GitLab / ai-ml

Prepare your pipeline for AI-discovered zero-days (새 탭에서 열림)

AI는 이제 수십 년간 발견되지 않은 제로데이 취약점을 순식간에 찾아내고 공격 도구화하고 있으며, 이에 따라 기존의 수동적인 보안 대응 방식은 한계에 직면했습니다. 기업은 보안 통제를 개발 파이프라인(CI/CD)에 완전히 통합하고 AI 기반의 자동화된 탐지, 분류 및 복구 체계를 구축함으로써 공격과 방어 사이의 시간 간극을 좁혀야 합니다. **기존 취약점 관리의 한계와 AI 코드의 위험성** * 대부분의 보안 침해는 이미 패치가 존재함에도 적시에 조치하지 못한 '알려진 취약점'에서 발생하며, 취약점 조치에 걸리는 중앙값은 약 361일에 달할 정도로 대응이 느립니다. * AI 보조 도구(AI Coding Assistant)의 확산으로 인해 코드 생산량이 늘어남과 동시에, AI가 생성한 코드 내 보안 결함 또한 6개월 만에 10배 이상 급증했습니다. * AI는 패키지 이름을 환각(Hallucination)하거나 보안에 취약한 패턴을 복제하는 등 새로운 유형의 취약점을 양산하며 보안 팀의 검토 부담을 가중시키고 있습니다. **AI 속도에 맞춘 파이프라인 보안 전략** * **변경 시점의 정책 강제:** 보안 검토를 별도의 과정으로 두지 않고, 모든 코드 병합 요청(MR) 단계에서 보안 정책이 자동으로 실행되고 강제되도록 파이프라인을 설계해야 합니다. * **IDE 단계의 조기 차단:** 하드코딩된 비밀정보나 취약한 임포트 등 단순한 문제는 개발자가 코드를 푸시하기 전 IDE 단계에서 즉시 식별하여 피드백을 제공해야 합니다. * **자동화된 취약점 분류(Triage):** AI를 활용해 수많은 스캔 결과 중 실제 공격 도달 가능성(Reachability)과 위험도가 높은 항목을 선별함으로써 개발자의 불필요한 피로도를 줄여야 합니다. * **거버넌스 기반의 AI 복구:** AI가 제안한 수정안도 인간이 작성한 코드와 동일하게 자동 스캔, 승인 절차, 감사 추적(Audit Trail) 시스템을 거치도록 관리하여 신뢰성을 확보합니다. **지능형 파이프라인의 실무 대응 시나리오** * 새로운 제로데이 취약점이 발견되면 AI 보안 에이전트가 전사 리포지토리를 즉시 검색하여 해당 패키지의 사용 여부와 실제 노출 위험을 분 단위로 파악합니다. * 보안 엔지니어는 AI를 통해 영향받는 모든 프로젝트에 대한 복구 캠페인을 시작하며, AI가 제안한 패치가 테스트를 통과하지 못할 경우 AI가 스스로 코드를 수정하여 재시도합니다. * 모든 대응 과정은 자동으로 기록되어 사후 감사 시 스캔 결과, 적용 정책, 승인자 정보를 포함한 보고서로 즉각 출력됩니다. **실용적인 제언** 공격자들이 AI를 고도화하기 전, 조직은 다음 질문을 통해 파이프라인을 점검해야 합니다. 모든 병합 요청(MR)에서 보안 스캔이 강제로 실행되고 있는가? 취약점이 발견되었을 때 여러 도구를 거치느라 대응 시간이 지체되고 있지는 않은가? 지금 바로 파이프라인 내의 보안 파편화를 제거하고 통합된 자동화 체계를 구축하는 것이 미래의 AI 기반 공격을 막는 핵심입니다.

