“기능이 좋아 보여서” 도입했다가 계약 때문에 발목 잡히는 경우가 많습니다. SaaS 계약서는 가격·SLA·보안·데이터 이동성·해지까지 운영의 운명을 결정합니다. 이 글은 실무에서 꼭 점검해야 할 조항과 협상 팁, 30·60·90일 실행 로드맵을 한 번에 정리했습니다.
멘토 한 마디 — 좋은 계약은 “최저가”가 아니라 데이터 이동성·가격 상한·SLA 크레딧을 확보하는 것입니다. 나중에 바꿀 수 없는 조항부터 챙기세요.
1) 핵심 요약: ‘이 세 가지’가 없으면 도입하지 마세요
- 가격 상한(Price Cap): 연 단가 인상률 상한 및 인상 사유 정의.
- 데이터 이동성·삭제 증빙: Export 포맷(CSV/JSON/Parquet), 보존 기한, 삭제 증명서.
- SLA & 크레딧: 가용성(%)·RPO/RTO·장애 시 크레딧·에스컬레이션 루트.
여기에 SSO/MFA/SCIM 같은 보안 기본, 서브프로세서 변경 통지, BYOK/레지던시가 더해지면 엔터프라이즈 계약의 최소선을 갖춘 것입니다.
2) 필수 조항 TOP 10: 샘플 문구와 체크 포인트
- 가격·과금 — 좌석/사용량 정의, 초과 요금(Overage), True-up, 다운그레이드/업그레이드 규칙.
체크: “월→연” 전환 시 환불/프로레이트, 세금·환율 규정, 파킹 라이선스. - 가격 인상 상한(Price Cap) — “연 X% 또는 CPI 중 낮은 값” 등 명문화, 인상 사유(신규 모듈 제외 등) 정의.
- SLA & 크레딧 — 가용성 %, 계획 점검 창구, RPO/RTO, 크레딧 산식, 메인터넌스 공지 리드타임.
- 보안·아이덴티티 — SSO(SAML/OIDC), MFA, SCIM, RBAC, 감사로그 Export·보존기간.
- 데이터 주권·암호화 — 리전 선택(레지던시), BYOK/EKM, 저장·전송 암호화, 키 교체 절차.
- 데이터 이동성·종료 — 계약 종료 후 데이터 보존·Export·삭제 기한과 형식, 삭제 증빙서.
- DPA(데이터 처리부속서) — 컨트롤러/프로세서 역할, 서브프로세서 리스트·변경 통지, 침해 통지(예: 72시간).
- 지원·변경관리 — 지원 시간대, 응답/복구 목표, 기능 변경·단종(EOL) 공지, 하위 호환성, 샌드박스 제공.
- 지적재산·피드백 — 고객 데이터/메타데이터 소유권, 로고 사용 허락 범위, 피드백 라이선스 범위 제한.
- 감사·컴플라이언스 — SOC 2/ISO 인증서 제공, 모의해킹 리포트, 제한적 현장/원격 감사 권리.
3) 과금·청구 세부: 헷갈리면 돈 샌다(비용 표 포함)
| 항목 | 권장 계약 문구(예시) | 주의점 |
|---|---|---|
| 사용량 정의 | “사용량은 월말 기준 고유 실행 수를 집계하며 중복 호출 제외” | 샘플 계산식, 레이트 리밋·버스팅 기준 |
| 오버리지 | “초과분은 단가의 1.1배, 월말 자동 True-up” | 과금 단위(1K 호출/GB/좌석) 명확화 |
| 다운그레이드 | “갱신 30일 전 요청 시 다음 청구기간부터 반영” | 중간 해지·환불 조건 유무 |
| 파킹 라이선스 | “휴면 좌석은 월 10% 요율로 90일까지 보관” | 재활성화 수수료, 최소 수량 |
결제 실패 재시도(Dunning), 세금 계산서/영수증, 환불 절차까지 청구 운영 조항이 깔끔해야 재무·고객지원 부담이 줄어듭니다.
4) 보안·규정 조항: 위반 시 비용 폭탄을 막는 문장들
- SSO/MFA/SCIM: 전사 적용 가능 여부, 라이선스 포함/유료 애드온 여부.
- 감사로그: 로그 스키마, 보존기간, 고객 SIEM 연동(Export/API) 권리.
- 레지던시·BYOK: 리전 변경·추가 비용, 키 관리 실패 시 책임 범위.
- 침해 통지: “인지 후 X시간 내 통지 및 경과보고”, 포렌식 협력·증적 보존.
