연결하고 운영 절차를 줄일 수 있는지가 중요하다. 지금까지 국내 다수 기업은 IAM을 구축하고도 운영 단계에서 사람의 확인 작업이 과도하게 남아 자동화 체감 효과가 낮다는 평가를 받아왔다. AI가 이 간극을 줄인다면 IAM은 도입형 솔루션을 넘어 운영형 플랫폼으로 역할이 확대될 수 있다.
기업이 기대하는 효과는 비용보다 운영 정확도
기업 입장에서 가장 먼저 기대하는 효과는 보안 리스크 축소다. 퇴사자 계정이 남아 있으면 외부 공격자가 해당 계정을 악용할 가능성뿐 아니라, 내부 문서 접근 기록과 권한 관리 이력이 불명확해지는 문제가 뒤따른다. 특히 재택근무와 외부 협업이 일상화된 이후에는 물리적 사무실 출입 차단만으로 보안 종료 절차가 끝나지 않는다. 디지털 접근 권한 회수가 퇴직 처리의 부수 절차가 아니라 핵심 통제 항목으로 바뀌고 있다.
두 번째 효과는 감사 대응이다. 상장사와 금융·공공·대기업 계열사를 중심으로 접근 권한 부여와 회수 기록을 체계적으로 남겨야 한다는 요구가 커지고 있다. 누가 언제 어떤 사유로 권한을 부여받았고, 어떤 절차를 통해 회수됐는지를 설명할 수 있어야 한다는 뜻이다. AI 기반 자동화가 이 과정을 기록하고 예외 상황을 분류해 준다면 보안팀과 내부통제 부서의 부담을 줄일 수 있다. 핵심은 AI가 결정을 대신하느냐보다 추적 가능한 이력과 재현 가능한 절차를 남기느냐다.
세 번째는 생산성이다. 기업 보안 조직은 늘어난 SaaS와 클라우드 계정, 접속 로그, 예외 요청을 인력 증원 없이 감당하는 경우가 많다. 이때 퇴사자 계정 회수처럼 규칙이 분명한 업무를 자동화하면 보안팀은 특권 계정 관리, 이상 행위 분석, 협력사 접근 통제 같은 고난도 업무에 더 많은 시간을 투입할 수 있다. 결국 AI 자동화가 주목받는 이유는 사람 대체 선언보다 보안 인력의 시간을 더 위험한 문제에 재배치할 수 있다는 현실성에 있다.
도입의 관건은 ‘자동 삭제’보다 예외 처리 설계
다만 현장 도입은 생각보다 까다롭다. 퇴사자 계정 권한 자동 삭제라는 표현은 직관적이지만, 실제 기업 운영에서는 즉시 삭제가 정답이 아닌 경우도 많다. 인수인계 기간 동안 일부 시스템은 읽기 권한만 남겨야 할 수 있고, 법무·감사 이슈로 계정은 비활성화하되 데이터 보존은 유지해야 할 수 있다. 또 계열사 간 겸직, 프로젝트 종료 후 재투입 예정 인력, 협력사 파견 인력처럼 고정된 사번 체계 밖에 있는 사용자들은 표준 규칙만으로 처리하기 어렵다.
결국 성패를 가르는 것은 AI 모델의 화려함보다 예외 처리 정책의 정교함이다. 인사 정보 변경, 조직 이동, 휴직, 계약 전환, 외주 종료 등 유사하지만 서로 다른 이벤트를 정확히 구분해야 하고, 각 이벤트마다 접근 권한 회수의 강도와 순서를 달리 설계해야 한다. 이 작업은 보안팀만으로 해결되지 않는다. 인사, 총무, IT 운영, 개발 조직, 법무, 감사가 같은 규칙 체계를 공유해야 하며, 그렇지 않으면 자동화는 오히려 오류를 빠르게 확산시키는 도구가 될 수 있다.
AI 신뢰성 문제도 남는다. 보안 업무는 한 번의 오판이 곧바로 서비스 장애나 내부 반발로 이어질 수 있다. 예를 들어 임원 계정이 잘못 차단되거나 개발 서버 접근 권한이 예정보다 일찍 끊기면 생산 차질이 발생할 수 있다. 그래서 초기 단계에서는 ‘완전 자동 삭제’보다 ‘AI 추천+관리자 승인’ 모델이 병행될 가능성이 높다. 많은 기업이 실제로 원하는 것은 무조건 빠른 자동화가 아니라, 사람이 감당하기 어려운 반복 검증을 줄이면서도 책임 소재를 분명히 하는 구조다.