GitHub Copilot's policy for AI training: A governance wake-up call (새 탭에서 열림)

GitHub Copilot이 2026년 4월부터 사용자 데이터를 모델 학습에 기본적으로 활용하겠다고 발표함에 따라, 기업 데이터 거버넌스에 대한 경각심이 높아지고 있습니다. 이러한 정책 변화는 특히 금융, 의료, 국방 등 규제가 엄격한 산업군에서 지적 재산권 유출과 규제 준수 리스크를 초래할 수 있습니다. 이에 대응하여 GitLab은 모든 요금제에서 고객 데이터를 학습에 사용하지 않는다는 원칙을 고수하며, 투명하고 감사 가능한 AI 거버넌스의 필요성을 강조하고 있습니다. ## GitHub 정책 변경의 주요 내용과 영향 * 2026년 4월 24일부터 Copilot Free, Pro, Pro+ 사용자의 입력값(Inputs), 출력값(Outputs), 코드 스니펫 및 관련 컨텍스트가 기본적으로 AI 모델 학습에 사용됩니다. * 학습에 활용되는 데이터는 마이크로소프트(Microsoft)를 포함한 GitHub 계열사와 공유될 수 있으며, 사용자가 이를 원치 않을 경우 직접 '옵트아웃(Opt-out)' 설정을 해야 합니다. * 이러한 변화는 기업들이 현재 사용 중인 AI 도구의 라이선스 등급을 재검토하고, 내부 보안 컨트롤이 적절히 구성되어 있는지 다시 확인해야 하는 계기가 되고 있습니다. ## 규제 산업에서 AI 거버넌스가 필수적인 이유 * **지적 재산(IP) 보호**: 소스 코드는 독점 알고리즘, 사기 탐지 로직, 거래 전략 등 기업의 핵심 자산을 포함하고 있으며, AI 모델 학습에 사용될 경우 경쟁사에게 해당 로직이 노출될 위험이 있습니다. * **규제 준수 요구사항**: 금융권의 모델 리스크 관리 지침(SR 11-7)이나 유럽의 디지털 운영 탄력성법(DORA) 등은 제3자 기술 제공자가 데이터를 처리하는 방식에 대해 문서화되고 감사 가능한 감독을 요구합니다. * **공공 및 의료 보안**: 미국 국립표준기술연구소(NIST 800-53)나 의료정보보호법(HIPAA) 등의 기준을 따르는 조직에서는 데이터가 통제된 경계를 벗어나는 것 자체가 운영상의 큰 리스크가 됩니다. ## GitLab이 제안하는 AI 데이터 보호 기준 * **학습 배제 원칙**: GitLab은 요금제와 관계없이 고객 코드를 AI 학습에 절대 활용하지 않으며, 협력하는 AI 벤더(Subprocessor) 또한 고객 데이터를 자체적인 목적으로 사용하지 못하도록 계약으로 금지하고 있습니다. * **AI 투명성 센터 운영**: 어떤 모델이 어떤 기능을 구동하는지, 데이터 보유 기간은 얼마인지, 하위 프로세서와의 관계는 어떠한지 등을 한곳에서 문서화하여 제공함으로써 기업의 감사 업무를 지원합니다. * **독립성 및 중립성 확보**: 특정 클라우드 제공자나 대규모 언어 모델(LLM)에 종속되지 않는 구조를 유지하며, 벤더의 데이터 처리 방식에 중대한 변경이 생길 경우에 대비한 'AI 연속성 계획'을 수립하고 있습니다. ## 실용적인 결론 및 제안 기업의 AI 도입은 이제 선택이 아닌 필수가 되었지만, 도입 과정에서 벤더에게 다음과 같은 구체적인 질문을 던져야 합니다. "우리 데이터가 모델 학습에 사용되는가?", "데이터 정책이 변경될 경우 어떤 보장을 받을 수 있는가?", "모든 AI 처리를 자체 인프라 내에서 수행할 수 있는가?". 단 30일 전의 고지만으로 데이터 활용 정책을 바꿀 수 있는 서비스는 규제 산업군에서 파트너가 아닌 잠재적 부채가 될 수 있습니다. 따라서 계약적 확실성과 감사 가능성을 제공하는 벤더를 선택하여 컴플라이언스 리스크를 선제적으로 관리할 것을 권장합니다.

