# Ask HN: 회사에서 어떤 방법으로 비밀번호를 저장하고 공유하나요?

> Clean Markdown view of GeekNews topic #16579. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=16579](https://news.hada.io/topic?id=16579)
- GeekNews Markdown: [https://news.hada.io/topic/16579.md](https://news.hada.io/topic/16579.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-09-03T08:33:15+09:00
- Updated: 2024-09-03T08:33:15+09:00
- Original source: [news.ycombinator.com](https://news.ycombinator.com/item?id=41417659)
- Points: 23
- Comments: 1

## Summary

회사에서는 수많은 비밀번호를 효율적으로 관리하는 것이 중요한데요. 새로운 직원이 첫날부터 필요한 비밀번호에 접근할 수 있도록 하고, 승진 시 추가 권한을 부여하는 방법에 대해 소개합니다. 댓글을 참고하세요.

## Topic Body

- IT 직종에서는 수많은 비밀번호를 관리해야 함  
- 비밀번호를 저장하고 접근 권한을 부여하는 추천 방법이 있을까?  
  - 새로운 직원이 첫날부터 필요한 모든 비밀번호에 접근할 수 있도록  
  - 새로운 직원이 승진할 때 추가로 필요한 비밀번호에 접근 권한을 부여  
  - 직원이 회사를 떠날 때, 그들이 접근했던 중요한 비밀번호를 변경하고, 접근 권한이 있는 모든 사람에게 변경 사실을 알리기

## Comments



### Comment 28503

- Author: neo
- Created: 2024-09-03T08:33:17+09:00
- Points: 1

#### [Hacker News 의견](https://news.ycombinator.com/item?id=41417659)   
- **비밀번호 관리 최소화**  
  - SSO를 사용하여 가능한 많은 서비스를 OIDC로 통합하고, 클라우드 버전의 1Password를 사용하여 감사와 접근 관리가 용이하게 함  
  - 사람들에게 비밀번호에 대한 액세스 권한을 부여할 때, 해당 사람들이 다른 역할로 변경하거나 퇴사할 경우 비밀번호를 교체해야 한다는 점을 기억할 것. 비밀번호가 전혀 귀찮지 않다면 뭔가 잘못하고 있는 것  
- **비밀번호 관리 방법**:   
  - 모든 암호는 유니크 해야함. 가능한 한 비밀번호 공유를 피할 것. SSO 사용   
  - 필요 시 비밀번호 관리자를 사용하거나 Hashicorp Vault 또는 OpenBao 와 같은 솔루션을 사용  
- **조직 규모에 따른 접근 방법**:  
  - 사람과 서비스 수에 따른 보안 전략  
    - 1-20명 - 비밀번호 관리자(Bitwarden, 1Password 등) 사용  
    - 20-30명 이상 - SSO 사용  
    - 50명 이상 - SSO 스키마에 실제 역할 할당 시작  
    - 1-5개 서비스 - CircleCI의 시크릿과 비밀번호 관리자로 충분함  
    - 5개 이상 인스턴스 - Vault와 같은 시크릿 관리자 사용  
    - 10개 이상 인스턴스 - 개발을 위해 로컬에서도 시크릿 관리자 사용 시작. 각 서비스와 팀 구성원에게 잘 범위가 지정된 IAM 정책 사용 고려 시작  
    - 15개 이상 인스턴스 - 추가적인 제로 트러스트 경계 고려 시작  
  - 당연히 이는 매우 대략적임. 규제/규정 준수 요구 사항과 수익 규모에 따라 이러한 작업을 더 일찍 해야 할 수도 있음  
  - 보안 강화 단계  
    1. 쉽게 취소할 수 없더라도 시크릿을 중앙 집중화(비밀번호 관리자)  
    2. 쉽게 취소 가능하고 중앙 집중화(SSO)  
    3. 역할과 액세스를 더 세분화(RBAC)  
    4. 이 단계들 사이에 자동화 적용(적절한 경우)  
- 일반 계정과 관리자 계정을 분리하여 사용  
- **중앙 집중화와 자동화**:  
  - 비밀을 중앙 집중화하고 쉽게 철회 가능하게 함  
  - 역할 기반 접근 제어(RBAC)를 사용하여 세분화된 접근 권한 부여  
  - 자동화를 통해 모든 단계를 연결함  
- **자체 인증/비밀 관리 도구 구축 하지 말 것**: 매우 복잡하고 위험이 크므로 자체 구축을 가능한 피할 것   
- 가능한 한 많은 작업을 자동화하고, 직원이 프로덕션 시스템에 접근할 필요가 없도록 할 것   
- **Rippling 추천**: SSO와 HR 관리가 통합된 솔루션으로 추천  
- **보안 프로그램 구축 경험**:  
  - SSO 사용: 예산이 허용되면 Okta, 그렇지 않으면 Keycloak 사용  
  - 비밀번호 관리자 사용: 1Password 추천  
  - 비밀 관리 솔루션 사용: HashiCorp Vault 추천  
- **SSO와 2FA**: SSO와 2FA를 함께 사용하여 보안 강화