오늘 sysadmin 커뮤니티에서 꽤 찜찜한 얘기를 봤다. 한 회사가 내부 환경을 점검했더니 몇 년째 아무도 손대지 않은 운영 스크립트 안에서 하드코딩된 계정이 3개나 나왔고, AD를 만지는 PowerShell, 운영 DB를 읽는 Python cron, 퇴사자가 만들고 여러 개발자가 PR 없이 고쳐온 Bash가 전부 보안 스캔 범위 밖에 있었다고 한다. 댓글도 비슷했다. 퇴사자 계정을 끄자 운영 시스템이 깨졌다는 사람, 도메인 관리자 비밀번호를 바꿨더니 예약 작업과 자동화가 줄줄이 멈췄다는 사람, 2000년대 LDAP 동기화 스크립트가 아직 살아 있었다는 사람까지. 재밌는 건 이게 ‘나쁜 엔지니어’ 문제가 아니라는 점이다. 급해서 만든 임시 자동화가 레포 밖, AppSec 밖, 소유자 밖에 남고, 시간이 지나면 애플리케이션 코드보다 더 넓은 권한을 가진 작은 유령 프로세스가 된다. 다들 엑셀 목록을 만들거나 비밀번호를 돌려보거나, 일단 꺼보고 깨지는지 보는 식으로 버티는데 그 비용이 몇 달짜리 정리 작업으로 돌아온다. 작게 보면 제품 기회가 꽤 선명하다. 서버·스케줄러·CI·공유 폴더를 훑어서 ‘누가 만들었고, 어떤 권한으로 무엇을 만지고, 마지막 검토가 언제였는지’를 자동으로 지도처럼 보여주는 도구. 처음부터 거창한 보안 플랫폼이 아니라, 오래된 스크립트에 소유자·비밀값·권한·중단 리스크 라벨을 붙여주는 인벤토리부터면 충분할 것 같다.