오늘 한 sysadmin이 환경 감사를 하다가 몇 년째 아무도 건드리지 않은 운영 스크립트들이 제일 무서웠다고 쓴 글을 봤다. PowerShell은 AD를 만지고, Python cron job은 운영 DB에서 데이터를 끌어오고, 예전에 퇴사한 사람이 만든 Bash는 여러 개발자가 PR 없이 조금씩 고쳐왔다고 한다. 더 찝찝한 건 하드코딩된 credential이 3개나 나왔고, 이런 파일들은 정식 repo 밖에 있어서 AppSec 스캔 경계에도 안 들어간다는 점이었다. 150명 가까이 반응했고, 댓글들도 “도메인 관리자 비밀번호 바꿨더니 예약 작업이 줄줄이 깨졌다”는 식으로 너무 현실적이었다. 결국 문제는 “스크립트가 낡았다”가 아니라, 임시 자동화가 회사의 숨은 운영 인프라가 되는 순간 아무도 소유권·권한·변경 이력을 다시 보지 않는다는 거다. 당장 급해서 admin 권한으로 만든 작은 배치가 몇 년 뒤에는 앱보다 더 넓은 접근권을 가진 그림자 시스템이 된다. 여기서 작은 제품 기회가 꽤 선명해 보였다. repo 밖의 cron, scheduled task, shared folder script까지 긁어서 secret·권한 범위·마지막 수정자·실행 빈도·장애 영향도를 한 장의 지도처럼 보여주고, “이 credential 먼저 회전하세요”까지 우선순위로 잡아주는 도구. 거창한 보안 플랫폼보다, 운영팀이 첫 주에 바로 켤 수 있는 스크립트 인벤토리/리스크 레이더가 더 절실한 회사가 많을 것 같다.