최소 권한 원칙·역할 기반 접근 제어·정기 권한 점검으로 계정 관리 기준 접근결
계정과 권한 운영 기준을 설계할 때 가장 먼저 적용하는 원칙은 최소 권한입니다. 업무에 필요한 최소한의 권한만 부여하고, 필요가 없어지면 즉시 회수합니다. 사고가 발생했을 때 피해 범위를 줄이는 가장 직접적인 방법이 이 원칙에서 나오기 때문에, 신뢰할 수 있는 구성원에게도 역할에 맞는 권한만 부여하는 방식을 씁니다.
두 번째는 역할 기반 접근 제어입니다. 개인별로 권한을 관리하면 인원이 늘어날수록 복잡해집니다. 직무 역할에 권한을 묶고 사람을 역할에 배정하면 확장성이 생기고, 부서 이동이나 퇴사 시 역할 재배정 하나로 권한 변경이 처리됩니다.
세 번째는 정기 권한 점검입니다. 처음 잘 설계했더라도 시간이 지나면 불필요한 권한이 쌓입니다. 분기 단위 권한 목록 검토로 과잉 권한을 정리하는 루틴이 운영 기준의 핵심입니다. 불필요한 권한이 쌓인 계정은 사고 발생 시 공격 경로가 될 수 있습니다.
이 루틴 없이는 계정 관리가 점점 형식화됩니다.