AI 코딩 · 2026년 7월 15일 · 약 6분

GitHub AI 보안 탐지 사용법: PR에서 CodeQL 미지원 취약점까지 확인하는 방법

GitHub code scanning의 AI 보안 탐지가 2026년 7월 14일 공개 미리보기로 추가됐다. Pull Request에서 CodeQL 기본 지원 범위 밖의 보안 신호를 어떻게 읽고 검토할지 살펴봅니다.

GitHub AI 보안 탐지 사용법: PR에서 CodeQL 미지원 취약점까지 확인하는 방법
  • GitHub AI 보안 탐지
  • GitHub code scanning
  • CodeQL
  • GitHub Advanced Security
  • Pull Request 보안
  • AI 보안
  • AI 코딩

출처: GitHub Changelog

GitHub Pull Request에서 보안 경고를 보던 팀이라면 앞으로 CodeQL 결과와 함께 `AI` 라벨이 붙은 새 code scanning 알림을 만날 수 있습니다. GitHub가 2026년 7월 14일 공개 미리보기로 연 AI 보안 탐지는 CodeQL 기본 분석이 아직 지원하지 않는 언어와 프레임워크의 위험 신호를 PR 안에서 먼저 보여주는 기능이에요.

핵심은 새 보안 도구를 따로 여는 데 있지 않습니다. 개발자가 이미 리뷰하는 PR 화면에서 “이 변경분에 보안상 확인할 부분이 있는지”를 더 일찍 보는 데 있습니다.

핵심 키워드

  • GitHub AI security detections 사용법
  • GitHub code scanning AI findings
  • CodeQL 미지원 범위 보안 탐지
  • GitHub Advanced Security AI credits
  • Pull Request 보안 검사
  • PR code scanning AI 라벨

무엇이 달라졌나

기존 GitHub code scanning은 CodeQL 분석을 중심으로 보안 문제를 찾아왔습니다. CodeQL은 지원 언어에서 강력한 정적 분석을 제공하지만, 모든 스크립트, 설정 파일, 인프라 코드, 프레임워크 조합을 같은 깊이로 다루기는 어렵습니다.

이번 AI 보안 탐지는 그 빈틈을 줄이기 위해 PR이 열리거나 업데이트될 때 자동으로 실행됩니다. 결과는 준비되는 대로 PR에 표시되며, 모든 분석 출처가 끝날 때까지 기다려야만 일부 결과를 볼 수 있는 구조는 아니라고 GitHub는 설명했습니다.

구분CodeQL 중심 탐지AI 보안 탐지
표시 위치Pull Request의 code scanning 결과Pull Request의 code scanning 결과
식별 방법CodeQL 분석 결과로 표시`AI` 라벨이 붙어 CodeQL 결과와 구분
강점지원 언어에서 깊은 정적 분석CodeQL 기본 지원 밖 언어와 프레임워크까지 보완
실행 시점설정된 code scanning 워크플로 또는 기본 설정 기준PR이 열리거나 업데이트될 때 자동 실행
병합 영향설정과 심각도에 따라 체크 실패 가능정보성 결과이며 이 알림만으로 PR 병합을 막지 않음

사용 전 확인할 조건

사용하려면 엔터프라이즈 정책에서 AI 보안 탐지가 허용되어야 하고, 조직 또는 저장소에서 기능을 켤 수 있어야 합니다. 저장소에는 GitHub Code Security(GitHub Advanced Security)와 CodeQL 기본 설정이 필요합니다. 공개 미리보기 기간에는 GitHub Copilot 라이선스가 필요하며, 탐지가 실행될 때 조직의 AI credit을 사용합니다.

확인 항목초보자가 이해할 뜻처음 할 일
Enterprise policy회사나 조직 전체에서 이 기능을 허용했는지 보는 설정엔터프라이즈 소유자에게 허용 여부 확인
조직 또는 저장소 설정허용된 기능을 실제 저장소에서 켜는 단계파일럿 저장소 1개부터 활성화
GitHub Code SecurityGitHub의 유료 보안 기능 묶음현재 플랜과 라이선스 범위 확인
CodeQL default setupGitHub가 기본 분석을 자동으로 돌리는 설정Security 설정에서 CodeQL 기본 설정 켜기
Copilot license와 AI credits공개 미리보기 기간에 필요한 사용 조건과 비용 단위탐지 실행 전 조직의 credit 사용 정책 확인

AI 탐지가 CodeQL을 대체하는 것은 아닙니다. GitHub 설명에 따르면 AI 탐지 엔진 자체가 분석을 수행하지만, 기능이 동작하려면 CodeQL default analysis가 저장소에 켜져 있어야 합니다. 실무에서는 CodeQL을 기본 안전망으로 두고, AI 탐지를 추가 확인층으로 보는 편이 이해하기 쉽습니다.

Pull Request에서 확인하는 순서

처음 켜볼 때 7단계

  • 보안 리스크가 높은 저장소 1개를 파일럿으로 고릅니다.
  • 저장소의 GitHub Code Security, CodeQL default setup, AI security detections 설정을 확인합니다.
  • 평소처럼 Pull Request를 열거나 기존 PR에 새 커밋을 올립니다.
  • code scanning 결과 영역에서 `AI` 라벨이 붙은 항목이 있는지 확인합니다.
  • 경고가 가리키는 파일, 코드 줄, 설명을 보고 이번 PR에서 바뀐 부분과 연결되는지 봅니다.
  • 실제 위험이면 작은 수정 커밋을 올리고 테스트를 함께 실행합니다.
  • 오탐으로 보이면 팀 규칙에 맞춰 왜 그렇게 판단했는지 PR에 남깁니다.

