보안 도구에 AI가 붙으면 뭐가 달라질까
GitHub이 Code Security에 AI 기반 버그 탐지를 추가한다는 소식이 3월 말에 나왔다. 솔직히 처음엔 "또 AI 붙인다는 마케팅이겠지" 했는데, 구체적인 내용을 보니 조금 달랐다.
핵심은 CodeQL과 AI 탐지를 같이 쓰겠다는 거다. CodeQL은 Java, Python 같은 주요 언어에서 깊은 분석을 담당하고, AI 탐지는 Shell/Bash, Dockerfile, Terraform, PHP 같이 CodeQL이 커버하기 어려웠던 영역을 채운다. 그동안 인프라 코드에서 보안 이슈 잡는 게 진짜 어려웠는데 이 부분이 좀 메워지는 거다.
실제로 PR에서 어떻게 동작하나
작동 방식은 PR 단위다. 코드 올리면 플랫폼이 CodeQL과 AI 중 적절한 도구를 골라서 분석하고, 문제가 있으면 PR 화면에서 바로 보여준다. 약한 암호화, 잘못된 설정, SQL 인젝션 가능성 같은 것들이 머지 전에 걸린다는 거다.
GitHub 내부 테스트 결과가 있는데, 30일 동안 17만 건 이상 처리해서 개발자 피드백 80%가 긍정적이었다고 한다. 물론 자기 제품 자체 평가라 100% 믿기는 어렵지만, 틀린 경보가 많으면 개발자들이 바로 끄니까 이 수치가 완전 허수는 아닐 거다.
공개 프리뷰는 2026 Q2 초, 빠르면 4월이라고 했다. 아직 정식 출시 전이다.
무엇이 기대되고, 무엇이 아쉬운가
기대되는 건 진짜 커버리지가 넓어진다는 거다. 인프라 코드 보안 리뷰는 전문 지식이 필요해서 개발팀에서 놓치기 쉬웠다. Dockerfile 쓰는 팀 기준으로 보안 검사가 PR에서 자동으로 돌아가면 도움이 될 것 같다.
아쉬운 부분은 풀 기능은 GitHub Advanced Security(GHAS) 구독이 있어야 쓸 수 있다는 거다. 공개 저장소는 무료지만 제한적이고, 사기업 프라이빗 저장소에선 돈 내야 한다. 스타트업이나 소규모 팀 입장에선 GHAS 비용이 부담스럽다.
그리고 AI 탐지는 CodeQL 대비 오탐률이 어느 정도인지 아직 공개된 데이터가 없다. 직접 써봐야 알 수 있는 부분이라, 프리뷰 들어가면 한번 테스트해보고 싶다.
Copilot Coding Agent REST API도 같이 나왔다
같은 주에 GitHub Copilot 코딩 에이전트 REST API도 공개 프리뷰에 들어갔다. 조직 오너가 에이전트가 접근할 수 있는 저장소를 프로그래밍 방식으로 관리하는 거다. 대규모 조직에서 Copilot 에이전트 도입할 때 거버넌스가 필요한데, 그 부분을 API로 처리할 수 있게 됐다.
작은 팀에서 바로 쓸 기능은 아닌데, Copilot을 조직 단위로 운영하는 곳이라면 눈여겨볼 만하다. 특히 어떤 에이전트가 어떤 저장소에 접근할 수 있는지 통제하는 게 중요한 보안 정책인 기업들한테.
3월 마지막 주에 GitHub 업데이트가 꽤 많이 나왔다. 하나하나는 점진적 개선이지만, 방향성이 확실하다. 보안 자동화, 에이전트 통제, AI 커버리지 확장. 개발 워크플로우에서 AI가 끼어드는 지점이 점점 늘어나고 있다.
📎 참고 자료
'github' 카테고리의 다른 글
| GitHub이 AI로 버그 잡기 시작했다 — 그것도 PR 단계에서 (0) | 2026.03.29 |
|---|---|
| GitHub Copilot 코딩 에이전트 업데이트, 이제 진짜 써볼 만해졌다 (0) | 2026.03.28 |
| GitHub Copilot 제대로 쓰는 법, 프롬프트가 전부다 (0) | 2026.03.27 |
| GitHub Copilot이 Jira에서 직접 코드 짜준다, Confluence까지 연동됐다 (0) | 2026.03.27 |
| GitHub Spark 써봤는데, 생각보다 쓸만했다 (0) | 2026.03.26 |
