마이크로소프트 AI 꺼도 커밋에 Copilot 몰래 삽입 개발자 신뢰 붕괴 사건

마이크로소프트가 Visual Studio Code(VS Code)에 조용한 변경사항 하나를 밀어 넣었습니다. Git 커밋 메시지에 “Co-Authored-by Copilot” 이라는 문구를 자동으로 삽입하는 기능이었습니다. 문제는 이것이 Copilot AI 기능을 비활성화한 개발자에게도 기본적으로 작동했다는 점입니다.

AI를 쓰지 않았는데 AI가 코드를 작성했다는 기록이 남는 것입니다. GitHub와 Hacker News에서 강력한 반발이 쏟아졌고, 해당 담당자는 실수를 인정하며 수정을 약속했습니다. 그러나 이 사건이 남긴 질문들은 간단히 해소되지 않습니다.

관련 브리핑: aikorea24.kr 2026-05-04 브리핑

무슨 일이 있었는가

마이크로소프트 제품 매니저가 VS Code의 Git 커밋 기능에 변경사항을 제안했습니다. Copilot이 코드 작성에 기여했을 경우 커밋 메시지에 자동으로 기여 표시를 추가하는 기능이었습니다. 수석 엔지니어가 별다른 설명 없이 검토하고 즉시 병합(merge)했습니다.

문제는 이 기능이 Copilot 기능 자체를 꺼놓은 사용자에게도 기본 활성화로 작동했다는 점입니다. 실제로 AI를 사용하지 않았음에도 커밋 이력에 “AI가 기여했다”는 기록이 남게 된 것입니다.

GitHub 이슈와 Hacker News에서 개발자들의 강한 반발이 터져 나왔습니다. 마이크로소프트의 개발자 드미트리 바쉬우라가 실수를 공개적으로 인정했습니다. AI 기능이 비활성화된 경우에는 작동하지 않아야 했으며, AI가 관여하지 않은 커밋을 AI가 생성한 것으로 태그해서는 안 됐다고 밝혔습니다. 기본값은 VS Code 1.119 버전에서 되돌려질 예정입니다. GitHub의 해당 토론 스레드는 이후 스팸으로 잠금 처리됐습니다.

개발자들이 의심하는 것

많은 개발자들은 이것이 단순한 버그라는 설명을 받아들이지 않고 있습니다.

가장 강력하게 제기된 의심은 Copilot 사용량 지표 조작입니다. 마이크로소프트는 Copilot의 사용 현황을 기업 고객과 투자자들에게 보고합니다. “Co-Authored-by Copilot” 커밋 수는 Copilot의 실제 활용도를 나타내는 지표로 활용될 수 있습니다. AI를 쓰지 않는 개발자의 커밋에까지 이 문구가 들어가면, Copilot의 활용도가 실제보다 높게 집계될 수 있습니다.

또한 이 변경이 어떠한 설명도 없이 수석 엔지니어의 즉각 승인으로 병합됐다는 점도 우연으로 보기 어렵다는 시각이 있습니다. 의도적인 기획이든 구조적 부주의든, 결과는 동일합니다. 사용자의 동의 없이 허위 정보가 코드 이력에 기록됐습니다.

왜 이것이 심각한 문제인가

단순한 메타데이터 오류처럼 보일 수 있습니다. 그러나 이 사건이 실질적으로 심각한 이유는 세 가지입니다.

첫째, 저작권 문제입니다. 소프트웨어 저작권은 누가 코드를 작성했는지에 따라 결정됩니다. 인간이 작성한 코드와 AI가 생성한 코드는 저작권법상 다르게 취급될 수 있습니다. 미국 저작권청은 AI가 생성한 콘텐츠는 저작권 보호를 받지 못한다는 입장을 유지하고 있습니다. 커밋 이력에 허위로 AI 기여가 기록되면, 해당 코드의 저작권 귀속에 혼란이 생길 수 있습니다.

