팀 SaaS 계정 권한 감사 체크리스트 2026, 공유계정·외주 계정·앱 연결 회수 기준
팀 SaaS 계정 권한 감사 체크리스트 2026, 공유계정·외주 계정·앱 연결 회수 기준
작은 팀도 이제 Google Workspace, Microsoft 365, 비밀번호 관리자, 전자계약, CRM, 자동화 도구, 쇼핑몰 관리자, 광고 계정, 파일 공유 도구를 같이 씁니다. 문제는 도구가 늘어나는 속도보다 계정 회수 기준을 정리하는 속도가 느리다는 점입니다.
퇴사자가 생겼을 때 메일 계정만 끄고 끝내면 부족합니다. 공유 드라이브, 비밀번호 관리자, Zapier·Make·n8n 같은 자동화 연결, 전자계약 관리자 권한, CRM 고객 데이터 접근권한이 남을 수 있습니다. 이 글은 보안 컨설팅을 대신하는 글이 아니라, 작은 팀이 SaaS를 결제하거나 정리하기 전에 확인할 계정 권한 운영 체크리스트입니다.
공식 문서 확인 기준은 2026년 6월 17일입니다. Google Workspace, Microsoft Entra ID, 1Password, Bitwarden, Zapier, Make, n8n의 계정 관리 기능과 플랜 조건은 바뀔 수 있으므로 실제 적용 전에는 각 관리자 콘솔과 공식 문서를 다시 확인해야 합니다.
먼저 결론부터 보면
팀 SaaS 계정 권한 감사는 아래 순서로 잡는 편이 현실적입니다.
| 순서 | 점검 질문 |
|---|---|
| 1 | 팀원이 쓰는 핵심 SaaS 목록을 1곳에 모았는가 |
| 2 | 각 도구의 owner, admin, member, guest 권한을 구분했는가 |
| 3 | 퇴사자와 외주 인력을 같은 절차로 회수할 수 있는가 |
| 4 | Google Workspace 또는 Microsoft Entra ID를 중심 계정으로 둘 것인가 |
| 5 | 비밀번호 관리자에서 공유 vault와 개인 vault를 구분했는가 |
| 6 | Zapier, Make, n8n 같은 자동화 연결 계정의 소유자를 확인했는가 |
| 7 | 매월 또는 분기별로 권한 리뷰 일정을 만들었는가 |
좋은 도구를 고르는 것보다 중요한 것은 "누가 어떤 권한을 갖고 있고, 그 사람이 나가면 무엇을 끊을지"를 문서로 남기는 일입니다.
SaaS 권한 점검이 필요한 순간
아래 상황이 하나라도 있으면 계정 권한 점검을 먼저 해야 합니다.
- Google Workspace나 Microsoft 365 관리자가 1명뿐입니다.
- 외주, 아르바이트, 협력사 계정을 일반 직원과 같은 방식으로 초대합니다.
- 전자계약, CRM, 쇼핑몰, 자동화 도구가 개인 이메일로 만들어져 있습니다.
- Zapier, Make, n8n 연결 계정이 퇴사자 계정에 묶여 있습니다.
- 비밀번호 관리자는 쓰지만 공유 vault와 개인 vault 기준이 없습니다.
- 파일 공유 링크를 누가 만들었는지 확인하지 않습니다.
- 퇴사자 처리 체크리스트가 메일 계정 정지에서 끝납니다.
이 글은 팀 2단계 인증·SSO 체크리스트 다음 단계로 보면 좋습니다. MFA와 SSO가 로그인 기준이라면, SaaS 권한 리뷰는 "로그인 뒤 어떤 데이터와 자동화에 접근할 수 있는가"를 보는 작업입니다.
1단계: 핵심 SaaS 목록 만들기
먼저 도구 목록을 만들어야 합니다. 복잡한 자산관리 시스템이 없어도 아래 표 정도는 필요합니다.
| 구분 | 예시 | 반드시 적을 항목 |
|---|---|---|
| 중심 계정 | Google Workspace, Microsoft 365 | 최고 관리자, 결제 관리자, 보안 관리자 |
| 파일 공유 | Google Drive, OneDrive, Dropbox | 외부 공유, 공유 드라이브, 게스트 |
| 비밀번호 관리자 | 1Password, Bitwarden | owner, admin, vault, group |
| 자동화 | Zapier, Make, n8n | 연결 계정, API 키, workflow owner |
| 고객·계약 | CRM, 전자계약, 예약, 상담 도구 | 고객 데이터 접근권한, 관리자 |
| 광고·쇼핑몰 | Google Ads, Meta, 스마트스토어, 카페24 | 결제 권한, 상품·주문 접근권한 |
이미 여러 도구를 쓰고 있다면 팀 파일 공유 보안 체크리스트와 팀 비밀번호 관리자 비교를 같이 열어 두고 정리하면 흐름이 맞습니다.
