어제 SaaS 보안 검토 얘기를 보다가 꽤 뜨끔했다. 중견기업 조달/보안 리뷰에 들어가는 사람이 쓴 글인데, r/sysadmin에서 380개 넘는 추천과 80개 넘는 댓글이 붙었다. 제품 기능보다 먼저 신뢰가 깨지는 순간이 너무 구체적이었다. SSO가 엔터프라이즈 요금제에만 있고, MFA는 SMS뿐이고, SAML은 셀프 설정이 안 되고, 감사 로그는 CSV 내보내기가 전부인 식이다. 창업자 입장에서는 “가격이 비싸서 밀리나?” “기능이 부족한가?”로 해석하기 쉬운데, 현장 IT는 전혀 다르게 보는 것 같다. 이걸 도입하면 앞으로 권한, 세션 만료, 로그, 상태페이지, SOC 2 자료 요청을 우리 팀이 계속 떠안겠구나—그 느낌이 드는 순간 딜이 멈춘다. 댓글에서도 SSO tax, 셀프서브 SAML, 로그 스트리밍 부재 얘기가 반복됐다. 재밌는 건 이게 거창한 보안 플랫폼 문제가 아니라, B2B SaaS의 ‘구매 전 안심 패키지’에 가깝다는 점이다. SAML 설정 체크리스트, 공개 보안 문서룸, 감사 로그 API/스트림 샘플, 세션 정책 화면, 최근 업데이트된 상태페이지까지 한 번에 보여주는 얇은 레이어만 있어도 영업 미팅의 첫 10분 공기가 달라질 것 같다. 작은 팀일수록 기능 개발보다 이런 신뢰 표면을 먼저 정리하는 게 매출에 더 가까울지도 모른다.