도입
며칠 전 microsoft/vscode 저장소에 올라온 PR 하나가 개발자 커뮤니티를 뜨겁게 달궜어요. 사연은 한 줄로 요약돼요. VS Code가 사용자가 만든 git 커밋 메시지에 "Co-Authored-by: Copilot" 꼬리표를 자동으로 붙이고 있었고, 그게 Copilot을 실제로 썼는지와 무관하게 광범위하게 붙고 있었다는 것입니다. 이 동작이 발견된 뒤 단순한 버그인지 의도된 기본값인지를 두고 논쟁이 격해졌고, 결국 PR #310226에서 자동 추가 동작을 끄거나 조건부로 바꾸는 작업이 진행되고 있어요.어떤 일이 벌어졌나
GitHub은 커밋 메시지 마지막에Co-Authored-by: 이름 <이메일> 같은 트레일러(trailer)가 들어 있으면 그 사람을 공동 저자로 인정해줘요. 프로필의 기여 그래프나 PR 화면에 함께 표시되죠. 페어 프로그래밍이나 멘토링 세션에서 유용한 기능이거든요.문제는 VS Code의 최근 버전에서, AI가 개입하는 커밋(특히 Copilot Chat의 에이전트 모드 등)에 이 트레일러를 자동으로 끼워 넣는 로직이, 사용자가 직접 작성한 코드, 자동완성을 살짝만 받은 코드, 심지어 Copilot을 켜놓기만 하고 한 번도 제안을 받지 않은 코드에까지 동일하게 적용된 경우가 있었다는 점이에요. 즉 "Copilot이 정말로 이 줄을 썼냐"의 판단 없이 일괄적으로 붙어버리는 케이스가 발생한 거죠.
PR을 보면 이걸 다음과 같은 방향으로 고치려고 해요. 자동 추가 자체를 더 보수적인 기본값으로 바꾸거나, "에이전트가 실제로 코드를 만든 경우에만" 붙이도록 조건을 좁히거나, 사용자에게 명시적인 토글을 제공하는 식으로요.
왜 이게 큰 문제인가
얼핏 "한 줄 더 들어간 거 아니야?" 싶지만, 파급력이 꽤 큽니다.먼저 저작권·라이선스 문제예요. 어떤 회사들은 사내 정책으로 AI 생성 코드의 사용을 제한하거나 따로 라벨링하도록 요구하는데, Copilot을 안 썼는데도 공동 저자로 기록되면 감사(audit) 기록이 왜곡됩니다. 반대로 진짜 AI가 쓴 코드와 사람이 쓴 코드를 구분할 수 없게 되니까, "어디까지가 AI 산출물이냐"를 따져야 하는 상황에서 분쟁의 소지가 커져요.
다음으로 커밋 이력의 신뢰도가 깎입니다. git blame으로 "이 줄을 누가 왜 썼는지" 추적할 때, 모든 줄에 Copilot이 공동 저자로 찍혀 있으면 그 신호는 죽은 거예요. "전부 다 Copilot 썼다"는 건 사실상 정보가 없는 거나 마찬가지죠.
마지막으로 마케팅 지표 의혹이에요. GitHub 입장에서 "Copilot이 공동 저자인 커밋 수"는 도구 채택률을 보여주는 매력적인 숫자거든요. 그런데 사용 여부와 무관하게 트레일러가 붙으면 이 숫자가 부풀려지고, 실제 PR 토론에서도 "마케팅 메트릭 조작 아니냐"는 의심이 거듭 제기됐어요. 의도가 어떻든 신뢰는 깎이는 거죠.
임시로 막는 방법
지금 당장 자기 커밋이 멋대로 라벨링되는 게 싫다면 몇 가지 방법이 있어요. VS Code 설정에서 Copilot 관련 커밋 메시지/트레일러 옵션을 점검하고, 그래도 끈질기게 붙는다면 git의commit-msg 훅에서 해당 트레일러를 제거하는 한 줄짜리 스크립트를 추가하는 방법도 있어요. 예를 들어 sed -i '/Co-Authored-by: Copilot/d' "$1" 같은 식으로요. 정식 수정이 stable 빌드에 반영되면 이런 우회는 필요 없어집니다.업계 맥락
AI 도구가 만든 결과물에 어떻게 출처를 표시할지는 업계 전반의 숙제예요. JetBrains AI Assistant, Cursor, Aider 같은 도구도 비슷한 고민을 하고 있고, 어떤 곳은 commit trailer 대신 PR description이나 별도 메타데이터에 기록하는 식으로 접근해요. 이번 사건의 진짜 교훈은 "기본값을 어떻게 정하느냐가 얼마나 민감한가"입니다. 사용자가 명시적으로 켠 게 아닌데 자기 이름 옆에 기업의 도구 이름이 붙는 건, 기술적으로는 사소해 보여도 신뢰의 영역에서는 결코 사소하지 않아요.한국 개발자에게 주는 시사점
국내 기업 중에도 사내 보안·감사 정책상 AI 생성 코드의 비중을 추적하거나 제한하는 곳들이 늘고 있어요. VS Code + Copilot 조합을 쓰는 팀이라면, 이번 기회에 자기 팀 커밋 메시지가 실제로 어떻게 작성되고 있는지 한번 확인해보는 게 좋습니다. 특히 사내 코드 리뷰 봇이나 컴플라이언스 스캐너가 commit trailer를 신호로 삼고 있다면, 의도치 않은 오작동이 일어나고 있을 수 있어요.또 하나는, 우리가 쓰는 도구가 우리 이름으로 무엇을 적고 있는지 평소에 의심해봐야 한다는 점이에요. 편의 기능이 늘어날수록 디폴트 동작을 한 번씩 들춰보는 습관이 점점 더 중요해지고 있어요.
마무리
사용자 동의 없이 자동으로 들어가는 한 줄짜리 메타데이터가 신뢰를 어떻게 깎아먹는지를 보여주는 사례였어요. 여러분은 AI 도구가 만든 코드의 출처를 어떻게 기록하시나요? commit trailer에 찬성하시나요, 아니면 PR 본문 정도가 적당하다고 보시나요?🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