둘째, 기업 AI 정책 위반 문제입니다. 많은 기업들이 내부 규정상 AI 생성 코드의 사용을 금지하거나 엄격히 제한하고 있습니다. 금융, 의료, 방위 산업 등에서는 계약상 AI 사용을 배제해야 하는 경우도 있습니다. 이런 기업의 개발자가 VS Code를 사용하고 AI 기능을 꺼놓았음에도 불구하고 커밋 이력에 “Copilot이 기여했다”는 기록이 남는다면, 계약 위반이 될 수 있습니다.

셋째, 코드 감사(audit)의 신뢰성 문제입니다. 기업들은 보안 취약점 점검, 오픈소스 라이선스 준수, 저작권 검토 등을 위해 코드 이력을 감사합니다. 이 이력에 실제와 다른 생성 주체 정보가 들어가 있다면, 감사 자체의 신뢰성이 무너집니다.

AI 귀속 문제의 더 넓은 맥락

이 사건은 더 큰 문제의 작은 표출입니다. AI가 실제로 생성한 것과 사람이 생성한 것을 어떻게 구분하고 기록할 것인가라는 문제는 이미 여러 영역에서 충돌하고 있습니다.

학술 논문에서는 AI 보조 작성의 기재 의무를 두고 학술지마다 다른 기준이 적용되고 있습니다. 법률 문서에서는 AI가 초안을 작성하고 변호사가 검토한 경우 누구의 작성으로 봐야 하는지가 불명확합니다. 예술 작품에서는 AI 생성 이미지의 저작권 귀속에 대한 법원 판결이 각국에서 엇갈리고 있습니다.

소프트웨어 코드는 이 문제가 가장 직접적으로 충돌하는 영역 중 하나입니다. 코드는 이력 추적이 가능하고, 라이선스 조건이 명시되어 있으며, 저작권 분쟁에서 증거로 사용됩니다. 이 영역에서 AI 귀속이 잘못 기록되면 실질적인 법적, 계약적 결과가 따릅니다.

마이크로소프트가 진짜 해야 할 것

기본값을 되돌리는 것은 최소한의 조치입니다. 이 사건이 드러낸 더 근본적인 문제는 따로 있습니다.

마이크로소프트는 AI 기능이 적용된 범위와 적용되지 않은 범위를 사용자가 명확하게 확인할 수 있는 투명성 체계를 갖추어야 합니다. AI 기여가 실제로 있을 때만, 그리고 사용자가 명시적으로 동의한 경우에만 귀속 표시가 이루어져야 합니다.

더 중요한 것은 내부 변경 프로세스의 문제입니다. 이런 영향이 있는 변경사항이 검토 없이 즉각 병합되는 구조는 재발 가능성을 높입니다. AI 기능 관련 변경사항에 대해서는 더 엄격한 내부 검토 절차가 필요합니다.

한국 개발자와 기업이 지금 해야 할 것

이 사건의 여파는 VS Code를 사용하는 한국의 개발자와 기업에도 미칩니다.

당장의 실용적 조치가 있습니다. VS Code 1.119 업데이트 이전까지는 Git 설정에서 커밋 메시지 템플릿을 직접 관리하거나, 커밋 이력을 주기적으로 검토해 의도치 않은 Copilot 귀속 문구가 포함되지 않았는지 확인해야 합니다.

더 넓은 맥락에서, 이 사건은 기업들이 AI 도구 사용 정책을 문서화하고 관리하는 것이 얼마나 중요한지를 보여줍니다. “우리 팀은 AI를 쓰지 않는다”는 구두 약속이 아니라, 실제 개발 환경 설정과 코드 이력 검토를 통해 정책 준수 여부를 검증하는 체계가 필요합니다.

이 사건의 핵심은 간단합니다. 사용자가 명시적으로 거부한 기능이 작동하는 것은 신뢰의 문제이고, 허위 정보가 공식 이력에 기록되는 것은 법적 문제입니다. 마이크로소프트가 실수를 인정하고 수정을 약속했지만, 이 사건이 남긴 불신은 버전 업데이트 하나로 해소되지 않습니다.