AI 코딩 · 2026년 7월 15일 · 약 6분

GitHub Copilot app의 /security-review 사용법: 코드 올리기 전 보안 위험을 먼저 찾는 방법

GitHub Copilot app의 /security-review 공개 프리뷰를 바탕으로, 코드 변경분을 올리기 전 보안 위험을 가볍게 점검하는 초보자용 사용법을 정리했습니다.

GitHub Copilot app의 /security-review 사용법: 코드 올리기 전 보안 위험을 먼저 찾는 방법
  • GitHub Copilot app
  • /security-review
  • AI 코드 리뷰
  • 보안 리뷰
  • GitHub Copilot 사용법
  • AI 코딩

출처: GitHub Changelog

코드를 다 고쳤는데 이대로 올려도 될지 망설일 때가 있습니다. GitHub가 2026년 7월 14일 공개한 Copilot app /security-review는 바로 그 순간에 쓰는 점검 명령이에요. 커밋하거나 PR을 올리기 전, 지금 작업 중인 변경분을 살펴보고 위험도가 높은 부분부터 고치게 돕습니다.

초보 개발자에게는 “보안 리뷰”라는 말이 조금 무겁게 들릴 수 있습니다. 하지만 이 기능의 쓰임새는 단순합니다. 로그인 처리, 입력값 저장, 파일 경로 처리, 암호화 관련 코드를 바꿨다면 코드 올리기 전에 Copilot app에서 한 번 더 확인하는 습관을 만드는 것입니다.

핵심 키워드

  • GitHub Copilot app /security-review 사용법
  • GitHub Copilot 보안 리뷰
  • AI 코드 보안 점검
  • 코드 올리기 전 보안 체크
  • injection XSS path traversal 점검
  • Copilot Free Pro Business Enterprise

/security-review가 하는 일

GitHub 설명에 따르면 /security-review는 Copilot app에서 현재 작업 중인 코드 변경분을 분석합니다. 전체 저장소를 막연히 훑는 기능이라기보다, 지금 바꾸고 있는 코드 흐름에서 보안상 의심되는 부분을 찾아주는 방식에 가깝습니다.

결과는 우선순위를 잡기 쉽게 구성됩니다. GitHub는 높은 신뢰도의 보안 발견 사항, 심각도와 신뢰도 점수, 적용 가능한 수정 제안, 그리고 중요한 문제에 집중할 수 있는 정리된 보기를 제공한다고 설명했습니다.

항목초보자가 이해할 의미어떻게 쓰면 좋은가
High-confidence findings가능성이 높다고 판단한 보안 문제모든 지적을 같은 무게로 보지 말고 신뢰도와 설명을 함께 읽습니다.
Severity문제가 실제로 위험할 수 있는 정도심각도가 높은 항목부터 수정 여부를 검토합니다.
ConfidenceCopilot이 해당 판단을 얼마나 확신하는지신뢰도가 낮은 항목은 코드 맥락을 사람이 한 번 더 확인합니다.
Actionable suggestions바로 적용해 볼 수 있는 수정 방향수정안을 그대로 믿기보다 테스트와 기존 코드 스타일에 맞춰 반영합니다.
Focused view중요한 항목을 먼저 보게 하는 요약리뷰 시간이 짧을 때 우선순위 목록처럼 활용합니다.

어떤 보안 문제를 볼 수 있나

GitHub는 Copilot app의 /security-review가 injection, cross-site scripting, insecure data handling, path traversal, weak cryptography 같은 흔하고 영향이 큰 취약점 유형을 잡도록 조정되어 있다고 설명했습니다. 이름이 낯설어도 실제 업무에서는 자주 만나는 문제입니다.

처음 볼 때 기억할 취약점 예시

  • Injection: 사용자가 입력한 값을 SQL, 명령어, 쿼리에 위험하게 섞는 문제입니다.
  • XSS: 사용자가 넣은 값이 웹 페이지에서 스크립트처럼 실행될 수 있는 문제입니다.
  • Insecure data handling: 개인정보, 토큰, 민감한 값을 부주의하게 저장하거나 전달하는 문제입니다.
  • Path traversal: 파일 이름이나 경로 입력을 통해 의도하지 않은 파일에 접근할 수 있는 문제입니다.
  • Weak cryptography: 약한 암호화 방식이나 부적절한 키 사용으로 데이터 보호가 약해지는 문제입니다.

