PR에서 보안 취약점을 잡아준다고?
코드 리뷰할 때 보안 취약점까지 꼼꼼히 보는 사람이 얼마나 될까. 솔직히 나도 기능 동작 여부랑 코드 스타일 정도만 확인하고 넘어간 적이 많다. 근데 GitHub이 이번에 Code Security에 AI 기반 탐지 기능을 추가했는데, PR 올릴 때 자동으로 보안 문제를 잡아준다.
CodeQL + AI, 하이브리드로 간다
기존에 GitHub에는 CodeQL이라는 정적 분석 도구가 있었다. JavaScript, Python, Java 같은 주요 언어는 꽤 잘 잡아냈는데, 문제는 Shell 스크립트, Dockerfile, Terraform 같은 인프라 코드는 커버가 안 됐다는 거다.
이번 업데이트는 그 빈틈을 AI로 메우겠다는 거다. CodeQL이 커버하는 영역은 그대로 두고, 기존에 정적 분석만으로는 어려웠던 언어와 프레임워크에 AI 탐지를 붙였다.
내부 테스트 수치가 꽤 괜찮다
GitHub이 공개한 내부 테스트 결과를 보면:
- 30일간 17만 건 이상의 탐지 결과 처리
- 개발자 피드백 80% 이상 긍정적
- 새로 지원하는 언어: Shell/Bash, Dockerfile, Terraform(HCL), PHP
80%라는 숫자가 인상적이다. AI 코드 리뷰 도구들이 오탐(false positive) 때문에 욕을 먹는 경우가 많거든. 물론 내부 테스트니까 실제 써봐야 알겠지만.
Copilot Autofix랑 연동되는 게 핵심
취약점을 찾는 것까지는 다른 도구들도 한다. 근데 GitHub이 강점인 건 Copilot Autofix랑 연동된다는 점이다. 취약점을 발견하면 바로 수정 제안까지 PR 안에서 해준다. SQL 인젝션 가능성이 있는 코드를 찾으면 파라미터 바인딩으로 바꾸는 코드를 제안하는 식이다.
써봤는데 이게 생각보다 편하더라. 보안 이슈는 "어디가 문제인지"보다 "어떻게 고치는지"가 더 귀찮은 경우가 많거든.
아쉬운 점도 있다
일단 아직 퍼블릭 프리뷰가 Q2 초에 나올 예정이라 바로 쓸 수는 없다. 그리고 AI 탐지의 정확도가 실제 프로덕션 환경에서 어떨지는 미지수다. 내부 테스트 17만 건이랑 전 세계 개발자들이 쏟아내는 PR의 다양성은 차원이 다르니까.
또 하나, Enterprise 플랜에서만 풀 기능을 쓸 수 있을 가능성이 높다. GitHub이 보안 기능을 유료 tier에 묶는 경향이 있어서, 오픈소스 프로젝트에서 자유롭게 쓸 수 있을지는 두고 봐야 한다.
CI/CD에 보안이 녹아드는 흐름
전체적으로 보면 "shift left" — 개발 초기에 보안을 잡자는 트렌드가 이제 도구 수준에서 확실히 자리 잡고 있다. 예전엔 배포 후에 보안 감사를 했다면, 지금은 PR 단계에서 잡는 거다. GitHub, GitLab, Snyk 다 이 방향으로 가고 있고, AI가 그 속도를 높여주는 중이다.
Q2에 나오면 한번 붙여봐야겠다. Terraform 설정 실수는 진짜 자주 하거든.
📎 참고 자료
'github' 카테고리의 다른 글
| GitHub Copilot이 Jira에서 직접 코드 짜준다, Confluence까지 연동됐다 (0) | 2026.03.27 |
|---|---|
| GitHub Spark 써봤는데, 생각보다 쓸만했다 (0) | 2026.03.26 |
| GitHub Actions 타임존 지원됨, UTC 계산 이제 그만 (0) | 2026.03.25 |
| GitHub Codespaces, 이런 상황에서 꺼내 써보니 달랐다 (0) | 2026.03.24 |
| GitHub Agentic Workflows, YAML 없이 Markdown으로 CI 자동화하기 (0) | 2026.03.24 |
