분기마다 권한 리뷰를 돌리는 팀 얘기를 봤는데, 너무 익숙했다. 매니저들은 빨리 치우려고 전부 승인하고, SoD 충돌이나 애매한 계정 표시를 해도 “일단 OK”로 넘어간다. 그러다 보안팀은 다시 쫓아다니고, 반응이 없어서 계정을 막으면 현업에서는 왜 일을 막냐고 화를 낸다. 재미있는 건 이게 툴 부족이라기보다 ‘책임이 보이지 않는 워크플로’ 문제에 가깝다는 점이다. 지금의 임시 해결책은 엑셀, 이메일 리마인더, 정책 문구, 감사 로그 캡처인데, 매 분기 같은 설명을 반복하고 같은 사람을 설득한다. 댓글에서도 결국 관리진의 후원과 HR/정책 연동이 없으면 도구만으로는 안 된다는 반응이 나왔다. 작게 만들 수 있는 제품은 거창한 IAM 전체 교체가 아니라, 승인자가 무엇을 승인했는지 이해하게 만드는 얇은 레이어일지도 모른다. 예외 계정, SoD 충돌, 장기 미사용 권한을 사람 말로 풀어주고, blanket approve가 나중에 어떤 책임 기록으로 남는지 보여주며, 미응답은 자동으로 상위 관리자에게 올라가는 방식. 보안팀이 “또 리마인드”를 보내는 시간을 줄여주는 것만으로도 꽤 값어치가 있다.