기존 GitHub 보안 도구와의 차이

/security-review는 GitHub code scanning, Dependabot, secret scanning을 대체하는 기능으로 보기 어렵습니다. GitHub도 이 명령이 그 도구들을 보완한다고 설명합니다. 차이는 실행 타이밍입니다. code scanning이나 secret scanning이 저장소와 PR 흐름에서 중요한 역할을 한다면, /security-review는 개발자가 코드를 고치는 중간에 가볍게 불러보는 점검에 가깝습니다.

도구주로 보는 것/security-review와 함께 쓰는 방법
Copilot app /security-review현재 작업 중인 코드 변경분의 보안 위험커밋 전이나 PR 전, 직접 고친 부분을 빠르게 점검합니다.
GitHub code scanning저장소 코드의 보안 취약점과 코드 분석 결과PR과 기본 브랜치 보호 흐름에서 지속적으로 확인합니다.
Dependabot의존성 업데이트와 취약한 패키지라이브러리 보안 업데이트를 놓치지 않도록 유지합니다.
Secret scanning토큰, 키, 비밀번호 같은 민감 정보 노출실수로 커밋된 비밀값을 탐지하는 용도로 함께 둡니다.

처음 써보는 순서

코드 올리기 전 5단계

  • 1단계: GitHub Copilot app에서 작업 중인 프로젝트를 엽니다.
  • 2단계: 로그인, 입력값 처리, 파일 처리, 외부 API 호출처럼 보안과 관련 있는 코드를 수정합니다.
  • 3단계: Copilot app에서 /security-review를 실행해 현재 변경분을 스캔합니다.
  • 4단계: 결과에서 severity와 confidence를 함께 보고, 위험도가 큰 항목부터 읽습니다.
  • 5단계: 제안된 수정 방향을 반영한 뒤 테스트를 돌리고, 필요하면 다시 /security-review로 확인합니다.

복사해서 쓰는 보안 리뷰 체크리스트

복사해서 쓰는 체크리스트

PR 올리기 전 /security-review 점검 메모

PR 전 보안 점검

작업한 변경분:
[예: 로그인 API 입력값 검증 추가, 파일 다운로드 경로 수정]

/security-review 실행 여부:
- [ ] Copilot app에서 /security-review를 실행했다.
- [ ] severity가 높은 항목을 먼저 확인했다.
- [ ] confidence가 낮은 항목은 코드 맥락을 직접 확인했다.
- [ ] 수정 제안을 그대로 복사하지 않고 기존 코드 스타일과 테스트에 맞춰 반영했다.
- [ ] injection, XSS, insecure data handling, path traversal, weak cryptography 관련 지적을 따로 확인했다.
- [ ] 수정 후 테스트를 실행했다.
- [ ] 남은 위험이나 보류한 이유를 PR 설명에 적었다.

PR 설명에 남길 한 줄:
보안 점검: Copilot app /security-review 실행 후 [수정한 항목 또는 남은 확인 사항]을 반영했습니다.

초보자가 결과를 읽을 때 조심할 점

AI가 보안 위험을 지적했다고 해서 모든 항목이 곧바로 실제 취약점이라는 뜻은 아닙니다. 반대로 아무 항목이 나오지 않았다고 해서 코드가 완전히 안전하다는 뜻도 아닙니다. 이 기능은 코드 리뷰 전에 놓치기 쉬운 부분을 발견하는 보조 장치로 쓰는 편이 현실적입니다.

/security-review 결과를 보고 고칠 순서 정하기

  • 심각도가 높은 항목부터 읽고, 실제 사용자 입력이나 외부 요청이 닿는 코드인지 확인합니다.
  • 수정 제안이 있으면 기존 테스트와 린트가 깨지지 않는지 먼저 봅니다.
  • 보안 관련 코드는 “동작만 되면 된다”가 아니라 실패했을 때 어떻게 막히는지도 확인합니다.
  • 파일 경로, HTML 출력, SQL 쿼리, 토큰 저장 코드는 작은 변경이라도 한 번 더 봅니다.
  • 팀에서 code scanning, Dependabot, secret scanning을 이미 쓰고 있다면 끄지 말고 함께 유지합니다.

