2023년, 프라하 소재 중소 규모의 핀테크 기업이 블랙 박스 침투 테스트에 1만 5천 달러를 지불했습니다. 테스터들은 2주 동안 애플리케이션을 외부에서 테스트했고, 소수의 경미한 문제점을 발견하여 40페이지 분량의 보고서를 제출했습니다. 6개월 후, 공격자는 소스 코드에 숨겨진 하드코딩된 API 키를 악용하여 1만 2천 건의 고객 레코드를 유출했습니다. 블랙 박스 테스트는 해당 취약점을 발견할 기회가 없었습니다. 왜냐하면 테스터들은 코드를 전혀 보지 못했기 때문입니다. 이 이야기는 핵심을 잘 보여줍니다.