🟢 🏥 실무 게시일: · 2 분 읽기 ·

GitHub Copilot CLI에 터미널을 벗어나지 않고 취약점을 스캔하는 /security-review 명령 추가

편집 일러스트: 코드 보안 검토 및 시크릿 키 스캐닝을 위한 GitHub Copilot CLI 명령

GitHub이 Copilot CLI에 전용 /security-review 명령을 공개 미리 보기로 도입했습니다. 터미널 내에서 보안 취약점을 스캔하는 실험적 도구로, Dependabot 및 코드 스캐닝과 같은 기존 도구와는 독립적으로 작동합니다. 이 명령은 심각도 등급과 적용 제안을 포함하여 11개의 취약점 범주를 다룹니다.

🤖

이 기사는 AI가 1차 출처를 기반으로 생성했습니다.

GitHub이 2026년 6월 10일 Copilot CLI(command-line interface, 명령줄 인터페이스)에 전용 /security-review 명령을 발표했습니다. 실험적 기능으로 공개 미리 보기(public preview)에서 제공됩니다. 목표는 명확합니다. 개발자들이 터미널을 벗어나지 않고 코드 변경 사항에 대한 보안 취약점을 스캔할 수 있어야 합니다.

새로운 /security-review 명령이 제공하는 것은?

이 명령은 로컬 코드 변경 사항을 분석하고 심각도(severity) 및 **신뢰도(confidence)**에 따라 분류된 결과를 즉시 적용할 수 있는 제안과 함께 제공합니다. 전체 과정이 터미널 내에서 이루어지며, 브라우저나 웹 인터페이스를 열 필요가 없습니다.

활성화를 위해서는 Copilot CLI의 실험적 모드를 활성화해야 합니다. 그 후 /security-review는 모든 프로젝트에서 현재 로컬 변경 사항을 분석하는 데 사용 가능합니다.

명령이 다루는 11개 취약점 범주

이 명령은 11개의 취약점 범주를 스캔합니다.

  1. 인젝션 공격(injection flaws) — SQL, 명령, LDAP 인젝션
  2. XSS 공격(cross-site scripting) — 웹 인터페이스에 스크립트 주입
  3. 잘못된 접근 제어(broken access control)
  4. 경로 탐색(path traversal) — 의도된 디렉토리 외부 파일에 대한 무단 접근
  5. SSRF(Server-Side Request Forgery) — 서버가 원치 않는 요청을 강제하도록 유도
  6. 안전하지 않은 역직렬화(insecure deserialization)
  7. 프로토타입 오염(prototype pollution) — JavaScript 프로토타입 체인 조작
  8. 취약한 암호화(weak cryptography)
  9. 하드코딩된 자격 증명(hardcoded credentials)
  10. 민감한 데이터 유출(sensitive data leaks)
  11. 공급망 위험(supply-chain risks) — 고정되지 않은 버전의 종속성(unpinned dependencies)

현대 개발에 특징적인 한 가지 범주를 특별히 언급할 가치가 있습니다. 이 명령은 언어 모델을 통합하는 코드에 특정한 취약점 유형으로 **크로스 프롬프트 인젝션(XPIA)**을 인식합니다. 이는 응용 프로그램에서 AI 구성 요소의 증가하는 존재를 반영합니다.

기존 보안 도구와의 독립성

/security-review는 GitHub의 세 가지 기존 보안 메커니즘과 독립적으로 작동합니다.

  • 코드 스캐닝 — CI/CD 프로세스에 통합된 정적 코드 분석
  • Dependabot — 보안 종속성 업데이트를 위한 자동 풀 리퀘스트
  • 시크릿 스캐닝 — 저장소에서 시크릿 키와 비밀번호 감지

대체품이 아닙니다. 보완적인 경량 온디맨드 도구입니다. 기존 도구들이 각 푸시 시 저장소에서 자동으로 작동하는 반면, /security-review는 서버에 보내기 전에 — 로컬에서, 코드를 작성하는 순간에 — 즉시 변경 사항을 확인하려는 개발자를 위한 것입니다.

코드 작성과 보안 사이의 마찰 감소

보안 스캔을 터미널에 직접 통합하면 코드 작성과 취약점 발견 사이의 마찰이 줄어듭니다. 자동 CI 스캔을 기다리거나 외부 도구를 수동으로 실행하는 대신, 개발자는 가장 의미 있는 순간 — 관련 변경 사항을 작성한 직후, 맥락이 아직 새롭고 수정 비용이 가장 낮을 때 — 에 /security-review를 호출할 수 있습니다.

이 명령은 실험적 모드를 활성화한 모든 GitHub Copilot 사용자에게 제공됩니다. GitHub는 GitHub Community 토론을 통해 피드백을 수집하고 있습니다. 미리 보기의 실험적 기능으로서 변경될 수 있으며, 스캔 범위와 정확도는 사전 통보 없이 변경될 수 있습니다.

자주 묻는 질문

GitHub Copilot CLI의 /security-review 명령은 무엇을 하나요?
이 명령은 터미널 내에서 보안 취약점을 위해 로컬 코드 변경 사항을 스캔하며, 개발 환경을 벗어날 필요가 없습니다. 결과는 즉시 적용할 수 있는 제안과 함께 심각도 및 신뢰도별로 분류됩니다.
/security-review가 다루는 취약점 범주는 무엇인가요?
이 명령은 11개 범주를 다룹니다. 인젝션 공격, XSS, 잘못된 접근 제어, 경로 탐색(path traversal), SSRF, 안전하지 않은 역직렬화, 프로토타입 오염, 취약한 암호화, 하드코딩된 자격 증명, 데이터 유출, 고정되지 않은 종속성을 통한 공급망 위험이 포함됩니다.
/security-review가 Dependabot 및 코드 스캐닝의 대체품인가요?
아닙니다. 이 명령은 보완적인 경량 온디맨드 도구입니다. Dependabot, 코드 스캐닝, 시크릿 스캐닝과는 독립적으로 작동하며, 코드를 푸시하기 전에 즉시 로컬 변경 사항을 확인하려는 개발자를 위한 것입니다.

📬 AI 뉴스를 받은편지함으로

나만의 방식으로 구성하는 일일 다이제스트 — 주제, 출처, 주기를 선택하세요. 원클릭 해지.