국내 보안 시장에 던지는 의미
이번 협력은 국내 보안 시장에서 AI 활용 논의가 탐지 중심에서 운영 프로세스 쪽으로 넓어지고 있음을 보여준다. 지금까지 AI 보안은 위협 탐지, 악성코드 분석, 로그 분석처럼 탐지 중심 영역에서 주로 거론돼 왔다. 그러나 기업 고객의 실제 구매 판단은 탐지 성능만으로 이뤄지지 않는다. 이미 많은 조직이 경보 과잉, 인력 부족, 사후 처리 지연 문제를 겪고 있기 때문이다. 이런 상황에서 계정 수명주기 관리처럼 운영 프로세스에 직접 연결되는 AI는 비교적 빠르게 예산 타당성을 검토할 수 있는 영역으로 평가된다.
또 하나의 변수는 국내 기업 환경과의 연동성이다. 국내 기업들은 글로벌 솔루션을 도입하더라도 전자결재, 그룹웨어, 내부 HR 시스템, 자체 개발 업무 포털 등 로컬 환경과의 연동 문제로 운영 효율이 떨어지는 경험을 자주 한다. 라온시큐어와 업스테이지의 협력이 의미를 가지려면 단순히 국산 기술 결합이라는 점보다, 국내 기업 운영 구조에 맞는 연결성과 정책 반영 속도를 얼마나 높일 수 있는지가 핵심이다. 보안은 기술 우위만으로 채택되지 않고 현장 프로세스에 얼마나 자연스럽게 녹아드는지가 중요하다.
이 흐름은 향후 제로트러스트와도 연결된다. 제로트러스트는 로그인 순간의 인증 강화만으로 완성되지 않는다. 사용자의 신분과 역할이 바뀌었을 때 권한을 얼마나 즉시, 세밀하게 조정하느냐가 핵심이다. 그런 점에서 퇴사자 권한 회수 자동화는 부가 기능이라기보다 신원 기반 통제 체계의 기본 요소에 가깝다. 다만 이번 협력 하나만으로 국내 시장 전체의 전환점을 단정하기보다는, 실제 도입 사례와 운영 성과가 얼마나 쌓이는지를 지켜볼 필요가 있다.
실무자가 확인할 체크포인트
실무자 관점에서 가장 먼저 봐야 할 것은 적용 범위다. 특정 솔루션이 퇴사자 계정 삭제를 지원한다고 해도 실제로는 메일과 그룹웨어만 연동되고 개발 저장소나 외부 SaaS는 별도 작업이 필요한 경우가 많다. 따라서 도입 효과를 판단하려면 자사에서 쓰는 시스템 중 몇 개까지 자동 처리되는지, 예외 승인 흐름이 있는지, 로그와 감사 기록이 남는지부터 확인해야 한다. 도입 검토 단계에서 기술 데모보다 시스템 연결 목록과 정책 시나리오를 먼저 점검해야 하는 이유다.
두 번째는 데이터 거버넌스다. AI 기반 자동화가 인사 이벤트와 권한 정보, 업무 시스템 상태를 종합적으로 다루려면 민감한 내부 데이터에 접근할 수밖에 없다. 이때 어떤 데이터가 모델 입력으로 사용되는지, 어떤 정보가 저장되는지, 외부 환경으로 전송되는지 여부를 명확히 해야 한다. 특히 개인정보와 인사 정보는 국내 기업에서 가장 민감한 데이터 축에 속하므로, 보안 자동화를 위해 더 큰 정보 노출 위험을 만드는 역설을 피해야 한다.
세 번째는 책임 구조다. 자동화가 확대될수록 사고 발생 시 책임 소재를 둘러싼 논란도 커질 수 있다. AI가 추천했고 관리자가 승인했는지, 정책 엔진이 자동 집행했는지, 예외 규칙을 누가 등록했는지에 따라 사후 대응은 달라진다. 결국 기업은 기술을 사는 동시에 운영 원칙을 함께 설계해야 한다. 이번 협력의 의미는 단일 기능 소개보다, 한국 IT 시장에서 AI 보안이 실제 운영 문제를 얼마나 줄일 수 있는지 시험대에 올랐다는 점에 있다.
독자 입장에서 핵심은 분명하다. 앞으로 기업 보안의 경쟁력은 더 많은 탐지 알림을 쌓는 데서만 나오지 않는다. 입사부터 이동, 휴직, 퇴사에 이르는 신원 변화가 시스템 권한에 얼마나 빠르고 정확하게 반영되는지가 점점 더 중요해지고 있다. AI가 그 변화를 앞당길 수 있을지는 실제 현장 도입과 운영 성과가 가를 문제다. 지금 확인해야 할 지점은 계정 삭제를 얼마나 자동화했는지가 아니라, 예외까지 포함한 권한 통제 체계를 얼마나 설명 가능하게 만들었는지다.
