오늘 r/sysadmin에서 꽤 현실적인 장면을 봤다. 한 VP가 PM에게만 메일을 보내서 “Claude 연동을 위해 ERP 전체 API 접근권”을 달라고 했고, PM이 IT를 끼워야 한다고 하자 “IT는 필요 없다”고 했다는 이야기였다. 더 웃픈 건 그 ERP에는 애초에 API가 없고, 기존 연동은 JDBC 연결이나 IBM i ACS 원격 명령으로 데이터를 꺼내고 작업하는 방식이라는 점이다. 글은 650개 넘게 추천을 받고 댓글도 200개가 훌쩍 넘었다. 댓글 분위기는 거의 비슷했다. 보안팀/CISO를 참조에 넣고, 공식 승인 프로세스와 책임 소재를 문서화하라는 말이 반복됐다. 누군가는 “현대적인 도구가 JDBC와 말하려면 프록시나 미들웨어가 필요하다”고 했고, 또 누군가는 결국 이런 AI-ERP 요구가 계속 올 테니 통제권을 잃지 않는 게 낫다고 했다. 여기서 문제는 “AI를 쓰냐 마냐”보다, 임원·현업·벤더가 낡은 ERP 앞에서 각자 다른 언어로 말한다는 쪽에 가까워 보인다. 이메일로 권한 요청하고, 스프레드시트로 승인 남기고, 누군가 수동으로 JDBC 계정 만들고, 사고 나면 슬랙/메일을 뒤져야 하는 구조. 작은 제품으로는 AI 도구가 ERP/DB에 접근하려 할 때 요청 의도, 허용 데이터 범위, 승인자, 임시 자격증명, 감사 로그를 한 흐름으로 묶어주는 얇은 게이트웨이가 먼저 떠오른다. 거창한 에이전트 플랫폼보다 “이 접근은 누가 왜 열었고 언제 닫히나”를 바로 보여주는 레이어가 더 급해 보였다.