- 외부 공유/DLP: 기본 정책, 승인 워크플로, 예외 관리.
보안 조항은 “기대”가 아니라 계약으로 명확히 해야 집행이 됩니다. 특히 감사로그 Export는 비용 절감·규정 대응·사고 분석의 핵심입니다.
5) 데이터 이동성·종료: 깔끔한 이별이 최고의 보험
- Export 포맷·주기: CSV/JSON/Parquet, 스키마 문서 포함.
- 삭제 증빙: 종료 후 X일 내 완전 삭제·인증서 제공.
- 보존 정책: 백업/로그의 잔존 기간과 접근 제한.
- 마이그레이션 지원: 표준 API 지속성, 버전 호환, 샌드박스 제공.
- 전환 서비스: 합리적 비용의 데이터 이행 지원(선택 조항).
“나갈 자유”가 보장될수록 공급자는 품질과 가격으로 승부하게 됩니다. 락인은 계약서에서 시작됩니다.
6) 리스크 매트릭스: 조항 누락 시 어떤 일이 생기나
| 누락 조항 | 발생 리스크 | 대응/대체 |
|---|---|---|
| Price Cap | 예상치 못한 대폭 인상 | 멀티연차·번들 딜, 재협상 권리 문구 |
| Export/삭제 | 전환 지연·규정 벌금 리스크 | 정기 Export 관행·삭제 증빙 샘플 확보 |
| SLA 크레딧 | 다운타임 비용 전가 | 장애 기준·산식·크레딧 자동화 명시 |
| SCIM/오프보딩 | 퇴사자 접근·좌석 비용 누수 | SSO 필수, SCIM 유료면 대체 자동화 마련 |
7) 협상 전략: 타이밍·근거·교환
- 타이밍: 갱신 60~90일 전 접촉, 경쟁 대안 비교표 준비.
- 근거: 활성좌석률·핵심 기능 사용률·다운타임 사례·iPaaS 연동 필요성 데이터 제시.
- 교환: 멀티연차/번들/케이스스터디 제공 ↔ Price Cap·SLA 크레딧·파킹 라이선스 확보.
- 문서화: 이메일 합의는 계약 부속서로 반영, 갱신 시 자동 승계 금지.
8) 30·60·90일 실행 로드맵(법무·보안·현업 공동)
Day 1~30 — 요구사항 수집(보안·데이터·운영), 기존 계약 인벤토리·좌석·비용 정리, 리스크 우선순위화.
Day 31~60 — 표준 조항 템플릿(Price Cap/SLA/DPA/Export) 작성, 벤더 협상 1차 라운드, PoC로 SLA·성능 검증.
Day 61~90 — 최종 조항 합의·부속서 정리, 만료 알림 자동화, 분기별 계약 리뷰·FinOps 연계.
9) 자주 묻는 질문(FAQ)
- Q1. 스타트업 규모인데 Price Cap까지 요구해도 되나요?
- 네. 멀티연차·사용사례 제공·빠른 결제 등으로 교환하면 가능합니다. 최소한 인상 사유(신규 모듈 제외)는 명시하세요.
- Q2. DPA에서 꼭 확인해야 할 것은?
- 서브프로세서 리스트·변경 통지, 침해 통지 기한, 데이터 위치·보존·삭제, 고객의 감사권 및 증적 제공 범위입니다.
- Q3. BYOK가 필수인가요?
- 규제·대형 고객 응대 시 신뢰를 높입니다. 미필수라도 로드맵·옵션 비용을 문서로 받아 두세요.
- Q4. 다운타임 보상은 어떻게 계산하나요?
- SLA 크레딧 산식(월 요금 × 가용성 부족 비율 등)을 계약서에 명시하고, 자동 청구 또는 월말 정산을 요구하세요.
- Q5. 기능이 자주 바뀌면 어떻게 보호하나요?
- 릴리스 노트·사전 공지 기한, 하위 호환성·대체 기능 제공, 장기 단종(EOL) 시 보상 또는 연장 사용 조항을 넣으세요.
10) 결론: ‘좋은 가격’보다 ‘좋은 탈출구’가 먼저
가격 상한·데이터 이동성·SLA 크레딧만 챙겨도 절반은 성공입니다. 나머지는 보안·DPA·지원·감사로 운영의 안전망을 완성하세요. 댓글로 업종·인원·현재 도구를 알려 주시면, 귀사에 맞춘 계약 조항 템플릿과 협상 체크리스트를 맞춤 제작해 드리겠습니다.
🎯 비즈니스 솔루션·SaaS 시리즈 50중, 전 8편, 후 10편 추천