CI Expert and Data Analyst AI agents target development gaps (새 탭에서 열림)

GitLab 18.11 버전에서 새롭게 출시된 'CI Expert Agent'와 'Data Analyst Agent'는 AI로 인해 급증한 코드 생산량과 이를 뒷받침하지 못하는 기존 시스템 사이의 간극을 메우는 데 집중합니다. 이 에이전트들은 GitLab Duo Agent Platform을 기반으로 개발되었으며, 외부 도구와 달리 GitLab 내부의 실제 파이프라인 데이터와 개발 주기 맥락을 실시간으로 파악하여 맞춤형 해결책을 제시합니다. 결과적으로 개발팀은 복잡한 CI 설정이나 데이터 분석에 소요되는 시간을 획기적으로 줄이고 실제 혁신과 배포에 더 집중할 수 있게 되었습니다. ### 효율적인 파이프라인 구축을 위한 CI Expert Agent (Beta) 개발자가 코드를 작성한 후 실제 실행 가능한 파이프라인을 구축하기까지 발생하는 병목 현상을 해결합니다. * **저장소 자동 분석:** 저장소 내 코드를 직접 검사하여 사용된 언어와 프레임워크, 테스트 환경을 스스로 감지합니다. * **YAML 자동 생성:** 수동으로 `.gitlab-ci.yml` 파일을 작성할 필요 없이, 해당 프로젝트에 최적화된 실행 가능한 빌드 및 테스트 구성을 즉시 제안합니다. * **대화형 가이드:** Agentic Chat을 통해 파이프라인의 각 단계가 왜 필요한지 평이한 언어로 설명해주어, CI 설정 경험이 적은 개발자도 쉽게 이해할 수 있습니다. * **맥락 기반 최적화:** GitLab 내부에서 실행되므로 과거 파이프라인의 성공 및 실패 패턴을 학습하여 팀의 작업 방식에 맞게 지속적으로 개선됩니다. ### 자연어 기반 데이터 분석을 지원하는 Data Analyst Agent (GA) 소프트웨어 개발 수명 주기(SDLC)에서 발생하는 방대한 데이터를 복잡한 쿼리 없이 자연어로 간단히 분석할 수 있게 돕습니다. * **자연어 질의 및 시각화:** "MR 리뷰에 시간이 얼마나 걸리나요?"와 같은 질문을 던지면 즉시 데이터를 분석하여 시각화된 차트와 답변을 제공합니다. * **역할별 맞춤 인사이트:** 엔지니어링 매니저는 사이클 타임을, 개발자는 플래키(Flaky) 테스트 패턴을, 플랫폼 엔지니어는 러너 활용률을 즉각적으로 파악할 수 있습니다. * **확장된 분석 범위:** 정식 출시(GA) 단계인 이번 버전에서는 MR과 이슈를 넘어 프로젝트, 파이프라인, 개별 작업(Jobs)까지 분석 범위가 대폭 확대되었습니다. * **쿼리 호환성:** 생성된 GLQL(GitLab Query Language)은 복사하여 대시보드나 마크다운 문서 등 GitLab 내 어디서든 재사용할 수 있습니다. ### 통합 플랫폼 환경에서의 실용적 가치 GitLab은 AI가 단순히 코드 작성을 돕는 수준을 넘어, 생성된 코드를 안전하게 배포하고 그 성과를 측정하는 전 과정을 가속화해야 한다고 강조합니다. CI Expert Agent와 Data Analyst Agent는 GitLab 플랫폼의 고유한 데이터를 직접 활용하므로 별도의 외부 도구 동기화가 필요 없으며, 사용할수록 팀의 특성에 맞는 정교한 어시스턴트로 진화합니다. 현재 GitLab Duo Agent Platform 무료 체험을 통해 이러한 에이전트들의 성능을 직접 경험해 볼 수 있습니다.

