PR 올리기 전에 뭔가가 먼저 코드를 훑어본다
GitHub이 Code Security에 AI 기반 취약점 탐지를 붙이겠다고 발표했다. 2026년 Q2 초, 빠르면 다음 달 퍼블릭 프리뷰 예정이다. 뉴스 보고 처음엔 "Copilot 자동완성이랑 뭐가 다른 거야?" 싶었는데, 구체적인 내용 읽어보니 방향이 좀 달랐다.
CodeQL 혼자서는 못 보던 곳들
GitHub이 원래 쓰던 CodeQL은 정적 분석 도구다. 코드 패턴을 분석해서 SQL 인젝션, 버퍼 오버플로우 같은 알려진 취약점을 잡아낸다. 잘 만들어진 도구인데, 약점이 있다. 지원하는 언어가 제한적이고, 특히 인프라 설정 파일 — Dockerfile, Terraform, 셸 스크립트 — 쪽은 커버가 안 됐다.
이번에 붙는 AI 탐지가 그 빈 곳을 채우는 개념이다. CodeQL이 깊게 보는 언어는 그대로 두고, AI가 Shell/Bash, Dockerfile, Terraform, PHP 같은 영역을 추가로 스캔한다. 두 개가 경쟁하는 게 아니라 역할 분담하는 구조다.
PR 단계에서 잡힌다는 게 핵심이다
타이밍이 중요하다. 머지 이전, 풀 리퀘스트 단계에서 검토가 일어난다. 약한 암호화, 설정 오류, 안전하지 않은 SQL 패턴 같은 게 발견되면 PR에 바로 코멘트로 표시된다.
거기다 Copilot Autofix가 붙어 있어서 "이렇게 고쳐라"는 제안도 같이 나온다. GitHub 내부 테스트 수치로는 Autofix 사용 시 보안 이슈 해결 시간이 평균 1.29시간 → 0.66시간으로 줄었다고 한다. 대략 절반.
30일 동안 17만 건 이상의 발견을 처리했고, 개발자 피드백 80%가 긍정적이었다는 내부 실험 결과도 있다. 물론 GitHub이 직접 발표한 숫자라 약간의 마케팅 필터는 감안해야 한다.
Security & Quality로 탭이 바뀐 이유
이번 주에 GitHub 레포지토리의 "Security" 탭이 "Security & quality"로 이름이 바뀌었다. 단순 리네이밍이 아니라 이 방향과 연결돼 있다. 보안 스캐닝이 코드 품질 체크와 같은 레이어로 통합되는 흐름이다.
실무 입장에서 보면, 별도로 보안 스캔 도구를 CI에 추가하지 않아도 기본으로 이런 게 들어온다는 건 의미가 있다. 특히 소규모 팀에서 보안 전담자 없이 돌아가는 프로젝트엔 실질적인 도움이 될 것 같다.
한계는 있다
AI 탐지라는 말이 붙으면 거짓 긍정(false positive)이 얼마나 나오느냐가 항상 문제다. 아직 퍼블릭 프리뷰도 아닌 상황이라, 실제로 써보기 전까지는 노이즈가 어느 정도인지 알기 어렵다. Copilot Autofix 제안이 항상 맞는 것도 아니고, 제안을 그대로 적용했다가 다른 문제가 생기는 경우도 있다. 자동화 도구는 결국 검토하는 사람이 있어야 한다.
무료 퍼블릭 레포는 기본 기능만, 프라이빗 레포는 GitHub Advanced Security 구독이 있어야 풀 기능 사용 가능하다. 오픈소스 프로젝트엔 좋은 소식이고, 프라이빗 사용자는 플랜 확인이 필요하다.
📎 참고 자료
'github' 카테고리의 다른 글
| GitHub Actions 최근 업데이트, 불편했던 게 몇 가지 해결됐다 (0) | 2026.04.04 |
|---|---|
| GitHub Actions 4월 업데이트, 서비스 컨테이너 entrypoint 설정이 드디어 됐다 (0) | 2026.04.04 |
| GitHub Copilot Cloud Agent, 이제 PR 없이도 코드 작업이 된다 (0) | 2026.04.03 |
| GitHub Models, 토큰 하나로 GPT-4o·Llama·Mistral 다 쓸 수 있다 (0) | 2026.04.02 |
| VS Code Copilot에 Ollama 로컬 모델 붙여봤더니 (2) | 2026.04.01 |
