유령 엔지니어

'유령 엔지니어(Ghost Engineers)'라는 현상을 들어보셨나요? 이 용어는 회사 내부의 직원 명단에는 존재하지만, 실제로는 더 이상 조직에서 일하지 않는 사람들을 가리킵니다. 최근 스탠포드 연구에 따르면 기술 업계에서 약 9.5%의 엔지니어가 이러한 '유령'에 해당하며, 이로 인해 기업들이 연간 약 900억 달러에 이르는 막대한 손실을 겪고 있습니다. 하지만 이 문제는 단순한 비용 낭비를 넘어서, 조직의 보안과 신뢰도까지 위협할 수 있는 심각한 상황을 초래합니다.

1. 스탠포드 연구 결과

• 스탠포드 대학 연구진이 기술 기업들의 인력 데이터를 분석한 결과, 약 9.5%의 엔지니어가 실제로는 존재하지 않는 것으로 나타났습니다.

• 이들은 퇴사, 계약 종료 등으로 이미 조직을 떠났지만, 여전히 회사 시스템에 등록된 상태입니다.

2. 경제적 및 운영적 손실

• 이러한 유령 엔지니어로 인해 기업들은 연간 약 900억 달러를 낭비하고 있습니다.

  • 급여, 복리후생, 소프트웨어 라이선스 비용 등이 낭비되는 주요 요인입니다.

• 조직 관리 및 프로젝트 성과에도 혼란을 초래할 수 있습니다.

3. 보안 위험

• 퇴사한 직원들의 계정이나 시스템 접근 권한이 그대로 남아 있는 경우, 이를 악용한 데이터 유출과 시스템 침해 위험이 높아집니다.

• 외부의 악의적인 사용자가 유령 계정을 통해 조직에 침투할 가능성도 있습니다.

유령 엔지니어가 발생하는 주요 원인

1. 인력 관리의 허점

• 퇴사 및 이동 처리 미흡: 직원 퇴사 후 계정 비활성화 또는 삭제 절차가 제대로 수행되지 않는 경우 발생합니다.

• 인사 데이터 업데이트 부족: 직원의 역할 변경이나 계약 종료 정보가 시스템에 반영되지 않는 경우입니다.

2. 계약직 및 외주 인력 관리

• 단기 프로젝트에 투입된 계약직이나 외주 직원들의 계정이, 계약 종료 후에도 여전히 활성 상태로 유지되는 경우가 많습니다.

3. 자동화 부족

• 인사 및 계정 관리가 수동으로 이루어지는 경우, 사람의 실수로 인해 계정 삭제가 누락될 가능성이 높습니다.

문제 해결 방안

1. 정기적인 데이터 감사

• 주기적으로 모든 직원 및 계정을 검토하여, 실제 근무 중인 인력과 활성 계정을 일치시켜야 합니다.

• "언제 마지막으로 계정을 사용했는가?"를 기준으로 비활성 계정을 식별할 수 있습니다.

2. 자동화된 계정 관리 시스템 도입

• 입사 및 퇴사 시 계정 생성과 삭제를 자동화하는 시스템을 도입하면, 실수나 누락을 최소화할 수 있습니다.

• 프로젝트 기간 종료 시 자동으로 접근 권한을 회수하는 프로세스도 유용합니다.

3. 최소 권한 원칙(Principle of Least Privilege)

• 모든 계정은 역할과 필요에 따라 최소한의 권한만 부여받도록 설정해야 합니다.

• 퇴사한 직원의 데이터 및 접근 권한을 신속히 철회하는 것이 중요합니다.

인증/권한에 대한 솔루션을 사용하는 것이 이제는 많이 보편화 되었다고 생각했는데, 아직도 제대로 잘 이루어지지 못하고, 이를 통한 지출이 여전히 큰 것 같습니다. 여러분의 조직에서는 어떻게 관리하고 계시나요?

https://socket.dev/blog/ghost-engineers