AI 시대의 Pull Request 환상 - 코드 이해 없는 코드 리뷰
목차
개요
AI 코드 생성 도구의 급속한 보급으로 개발 속도는 크게 향상되었습니다. 그러나 코드 생성 속도가 빨라진 만큼, 코드 검토(리뷰) 능력은 따라가지 못하고 있습니다. 풀 리퀘스트(PR)는 소프트웨어 개발에서 품질 보증의 마지막 방어선으로 여겨져 왔지만, AI 시대에 이 제도가 실질적인 기능을 잃어가고 있다는 우려가 커지고 있습니다.
PR의 본래 역할과 위기
PR은 사회적 계약이다
PR의 본래 역할은 단순한 코드 승인이 아닙니다. PR은 “변경사항의 의도와 판단을 설명하고 책임을 함께 지는 사회적 계약”입니다. 기여자는 코드가 왜 이렇게 작성되었는지를 설명하고, 리뷰어는 그 판단에 동의하거나 개선을 제안합니다. 이 과정을 통해 팀 전체가 코드베이스에 대한 이해를 공유할 수 있습니다.
AI가 만들어낸 이해도 공백
AI 코드 생성 도구는 코드를 빠르게 만들어내지만, 왜 그렇게 만들었는지를 설명하지 못합니다. “작동하지만 왜 이렇게 만들었는지 설명할 수 없는 코드”가 코드베이스에 점점 쌓여가고 있습니다. 기여자의 의도와 설계 판단이 추적 불가능해지며, 동작하는 코드도 배경 맥락이 없으면 향후 유지보수 시 추측에만 의존하게 되어 기술 부채로 변합니다.
실제 사례: OpenClaw 프로젝트
OpenClaw는 이 문제를 극명하게 보여주는 사례입니다. 11월에 시작된 개인 프로젝트가 10주 만에 190,000개의 GitHub 스타를 획득하고, 주당 200만 방문자를 돌파했습니다. 그러나 그 이면에는 심각한 보안 문제가 있었습니다.
| 지표 | 수치 |
|---|---|
| GitHub 스타 | 190,000개 |
| 주간 방문자 | 200만 명 |
| 보안 자문 | 6건 |
| 악의적 기여 | 341건 |
| 원클릭 RCE 취약점 | 발견됨 |
프로젝트 창업자는 “유희 프로젝트가 이렇게 큰 파장을 일으킬 줄 예상하지 못했다”고 고백했습니다. 빠른 성장 뒤에 따라온 대규모 보안 문제는 AI 생성 코드의 리뷰 부실이 낳은 결과입니다.
세 층위의 시스템 실패
개별 PR 수준
이해도 없이 검토가 통과됩니다. 리뷰어가 AI 생성 코드를 충분히 이해하지 못한 채로 승인을 누르는 일이 반복됩니다. “코드가 돌아가나?”를 확인할 수는 있지만, “왜 이렇게 만들었는가?”를 검토하지 못합니다.
프로젝트 수준
curl 프로젝트의 대니얼 스텐버그는 AI가 생성한 허위 보안 제보가 폭주하면서 2026년 버그바운티 프로그램을 종료했습니다. 실제 취약점과 AI가 만들어낸 허위 보고를 구분하는 데 너무 많은 리소스가 소모되었기 때문입니다.
생태계 수준
AI가 AI 생성 코드로 재학습하면서 “모델 붕괴(model collapse)” 현상이 발생하고 있습니다. AI 시스템은 모르는 영역을 보이지 않게 채워버리기 때문에, 보안 결정이나 아키텍처 제약 같은 맥락이 손실됩니다.
데이터로 보는 AI PR의 문제
CodeRabbit의 2025년 연구 결과는 AI 작성 PR의 문제를 수치로 보여줍니다.
| 항목 | AI PR vs 인간 PR |
|---|---|
| 전체 문제 수 | 1.7배 많음 |
| 보안 취약점 | 1.5~2배 높음 |
| 코드 가독성 | 3배 이상 나쁨 |
| 맞춤법 | 유일한 우수 항목 |
코드는 빠르게 생산되지만, 품질과 보안성은 그에 비례해 저하되고 있습니다.
해결책: PR 재정의
GitHub의 “PR 비활성화” 옵션은 기술 기능이 아니라 체계적 실패의 인정입니다. PR 제도를 폐지하는 것이 아니라, 운영 원칙을 재정의해야 합니다.
구체적으로 필요한 변화는 다음과 같습니다.
- 명확한 설명 의무화: 코드가 왜 이렇게 작성되었는지 반드시 설명하도록
- 설계 우선 원칙: 구현보다 설계 의도를 먼저 공유
- 미지의 영역 명시: AI가 채운 부분을 명시적으로 표시
- AI 생성 코드 추적: 어느 부분이 AI가 만들었는지 추적 가능하게
결론
“코드가 돌아가나?”보다 “이를 설명할 수 있는가?”를 기준으로 삼아야 합니다. AI 코드 생성 도구는 개발 속도를 높여주지만, 코드에 대한 이해와 책임은 여전히 개발자가 져야 합니다. 이러한 통제 없이는 코드가 팀을 소유하게 되는 역설이 발생합니다. PR은 여전히 가장 효과적인 품질 보증 수단이지만, AI 시대에 맞는 새로운 운영 방식이 필요합니다.