Automate remediation with ready-to-merge AI code fixes (새 탭에서 열림)

GitLab 18.11은 AI 기반의 '에이전틱 SAST 취약점 해결(Agentic SAST Vulnerability Resolution)' 기능을 정식 출시하며 보안 병목 현상을 획기적으로 개선했습니다. 이 시스템은 취약점을 자동으로 분석하고 테스트를 거친 수정 코드를 제안함으로써, 개발자가 보안 이슈 해결을 위해 컨텍스트를 전환하거나 수동으로 연구하는 시간을 대폭 줄여줍니다. 결과적으로 보안 취약점이 운영 환경에 도달하기 전에 선제적으로 대응할 수 있는 자율적인 보안 파이프라인 구축이 가능해졌습니다. ### 에이전트 기반 자동 수정 및 개발 흐름 최적화 * **자율적 취약점 해결:** GitLab Duo 에이전트가 취약점의 맥락을 분석하여 근본 원인을 해결하는 코드를 자동 생성하고, 자동화된 테스트를 통해 검증까지 마친 '병합 준비 완료(ready-to-merge)' 상태의 MR을 제공합니다. * **신뢰도 점수 제공:** 개발자는 에이전트가 제안한 수정 사항과 함께 제공되는 신뢰도 점수를 확인하여 신속하고 정확한 의사결정을 내릴 수 있습니다. * **증분 스캐닝(Incremental Scanning):** 전체 스캔이 완료될 때까지 기다릴 필요 없이 변경된 코드 부분에 대한 보안 결과를 즉시 확인할 수 있어 파이프라인의 속도가 향상되었습니다. ### 비즈니스 리스크 중심의 스마트한 우선순위 지정 * **CVSS 4.0 적용:** 최신 산업 표준인 CVSS 4.0을 도입하여 실제 환경에서의 악용 가능성을 더욱 정교하게 반영한 취약점 점수를 제공합니다. * **정책 기반 심각도 재정의:** AppSec 팀은 CVE, CWE, 특정 파일 경로 등의 신호를 바탕으로 취약점 심각도 점수를 자동으로 조정하는 정책을 설정하여, 단순 스캐너 출력값이 아닌 실제 비즈니스 위험도에 따라 업무 우선순위를 정할 수 있습니다. * **실질적 위험 차단:** 알려진 악용 취약점(KEV) 상태나 악용 예측 점수 시스템(EPSS) 임계값을 기준으로 병합(Merge)을 차단하거나 경고하는 승인 정책을 구성할 수 있습니다. * **보안 대시보드 강화:** 새로운 'Top CWEs' 차트를 통해 프로젝트 전반에서 가장 빈번하게 발생하는 취약점 클래스를 파악하고 시스템적인 리스크를 관리할 수 있습니다. ### 보안 거버넌스 강화 및 운영 부담 완화 * **보안 관리자(Security Manager) 역할 도입:** 코드 수정이나 배포 권한 없이도 보안 정책을 설정하고 취약점 조치 워크플로우를 관리할 수 있는 전용 역할이 추가되어, 권한 분리 및 보안 전문성 강화가 가능해졌습니다. * **SAST 구성 프로필:** 개별 프로젝트마다 YAML 파일을 수정할 필요 없이, 단일 위치에서 그룹 내 모든 프로젝트에 일관된 보안 스캔 설정을 한 번에 적용할 수 있습니다. * **운영 효율성 제고:** 개발자에게 일일이 스캐너 설정을 요청하거나 각 프로젝트의 커버리지 격차를 수동으로 확인할 필요가 없어 보안 팀의 운영 오버헤드가 크게 줄어듭니다. --- 보안 팀이 개발 속도를 따라잡지 못해 고민이라면, GitLab 18.11의 에이전틱 보안 기능을 도입해 볼 것을 권장합니다. 특히 **GitLab Ultimate** 사용자라면 'Agentic SAST Vulnerability Resolution'을 통해 보안 부채를 자동으로 탕감하고, 개발자는 코드 작성에만 집중할 수 있는 환경을 구축할 수 있습니다.

