🟡 🛡️ 보안 게시일: · 3 분 읽기 ·

GitHub: 자동 보안 코드 검증이 타사 에이전트로 확대 적용

편집 일러스트: 타사 에이전트를 위한 GitHub 자동 보안 코드 검증

GitHub은 자동 보안 코드 검증을 Claude와 OpenAI Codex 등 타사 코딩 에이전트로 확대 적용합니다. 2025년 10월부터 Copilot 클라우드 에이전트에 적용된 것과 동일한 보호 기능입니다. 세 가지 검사(CodeQL, Advisory 데이터베이스, 시크릿 스캔)가 Advanced Security 라이선스 없이 기본적으로 활성화됩니다.

🤖

이 기사는 AI가 1차 출처를 기반으로 생성했습니다.

GitHub은 2026년 6월 9일 플랫폼에서 작동하는 모든 타사 코딩 에이전트에 대한 자동 보안 코드 검증 확대 적용을 발표했습니다. 지금까지 GitHub Copilot 클라우드 에이전트에만 제공되던 보호 기능이 이제 사용자 저장소에 풀 리퀘스트를 여는 외부 에이전트, Anthropic ClaudeOpenAI Codex 포함, 에도 적용됩니다.

배경: Copilot 클라우드 에이전트는 2025년 10월에 보호 기능을 도입했습니다

GitHub은 2025년 10월 처음으로 생성된 코드에 대한 자동 보안 검증을 도입했으며, 당시에는 자체 Copilot 클라우드 에이전트에만 적용했습니다. 첫 8개월 동안 이 보호 기능은 GitHub에 따르면 사용자 저장소에서 수백 건의 잠재적 보안 결함과 취약점을 선제적으로 방지했습니다.

이와 동시에 GitHub API를 통해 통합하는 타사 에이전트 생태계가 급격히 성장했습니다. 개발팀은 자율적으로 코드를 작성하고, 변경 사항을 커밋하고, 풀 리퀘스트를 여는 외부 에이전트를 점점 더 많이 사용하고 있습니다. 이러한 상황이 명확한 격차를 만들었습니다. Copilot 코드는 스캔되었지만 동일한 저장소와 워크플로우를 통과하는 외부 에이전트 코드는 스캔되지 않았습니다.

에이전트가 생성된 코드에 자동으로 수행하는 보안 검사는 무엇인가요?

타사 에이전트 코드가 GitHub 저장소에 전달하는 모든 풀 리퀘스트는 세 가지 자동화된 보안 단계를 거칩니다.

CodeQL 취약점 스캔 GitHub의 정적 코드 분석 도구가 생성된 코드를 검사하여 알려진 보안 취약점을 나타내는 패턴을 찾습니다. 프로그래밍 언어에 따라 SQL 인젝션, 크로스 사이트 스크립팅, 안전하지 않은 파일 작업 등이 포함됩니다. CodeQL은 단순한 텍스트 패턴이 아닌 코드의 의미론을 이해하므로 단순 정규식 검사보다 오탐 비율이 낮습니다.

Advisory 데이터베이스 의존성 검사 새로운 또는 변경된 모든 의존성이 자동으로 GitHub Advisory Database(CVE 레지스트리를 포함한 오픈 소스 패키지의 알려진 취약점 데이터베이스)와 비교됩니다. 에이전트가 활성 취약점이 있는 패키지를 도입하면, 문제가 해결될 때까지 풀 리퀘스트 확정이 즉시 표시되고 차단됩니다.

노출된 시크릿 키 탐색 스캔이 생성된 코드를 통해 API 키, OAuth 토큰, 비밀번호 및 코드에 실수로 포함된 기타 민감한 데이터를 검색합니다. 이 조치는 구성 파일이나 코드 예제를 자동 생성하는 에이전트에 특히 관련이 있습니다. 이는 의도치 않은 데이터 유출의 일반적인 원인입니다.

발견된 문제에 대한 에이전트의 반응

검증은 수동 보고에 그치지 않습니다. 에이전트 워크플로우에 통합되어 있습니다. 취약점, 문제 있는 의존성 또는 노출된 시크릿이 발견되면, 에이전트는 풀 리퀘스트를 확정하기 전에 자동으로 문제를 해결하려 시도합니다. 취약한 패키지를 더 안전한 버전으로 교체하거나, 노출된 키를 제거하거나, CodeQL 권고에 따라 코드를 조정하는 것이 포함될 수 있습니다.

자동 해결이 불가능한 경우에만 수동으로 개입해야 하는 개발팀에 문제가 에스컬레이션됩니다. 이러한 접근 방식은 상당 부분의 보안 수정이 에이전트 워크플로우 내에서 이루어짐을 의미하며, 취약점이 코드 리뷰나 수정 비용이 더 높은 개발 후반 단계에 도달하지 않습니다.

특별 라이선스 없이 적용

이 확대 적용은 기본적으로 활성화되어 있으며 관리자가 저장소에 이미 구성한 Copilot 설정을 따릅니다. 수동 활성화, 각 에이전트별 별도 구성, 구독 플랜 업그레이드가 필요 없습니다.

핵심은 기능적 보호가 GitHub Advanced Security 라이선스가 필요 없다는 점입니다. 추가 비용 없이 모든 사용자에게 제공되며, 이는 Enterprise 플랜의 고급 보안 도구에 접근하기 어려운 소규모 팀과 오픈 소스 프로젝트에 특히 중요합니다.

어떤 검사가 활성화되어 있는지 세밀하게 조정하거나 특정 에이전트를 검증에서 제외하려는 조직은 에이전트 설정 구성에 관한 GitHub 문서를 통해 이를 수행할 수 있습니다.


모든 에이전트로 보안 검증을 확대함으로써 GitHub은 어떤 AI 모델이나 에이전트가 코드를 생성하는지에 상관없이 일관된 보안 레이어를 구축합니다. CI/CD 워크플로우에 외부 에이전트를 도입하기 시작한 개발팀에게 이 업그레이드는 동일한 보호 표준이 추가 비용이나 수동 설정 없이 자동으로 전체 워크플로우를 커버한다는 의미입니다.

자주 묻는 질문

GitHub이 타사 에이전트가 생성한 코드에 자동으로 수행하는 보안 검사는 무엇인가요?
세 가지 검사가 있습니다. 코드 취약점에 대한 CodeQL 정적 분석, 알려진 CVE에 대한 GitHub Advisory Database 의존성 검사, 그리고 생성된 코드에서 노출된 API 키와 토큰을 찾는 시크릿 스캔입니다.
이 보호 기능을 활성화하려면 GitHub Advanced Security 라이선스가 필요한가요?
아니요. 검증은 추가 비용 없이 모든 사용자에게 제공되며 기본적으로 활성화되어 있습니다. 저장소에 이미 구성된 기존 Copilot 설정을 따릅니다.
에이전트가 자신이 생성한 코드에서 보안 문제를 발견하면 어떻게 되나요?
에이전트는 풀 리퀘스트를 확정하기 전에 자동으로 문제를 해결하려 시도합니다. 해결이 불가능한 경우에만 수동 검토를 위해 개발팀에 에스컬레이션됩니다.

📬 AI 뉴스를 받은편지함으로

나만의 방식으로 구성하는 일일 다이제스트 — 주제, 출처, 주기를 선택하세요. 원클릭 해지.