복사해서 쓰는 체크리스트

PR 보안 확인 메모

PR 보안 확인

- [ ] code scanning 결과가 실행됐는지 확인했다.
- [ ] `AI` 라벨이 붙은 보안 탐지 결과가 있는지 확인했다.
- [ ] 경고가 가리키는 코드가 이번 PR에서 바뀐 부분인지 확인했다.
- [ ] 입력값 검증, 명령 실행, SQL 문자열 조합, 암호화 방식, 인프라 노출 설정을 먼저 살폈다.
- [ ] 정보성 결과라고 바로 무시하지 않고 실제 사용자 입력이나 비밀값과 연결되는지 검토했다.
- [ ] 수정이 필요하면 작은 커밋으로 고치고 테스트를 함께 실행했다.
- [ ] 오탐으로 판단한 항목은 근거를 PR 댓글에 남겼다.
- [ ] AI 탐지 결과만 믿지 않고 기존 CodeQL, 테스트, 사람 리뷰를 함께 통과시켰다.

초보자가 함께 봐야 할 보안 지점

GitHub가 모든 AI 탐지 항목을 이 글의 예시처럼 고정해 공개한 것은 아닙니다. 그래서 처음에는 “이 기능이 반드시 잡아준다”라고 기대하기보다, PR에서 바뀐 코드가 외부 입력과 권한을 어떻게 다루는지 함께 점검하는 편이 안전합니다.

확인할 코드왜 중요한가간단한 첫 조치
SQL 문자열 조합사용자 입력이 쿼리 구조를 바꿀 수 있음파라미터 바인딩이나 ORM 안전 API로 바꿉니다.
셸 명령 실행입력값이 명령으로 해석될 수 있음허용 목록 검증과 인자 배열 방식을 검토합니다.
Dockerfile 설정불필요한 권한이나 노출 포트가 생길 수 있음실행 사용자, 포트, 비밀값 복사를 확인합니다.
Terraform/HCL스토리지나 네트워크가 외부에 열릴 수 있음공개 접근, 보안 그룹, IAM 권한을 좁힙니다.
암호화 코드오래된 알고리즘은 보호 효과가 낮을 수 있음공식 권장 알고리즘과 라이브러리 기본값을 확인합니다.

Copilot app 보안 리뷰와 다른 점

같은 날 다룬 GitHub Copilot app의 `/security-review`는 개발자가 앱 안에서 현재 작업 중인 변경분을 직접 점검하는 흐름입니다. 이번 AI 보안 탐지는 GitHub code scanning이 PR 안에서 자동으로 보여주는 보안 신호에 가깝습니다.

그래서 이 기능을 도입할 때는 “Copilot에게 리뷰를 요청한다”보다 “PR code scanning 안에 새 AI 라벨 경고가 생겼을 때 팀이 어떻게 읽고 처리할지”를 정하는 쪽이 더 중요합니다. 첫 1~2주는 병합 규칙을 바꾸기보다, 어떤 경고가 반복되는지 모아 PR 템플릿이나 리뷰 체크리스트에 반영해 보세요.

PR 댓글 템플릿

AI 라벨 경고 검토 요청 문구

이번 PR에서 `AI` 라벨이 붙은 code scanning 경고를 확인했습니다.

경고 위치: [파일명/라인]
검토할 위험: [예: 사용자 입력이 SQL 문자열에 직접 들어가는지]
수정 방향: [예: 파라미터 바인딩으로 변경]
확인 결과: [수정함 / 오탐으로 판단함 / 추가 리뷰 필요]
근거: [테스트 결과, 공식 문서, 팀 보안 규칙]

오늘 바로 해볼 작은 액션

오늘은 모든 저장소를 한 번에 바꾸려 하지 말고, 외부 입력을 많이 받는 저장소 하나만 고르세요. CodeQL 기본 설정이 켜져 있는지 확인한 뒤, 다음 PR에서 `AI` 라벨 경고가 보이면 이 글의 체크리스트로 실제 위험과 오탐을 나눠보면 됩니다.

자주 묻는 질문

GitHub AI 보안 탐지가 나오면 PR이 자동으로 막히나요?

아닙니다. GitHub는 공개 미리보기 단계의 AI 탐지 결과가 정보 제공용이며, 이 알림만으로 Pull Request 병합을 막지 않는다고 안내했습니다.

CodeQL을 꺼도 AI 보안 탐지를 쓸 수 있나요?

아닙니다. AI 분석 자체는 CodeQL이 수행하는 것이 아니지만, 기능이 동작하려면 저장소에 CodeQL default analysis가 켜져 있어야 합니다.

공개 미리보기에서 비용은 어떻게 보나요?

2026년 7월 14일 공개 미리보기 기준으로 GitHub Copilot 라이선스가 필요하고, 탐지가 실행될 때 조직의 AI credits를 사용합니다. 실제 비용 관리는 조직의 GitHub 청구와 AI credits 정책에서 확인해야 합니다.

AI 라벨 경고와 CodeQL 경고는 어떻게 구분하나요?

GitHub는 AI로 생성된 탐지 결과에 `AI` 라벨을 붙여 CodeQL 결과와 구분할 수 있게 한다고 설명했습니다. PR의 code scanning 결과에서 라벨과 설명을 함께 확인하세요.

초보 개발자는 이 결과를 어떻게 판단하면 좋나요?

먼저 경고가 이번 PR에서 바뀐 코드와 연결되는지 확인하세요. 그다음 사용자 입력, 외부 요청, 비밀값, 권한 설정, 데이터베이스 쿼리처럼 사고로 이어지기 쉬운 지점을 중심으로 실제 실행 경로를 따라가면 됩니다.