2단계: Google Workspace 퇴사자 처리 기준
Google Workspace 팀은 사용자를 단순 삭제하기 전에 데이터와 접근권한을 나눠 봐야 합니다. Google Workspace 공식 문서는 관리자가 사용자를 suspend하면 조직의 Google 서비스 접근을 차단할 수 있고, 이메일·문서·캘린더 같은 데이터가 바로 삭제되는 것은 아니라고 설명합니다.
출처: Google Workspace – Suspend a user temporarily
또한 Google의 퇴사자 데이터 보안 문서는 모바일 기기 원격 삭제, 복구 이메일·전화번호 제거, 비밀번호 변경, OAuth 토큰 회수, 로그인 쿠키 초기화, 보안키와 앱 비밀번호 회수, 필요한 데이터 이전 후 계정 삭제 같은 순서를 제시합니다.
출처: Google Workspace – Maintain data security after an employee leaves
Google Workspace에서 특히 봐야 할 항목은 다음과 같습니다.
| 항목 | 확인할 일 |
|---|---|
| 계정 정지 | 퇴사 즉시 로그인 가능성을 줄일 수 있는가 |
| 데이터 이전 | Drive 파일과 캘린더 데이터를 새 소유자에게 넘길지 정했는가 |
| OAuth 토큰 | 외부 앱 접근권한을 회수했는가 |
| 복구 정보 | 개인 복구 이메일과 전화번호가 남아 있지 않은가 |
| 공유 드라이브 | 팀 소유 문서가 개인 My Drive에 묶여 있지 않은가 |
| 외부 공유 | 협력사, 개인 Gmail, 공개 링크가 남아 있지 않은가 |
Google Drive 파일은 삭제 전에 소유권 이전 기준을 정해야 합니다. Google 공식 문서는 관리자가 Drive 파일을 새 소유자에게 이전할 수 있는 절차를 제공합니다.
출처: Google Workspace – Transfer Drive files to a new owner as an admin
3단계: Microsoft 365와 Entra ID 기준
Microsoft 365 중심 팀은 Microsoft Entra ID의 사용자 수명주기 관리와 그룹·Teams·라이선스 회수를 같이 봐야 합니다. Microsoft Learn 문서는 Lifecycle Workflows가 joiner, mover, leaver 흐름의 반복 작업을 자동화하는 기능이라고 설명합니다.
출처: Microsoft Learn – Understanding lifecycle workflows
Microsoft의 실시간 퇴사자 workflow 튜토리얼은 사용자를 모든 그룹에서 제거하고, Teams 멤버십에서 제거하고, 계정을 삭제하는 leaver 시나리오를 예시로 듭니다.
출처: Microsoft Learn – Execute employee termination tasks by using lifecycle workflows
Microsoft 365 팀은 아래를 먼저 확인하면 됩니다.
- 전역 관리자, 보안 관리자, 결제 관리자 계정을 별도로 관리합니다.
- 퇴사자 계정에서 Microsoft 365 라이선스를 회수할 시점을 정합니다.
- Teams, SharePoint, OneDrive, Exchange 접근권한을 함께 확인합니다.
- 그룹 멤버십과 공유 링크를 한 번에 점검할 담당자를 둡니다.
- 자동화가 필요하면 Entra ID Governance 라이선스와 Lifecycle Workflows 적용 범위를 확인합니다.
Google Workspace와 Microsoft 365를 비용 관점에서 비교 중이라면 Google Workspace·Microsoft 365·Dropbox 요금 비교도 같이 볼 만합니다.
4단계: 비밀번호 관리자 권한 회수
1Password와 Bitwarden은 단순히 비밀번호를 저장하는 도구가 아닙니다. 팀 계정에서는 vault, collection, group, SSO, SCIM, admin role이 얽힙니다.
1Password 공식 문서는 팀원을 추가·제거할 수 있고, 1Password Business에서는 SCIM Bridge와 ID 공급자를 연결해 팀원을 자동 초대하거나 suspend할 수 있다고 설명합니다.
출처: 1Password Support – Add and remove team members
1Password의 offboarding 문서는 팀원 계정을 삭제하기 전에 Employee vault 내용을 이전해야 하며, 삭제하면 Employee vault에 저장된 항목을 복구할 수 없다고 안내합니다.
출처: 1Password Support – Offboard a team member
Bitwarden 공식 문서는 조직에서 사용자를 제거하면 조직과 공유 항목·컬렉션 접근은 막히지만, 개인 Bitwarden 계정 자체가 자동 삭제되는 것은 아니라고 설명합니다.
