비활성 계정 정리로 잊고 있던 보안 구멍을 막습니다

비활성 워드프레스 계정 정리는 조직의 인사 변동이 잦은 의료기관에서 특히 놓치기 쉬운 보안 항목입니다. 제가 관리 이전 받은 병원 사이트를 점검했을 때, 워드프레스 관리자 목록에 5년 전 퇴사한 직원 이름으로 된 관리자 계정이 여전히 활성 상태였습니다. 더 놀라운 건 그 계정이 최근에도 로그인 시도 기록이 있었다는 점이었습니다. 당사자는 퇴사 후 사이트를 전혀 이용하지 않았다고 했으니, 그 로그인 시도는 외부 누군가의 것이었습니다.

비활성 계정 파악하기

워드프레스 관리자 → 사용자로 이동하면 모든 계정 목록이 나타납니다.

마지막 로그인 시간을 보려면 WP Last Login 플러그인을 설치하면 됩니다. 설치 후 사용자 목록에 “마지막 로그인” 컬럼이 추가됩니다.

확인해야 할 항목:

• 6개월 이상 로그인 이력 없는 계정
• 퇴사·이직한 담당자의 계정
• 설명 없는 임시 계정 (admin2, test, backup 등)
• 실제 사람이 아닌 것처럼 보이는 계정명

계정 처리 방법

즉시 삭제: 퇴사자 계정, 용도를 알 수 없는 임시 계정

삭제 시 해당 계정이 작성한 게시글을 다른 계정으로 이전하는 옵션이 나옵니다. 블로그 포스팅이 있다면 운영자 계정으로 이전하세요.

역할 강등: 관리자였지만 글만 쓰는 업무라면 에디터나 작성자로 역할 변경

사용자 → 사용자 선택 → 역할 변경

워드프레스 역할별 권한:

• 관리자: 모든 권한 (최소 인원만)
• 에디터: 모든 글 편집 가능, 설정 변경 불가
• 작성자: 자신의 글만 관리
• 구독자: 읽기만 가능

계정 보안 정책 만들기

의료기관은 담당자 교체가 잦으므로 계정 관리 정책을 문서화해두는 것이 중요합니다.

추천 정책:

• 담당자 퇴사·이직 즉시 계정 비활성화 또는 삭제
• 분기마다 사용자 목록 검토
• 신규 계정 생성 시 역할과 사용 목적 메모 남기기
• 관리자 계정은 2명 이하로 최소화

보안은 기술 설정만이 아닙니다. 사람과 프로세스가 함께 관리돼야 합니다. 분기 점검 루틴에 사용자 계정 검토를 꼭 포함시키세요.