누가 쓸 수 있나

GitHub는 Copilot app의 /security-review 명령이 공개 프리뷰 기간에 Copilot Free, Pro, Business, Enterprise 사용자에게 제공된다고 안내했습니다. 또 2026년 7월 7일에는 GitHub Copilot app이 모든 Copilot 플랜에서 제공된다고 밝혔습니다. Business나 Enterprise 환경에서는 조직 또는 엔터프라이즈 관리자 설정에 따라 접근 조건이 달라질 수 있으니, 회사 계정이라면 내부 정책도 함께 확인해야 합니다.

공개 프리뷰 기능이라는 점도 기억해야 합니다. 제공 범위, 탐지 항목, 화면 구성, 사용 조건은 GitHub가 기능을 다듬는 과정에서 달라질 수 있습니다. 중요한 코드라면 이 글의 순서로 먼저 점검하되, 최종 기준은 사용 중인 계정의 Copilot app 화면과 GitHub의 최신 안내에서 다시 확인하세요.

배경을 조금 더 보면, GitHub는 2026년 6월 10일 Copilot CLI에서도 /security-review 명령을 공개 프리뷰 실험 기능으로 소개했습니다. 이번 Copilot app 지원은 비슷한 보안 점검 흐름을 데스크톱 앱의 일상적인 코딩 흐름 안으로 가져온 변화로 이해하면 쉽습니다.

언제 실행하면 가장 좋을까

상황실행 추천도이유
로그인, 권한, 세션 코드를 바꿨을 때높음인증과 접근 제어 문제는 영향 범위가 커질 수 있습니다.
사용자 입력을 DB나 API로 넘길 때높음injection이나 잘못된 데이터 처리 위험을 먼저 볼 수 있습니다.
HTML에 사용자 입력을 표시할 때높음XSS 가능성을 확인하기 좋습니다.
파일 업로드, 다운로드, 경로 처리를 바꿨을 때높음path traversal 같은 파일 접근 문제가 생길 수 있습니다.
문구나 CSS만 바꿨을 때낮음보안 영향은 작을 수 있지만, 관련 코드가 함께 바뀌었다면 확인합니다.

오늘 바로 해볼 작은 액션

오늘은 최근에 고친 코드 중 사용자 입력을 받는 부분 하나만 골라 Copilot app에서 /security-review를 실행해 보세요. 모든 경고를 한 번에 해결하려고 하기보다, 인증·권한·입력값 검증처럼 실제 피해로 이어질 수 있는 항목부터 확인하면 됩니다.

자주 묻는 질문

GitHub Copilot app의 /security-review는 무엇인가요?

Copilot app에서 현재 작업 중인 코드 변경분을 분석해 보안 위험을 찾아주는 공개 프리뷰 명령입니다. GitHub는 높은 신뢰도의 발견 사항, 심각도와 신뢰도, 적용 가능한 수정 제안, 우선순위가 잡힌 보기를 제공한다고 설명했습니다.

Copilot Free 사용자도 쓸 수 있나요?

GitHub는 Copilot app의 /security-review 공개 프리뷰가 Copilot Free, Pro, Business, Enterprise 사용자에게 제공된다고 밝혔습니다. 회사 계정에서는 조직이나 엔터프라이즈 관리자 정책의 영향을 받을 수 있습니다.

/security-review가 code scanning이나 Dependabot을 대체하나요?

아닙니다. GitHub는 /security-review가 code scanning, Dependabot, secret scanning을 보완한다고 설명합니다. 개발 중인 변경분을 가볍게 확인하는 도구로 두고, 기존 보안 도구도 함께 유지하는 편이 좋습니다.

어떤 취약점 유형을 확인하나요?

GitHub가 밝힌 범위에는 injection, cross-site scripting, insecure data handling, path traversal, weak cryptography 등이 포함됩니다. 실제 결과는 코드 변경분과 맥락에 따라 달라질 수 있습니다.

결과에 나온 수정 제안을 그대로 적용해도 되나요?

바로 복사하기보다 코드 맥락, 기존 스타일, 테스트 결과를 함께 확인해야 합니다. 특히 보안 코드는 기능이 동작하는지뿐 아니라 잘못된 입력이 들어왔을 때 안전하게 막히는지도 봐야 합니다.