출처: Bitwarden – Onboarding and Succession Guide
Bitwarden의 사용자 관리 문서는 수동 초대 외에도 Teams와 Enterprise 조직에서 SCIM, Directory Connector, Enterprise 조직에서 JIT 같은 방식으로 사용자를 관리할 수 있다고 안내합니다.
출처: Bitwarden – User Management
비밀번호 관리자 점검표는 아래처럼 두는 편이 좋습니다.
| 항목 | 확인 기준 |
|---|---|
| owner 계정 | 최소 2명 이상 복구 가능한 구조인가 |
| admin 계정 | 관리자 권한자가 너무 많지 않은가 |
| 공유 vault | 업무 계정이 개인 vault에 저장되어 있지 않은가 |
| 퇴사자 vault | Employee vault 이전 또는 보존 기준이 있는가 |
| SCIM | ID 공급자에서 비활성화하면 비밀번호 관리자도 suspend되는가 |
| 감사 로그 | 최근 접근 이력과 내보내기 흔적을 볼 수 있는가 |
비밀번호 관리자 선택 단계라면 팀 비밀번호 관리자 비교 2026에서 SSO·SCIM·감사 로그 항목을 먼저 확인하면 됩니다.
5단계: 자동화 도구 권한 회수
권한 점검에서 자주 빠지는 곳이 자동화 도구입니다. Zapier, Make, n8n에는 다른 SaaS와 연결된 토큰, API 키, webhook, scenario, workflow가 남습니다. 퇴사자 계정으로 만든 자동화가 계속 주문, 문의, 계약, 고객 데이터를 만질 수 있습니다.
Zapier 공식 문서는 Team과 Enterprise 계정에서 owner, admin, member, super admin 같은 역할을 제공하며, 계정 유형에 따라 역할이 다르다고 설명합니다.
출처: Zapier Help – User roles and permissions in Team and Enterprise accounts
Make 공식 문서는 조직과 팀 구조를 사용하고, 사용자를 팀에 배정하며, 팀 역할에 따라 데이터와 scenario 접근권한이 달라진다고 설명합니다.
n8n 공식 문서는 user management가 로그인·비밀번호 관리, 사용자 추가·제거, owner·admin·member 같은 account type을 포함한다고 설명합니다.
출처: n8n Docs – User management
자동화 도구는 아래 항목을 꼭 따로 봐야 합니다.
| 항목 | 질문 |
|---|---|
| workflow owner | 퇴사자 개인 계정이 owner인가 |
| 연결 계정 | Gmail, Drive, CRM, 쇼핑몰 API 토큰이 누구 계정인가 |
| webhook | 외부에서 계속 호출되는 주소가 남아 있는가 |
| 결제 권한 | 자동화 도구 결제와 seat 관리자가 누구인가 |
| 로그 | 최근 실행 이력에서 퇴사자 계정 연결이 보이는가 |
| 대체 계정 | 업무용 공용 연결 계정으로 옮길 수 있는가 |
노코드 자동화 도구 비교를 보고 Zapier, Make, n8n 중 하나를 고를 때도 가격만 보지 말고 권한 회수 구조를 같이 봐야 합니다.
퇴사자·외주 권한 회수 30분 체크리스트
급하게 퇴사자나 외주 계정을 정리해야 한다면 아래 순서로 처리합니다.
| 순서 | 작업 |
|---|---|
| 1 | 중심 계정에서 로그인 차단 또는 계정 정지 |
| 2 | 비밀번호 관리자에서 shared vault와 group 접근 제거 |
| 3 | Google Drive, OneDrive, Dropbox 외부 공유 확인 |
| 4 | CRM, 전자계약, 예약, 상담 도구 관리자 권한 제거 |
| 5 | Zapier, Make, n8n 연결 계정과 workflow owner 확인 |
| 6 | 쇼핑몰, 광고, 결제, 세금계산서 도구 권한 확인 |
| 7 | API 키, webhook, app password, OAuth 토큰 회수 |
| 8 | 필요한 업무 파일과 고객 응대 이력 소유권 이전 |
| 9 | 최근 로그인·공유·내보내기 로그 샘플 확인 |
| 10 | 처리 결과를 날짜, 담당자, 남은 예외로 기록 |
전자계약과 고객관리 도구까지 쓰는 팀은 전자계약 서비스 비교와 소상공인 CRM 선택 기준의 관리자·고객정보 접근 기준도 같이 점검하면 좋습니다.
