'재미와 수익을 위하여(for fun and profit)'라는 해커 관용구를 '감옥살이를 위하여'로 비튼 제목부터가 핵심입니다. 글은 윈도 환경에서 아직도 널리 쓰이는 마이크로소프트 IIS 웹서버가 얼마나 허술하게 정보를 흘리는지를 보여줍니다. 대표적으로 8.3 단축 파일명(틸드 ~) 열거 취약점처럼, 오래된 설정과 손대지 않은 기본값만으로도 숨겨진 백업 파일, 설정 파일, 디렉터리 구조가 외부에 그대로 드러납니다. 흥미로운 건 기술 그 자체보다 '경계'입니다. 똑같은 스캔도 권한이 있으면 보안 연구가 되고, 없으면 범죄가 됩니다. 국내 공공기관과 기업 인프라에 IIS가 여전히 많이 깔려 있다는 점을 떠올리면 남 일이 아닙니다. 운영자라면 단축명 노출을 끄고 기본 설정과 패치 상태를 점검하고, 테스트하려는 사람이라면 반드시 서면 허가부터 받으라는 것 — 그게 이 글이 농담 속에 숨긴 진짜 교훈입니다.