계정 권한을 누가 어디까지 갖고 있는지 묻는 글을 보다가 멈췄다. 한 관리자는 입사·퇴사·부서 이동 때마다 AD 그룹, SaaS 관리자 화면, 공유 드라이브, 위키 권한을 따로 열어 확인하고 있었고, 답글 쪽 분위기도 “결국 스프레드시트와 티켓 링크로 맞춰 본다”에 가까웠다. 보안 툴을 이미 쓰고 있어도 실제 감사 직전에는 사람이 화면을 캡처하고 표를 갱신하는 장면이 남는다는 게 묘했다. 이 불편은 거창한 IAM 교체 문제가 아니라, 작은 회사 안에서 반복되는 “권한 증거 모으기” 문제처럼 보인다. 지금은 엑셀, Jira 티켓, Okta/Google Workspace 내보내기, Slack 확인 메시지가 임시 접착제 역할을 한다. 그런데 분기마다 같은 CSV를 받고, 퇴사자 한 명만 생겨도 다시 비교하고, 감사 시즌에는 누가 승인했는지 찾아 다니는 시간이 계속 쌓인다. 작게 만들 수 있는 제품은 모든 권한을 통제하겠다는 대시보드보다, 여러 SaaS의 권한 스냅샷을 가져와 이전 분기와 달라진 사람·그룹·공유 폴더만 보여주고 “승인 근거”를 한 줄로 붙이는 도구 아닐까. 보안팀이 없는 50~300명 회사라면, 비싼 GRC 도입 전에 이 얇은 레이어 하나만으로도 야근 몇 번은 줄어들 것 같다.