매월 권한 리뷰 표
SaaS 권한 리뷰는 매번 큰 프로젝트로 만들면 오래 가지 않습니다. 매월 30분짜리 표로 운영하는 편이 낫습니다.
| 영역 | 확인할 항목 | 담당 |
|---|---|---|
| 중심 계정 | 관리자, 보안 관리자, 결제 관리자 | 대표 또는 운영 담당 |
| 파일 공유 | 외부 공유, 공개 링크, 공유 드라이브 | 문서 담당 |
| 비밀번호 관리자 | owner, admin, group, vault | 보안 또는 운영 담당 |
| 자동화 | workflow owner, 연결 계정, webhook | 자동화 담당 |
| 고객 데이터 | CRM, 상담, 예약, 전자계약 권한 | 영업 또는 운영 담당 |
| 결제 | SaaS seat, 미사용 계정, 연간 결제 | 회계 또는 대표 |
| 예외 | 외주, 임시 계정, 비상 계정 | 운영 담당 |
핵심은 완벽한 보안 문서를 만드는 것이 아닙니다. 다음 달에도 같은 표를 열 수 있게 만드는 것입니다.
피해야 할 결정 방식
아래 방식은 피하는 편이 좋습니다.
- SSO를 켰으니 모든 SaaS 권한 회수가 끝났다고 생각합니다.
- 퇴사자 계정을 정지했지만 자동화 연결 계정은 확인하지 않습니다.
- 공유 계정을 여러 명이 쓰면서 2단계 인증 백업코드를 문서화하지 않습니다.
- owner 권한을 대표 1명에게만 두고 복구 계정을 만들지 않습니다.
- 비밀번호 관리자 개인 vault에 업무 계정이 들어가도 방치합니다.
- 외주 계정을 직원 계정과 같은 그룹에 넣고 종료일을 기록하지 않습니다.
- SaaS 결제 seat만 줄이고 데이터 소유권 이전을 확인하지 않습니다.
특히 공유 계정은 편해 보여도 퇴사자 회수와 감사 로그에서 문제가 됩니다. 가능하면 개인별 계정, 역할 기반 권한, 공유 vault, SSO, SCIM 순서로 정리하는 편이 낫습니다.
구매 전 확인할 기능
새 SaaS를 결제하기 전에는 아래 기능을 확인합니다.
| 기능 | 왜 필요한가 |
|---|---|
| 역할 구분 | owner, admin, member, viewer가 나뉘어야 합니다 |
| 그룹 관리 | 부서·프로젝트별 권한 회수가 쉬워집니다 |
| SSO | 중심 계정에서 로그인 정책을 통제하기 쉽습니다 |
| SCIM | 입사자·퇴사자 계정 처리를 자동화할 수 있습니다 |
| 감사 로그 | 최근 접근, 변경, 내보내기 이력을 확인할 수 있습니다 |
| 소유권 이전 | 퇴사자 workflow, 파일, 계약, 고객 데이터를 넘길 수 있습니다 |
| 비상 계정 | SSO 장애나 관리자 퇴사 때 복구할 수 있습니다 |
모든 팀이 처음부터 Enterprise 플랜을 써야 한다는 뜻은 아닙니다. 다만 직원 수가 늘고 고객 데이터, 계약서, 결제 권한, 자동화 API가 늘어났다면 무료·개인 플랜의 한계가 빨리 드러납니다.
마무리 기준
팀 SaaS 계정 권한 감사는 보안팀만의 일이 아닙니다. 작은 팀에서는 대표, 운영 담당, 회계, 영업, 자동화 담당이 같이 봐야 합니다. Google Workspace나 Microsoft 365에서 중심 계정을 정하고, 비밀번호 관리자에서 공유 vault와 그룹을 정리하고, Zapier·Make·n8n 같은 자동화 도구의 연결 계정을 확인하는 것부터 시작하면 됩니다.
좋은 기준은 간단합니다. 새 사람을 초대할 때 어떤 그룹에 넣을지 정해져 있고, 사람이 나갈 때 어떤 계정과 연결을 끊을지 30분 안에 확인할 수 있어야 합니다.
함께 보면 좋은 글
- 팀 2단계 인증·SSO 체크리스트
- 팀 비밀번호 관리자 비교
- 팀 파일 공유 보안 체크리스트
- Google Workspace·Microsoft 365·Dropbox 요금 비교
- 노코드 자동화 도구 비교
공식 출처
- Google Workspace – Suspend a user temporarily
- Google Workspace – Maintain data security after an employee leaves
- Google Workspace – Transfer Drive files to a new owner as an admin
- Microsoft Learn – Understanding lifecycle workflows
- Microsoft Learn – Execute employee termination tasks by using lifecycle workflows
- 1Password Support – Add and remove team members
- 1Password Support – Offboard a team member
- Bitwarden – Onboarding and Succession Guide
- Bitwarden – User Management
- Zapier Help – User roles and permissions in Team and Enterprise accounts
- Make Help Center – Teams
- n8n Docs – User management
About The Author
