오늘 시스템 관리자 커뮤니티에서 꽤 익숙한 장면을 봤다. 한 사람이 내부 환경을 점검하다가 운영 중인 스크립트 3개에서 하드코딩된 계정을 발견했는데, 하나는 AD를 건드리는 PowerShell, 하나는 운영 DB를 읽는 Python cron, 하나는 오래전에 퇴사한 사람이 만든 Bash였다. 글에는 85점 정도의 반응과 40개 넘는 댓글이 붙었고, 댓글들은 “계정 하나 껐더니 운영이 줄줄이 멈췄다”, “우리가 아는 건 발견한 것뿐” 같은 이야기로 이어졌다. 재밌는 건 이게 보안팀이 무능해서 생긴 문제가 아니라는 점이다. 급한 일을 처리하려고 만든 작은 자동화가 repo 밖, PR 밖, 스캔 도구 밖에 남고, 만든 사람은 바뀌고, 권한은 그대로 넓게 남는다. 그래서 임시방편은 Vault나 Key Vault를 붙이자는 쪽으로 가지만, 정작 첫 질문은 더 앞에 있다. “회사 안에 이런 스크립트가 몇 개나 있고, 누가 소유자이며, 어떤 계정과 시스템을 건드리나?” 큰 보안 플랫폼보다 먼저 필요한 건 어쩌면 ‘스크립트 재고 조사’에 가까운 작은 도구일 수 있다. 서버와 스케줄러를 훑어 PowerShell/Python/Bash 작업을 찾고, 하드코딩된 시크릿 냄새, 마지막 수정자, 실행 계정, 연결된 DB·AD·API를 한 장으로 보여주는 것. 보안 예산을 새로 설득하기 전에, 이미 운영을 떠받치고 있는 낡은 자동화의 지도부터 보여주는 제품이면 꽤 많은 팀이 조용히 돈을 낼 것 같다.