프로덕션 환경을 감사하다가 몇 년째 아무도 제대로 만지지 않은 스크립트들이 더 무섭게 보였다는 이야기를 봤다. PowerShell은 AD를 건드리고, Python cron은 운영 DB에서 데이터를 끌어오고, 오래전에 퇴사한 사람이 쓴 Bash는 여러 개발자가 PR 없이 조금씩 고쳤는데, 그 안에서 하드코딩된 계정 정보가 3개나 나왔다고 한다. 점수는 50대, 댓글은 40개 넘게 붙었고, 댓글엔 “퇴사자 계정을 껐다가 운영 시스템이 터졌다”, “도메인 관리자 비밀번호를 바꾸니 예약 작업과 자동화가 줄줄이 깨졌다”는 경험담이 이어졌다. 문제는 나쁜 코드 한 줄이 아니라, 임시로 만든 자동화가 보안 도구의 경계 밖에서 오래 살아남는 구조다. 저장소에 없으니 스캔도 안 되고, AppSec 프로세스에도 안 걸리고, 만든 사람은 이미 떠났는데 권한은 그대로 남아 있다. 임시 해결책은 결국 스프레드시트, 기억나는 서버 목록, “이거 끄면 뭐가 깨지나”를 아는 사람에게 물어보는 방식이다. 작게 만들 수 있는 제품은 꽤 선명해 보인다. 사내 스케줄러, cron, AD 작업, CI 러너, 오래된 VM을 훑어서 ‘코드 저장소 밖 자동화 자산 지도’를 만들고, 하드코딩된 시크릿·퇴사자 계정·과도한 권한·마지막 수정 시점을 위험도 순으로 보여주는 얇은 감사 도구. Vault나 Key Vault를 도입하라는 큰 이야기 전에, 지금 어디에 폭탄이 묻혀 있는지부터 보여주는 서비스라면 보안팀보다 운영팀이 먼저 결제할 것 같다.