엔터프라이즈 SaaS 도입이 기능표에서 막히는 줄 알았는데, 실제로는 보안 리뷰 첫 10분에 공기가 바뀌는 경우가 많다. r/sysadmin에서 500개 넘게 공감받은 글도 딱 그 얘기였다. SSO가 엔터프라이즈 요금제에만 있고, MFA는 SMS뿐이고, SAML은 셀프 설정이 안 되고, 감사 로그는 CSV 내보내기 수준이고, 상태 페이지는 몇 달째 조용한 상태. 여기에 SOC 2 Type II 보고서 대신 “AWS가 compliant입니다” 같은 답이 나오면 IT 쪽은 바로 긴장한다. 재밌는 건 창업자는 가격이나 핵심 기능 때문에 딜이 늦어진다고 느끼는데, 구매자 쪽에서는 “이걸 사면 우리가 인증/권한/로그 문제를 계속 대신 봐줘야 하나?”가 더 큰 비용으로 보인다는 점이다. 댓글에서도 SAML 셀프 설정 부재와 SSO tax를 이유로 후보에서 바로 빼는 팀들이 보였다. 작게 만들 수 있는 제품은 거창한 GRC 플랫폼이 아니라, 초기 SaaS가 보안 리뷰 전에 자기 상태를 점검하고 바로 보여줄 수 있는 ‘auth readiness packet’에 가까워 보인다. SSO/MFA/SAML/감사로그/세션 정책/상태 페이지/SOC 2 증빙을 한 화면에 모아주고, 부족한 항목은 고객사 IT가 이해하는 언어로 임시 통제와 로드맵까지 만들어주는 도구. 딜을 더 빨리 닫는다기보다, IT가 “이 팀은 우리를 고생시키지 않겠네”라고 느끼게 해주는 제품이 꽤 절실해 보였다.