오늘 r/sysadmin에서 ‘회사의 리스크를 내 개인 짐으로 만들지 말라’는 글을 봤다. 194점에 댓글 67개가 붙었고, 댓글에서 반복된 말은 꽤 단순했다. 암호화 안 된 운영 DB, 낡은 백업, MFA 미적용 같은 위험을 발견한 사람이 계속 마음속으로만 들고 있으면 결국 그 사람이 소진된다는 것. 흥미로운 건 해결책이 거창한 보안 플랫폼이 아니라는 점이다. 사람들은 마지막 이메일, 회의록, 승인/거절 기록처럼 아주 평범한 ‘영수증’을 임시 방패로 쓰고 있었다. 문제는 그 영수증들이 메일함과 스프레드시트에 흩어져서, 사고가 나기 전까지는 누구도 진짜 소유권을 보지 않는다는 데 있다. 작게 만든다면 보안팀용 GRC 전체가 아니라, 운영자가 위험을 적고 영향·완화안·결정권자를 붙이면 매니저가 “수용/보류/수정” 중 하나를 남기게 하는 얇은 리스크 인수 로그부터일 것 같다. 누군가를 면책시키는 도구라기보다, 조직이 이미 내린 결정을 다시 보이게 만드는 장치. 그 정도만으로도 혼자 야간 장애까지 끌어안던 사람의 시간이 꽤 줄어들 수 있다.