Claude Opus 4.7 is now available in GitLab Duo Agent Platform (새 탭에서 열림)

GitLab Duo Agent Platform에 Anthropic의 최신 AI 모델인 Claude Opus 4.7이 공식 도입되었습니다. 이 모델은 복잡한 다단계 추론과 정밀한 지시 이행 능력이 대폭 강화되어, 소프트웨어 개발 생애주기 전반에서 에이전트의 작업 효율을 극대화합니다. 사용자는 Agentic Chat 및 다양한 에이전트 기반 워크플로우에서 이 모델을 선택하여 더욱 신뢰도 높고 예측 가능한 자동화 결과를 얻을 수 있습니다. **추론 능력 및 지시 이행의 강화** - GitLab의 내부 평가 결과, Claude Opus 4.7은 이전 모델인 Sonnet 4.6 및 Opus 4.6보다 뛰어난 성능을 보이며 복잡하고 장기적인 작업을 더 효율적으로 처리합니다. - 조건부 작업에 대한 해석이 정밀해짐에 따라, 멀티스텝 취약점 조치(remediation)와 같이 정해진 단계를 충실히 따라야 하는 작업에서 오류를 최소화합니다. - 복합적인 도구를 사용하는 워크플로우에서 발생할 수 있는 '오류 누적' 문제를 개선하여, 결과물의 예측 가능성과 감사(Audit) 가능성을 높였습니다. **개발 수명 주기 전반의 워크플로우 최적화** - **코드 및 테스트 생성:** 에이전트가 결과를 사용자에게 보여주기 전 스스로 출력을 검증(Self-verification)함으로써, 개발자의 업무 흐름을 방해하는 불필요한 반복 작업을 줄여줍니다. - **보안 및 취약점 관리:** 강화된 지시 준수 능력을 바탕으로 에이전트가 정해진 범위 내에서 조치 시퀀스를 완수하며, 중간에 경로를 이탈하거나 추가적인 수정 지시를 요구하는 빈도가 낮아졌습니다. - **CI/CD 파이프라인:** 파이프라인 실패 시 로그 분석부터 해결책 제안까지 긴 호흡의(Long-horizon) 일관성을 유지합니다. 이를 통해 에이전트가 맥락을 잃지 않고 문제를 종결지을 수 있도록 지원합니다. **도입 방법 및 가용성** - Claude Opus 4.7은 현재 GitLab Duo Agent Platform 내 모델 선택 메뉴를 통해 즉시 사용할 수 있습니다. - 무료 체험판을 통해 모델 성능을 테스트해 볼 수 있으며, 기존 GitLab Premium 또는 Ultimate 구독자는 구독에 포함된 GitLab 크레딧을 사용하여 바로 활성화가 가능합니다. - 각 모델별 구체적인 크레딧 소모량과 상세 사양은 GitLab 공식 문서에서 확인할 수 있습니다. 복잡한 보안 조치나 대규모 CI/CD 장애 대응처럼 높은 수준의 추론이 필요한 환경이라면, Claude Opus 4.7의 강화된 에이전트 워크플로우를 활용하여 팀의 생산성을 높여볼 것을 추천합니다.

GitLab 18.11: Budget guardrails for GitLab Credits (새 탭에서 열림)

GitLab 18.11은 GitLab Duo Agent Platform의 온디맨드 크레딧 사용을 제어할 수 있는 '예산 가드레일(Budget Guardrails)' 기능을 도입했습니다. 조직은 구독 전체 또는 개별 사용자 단위로 지출 상한선을 설정함으로써 AI 도입에 따른 비용 불확실성을 해소하고 예산 예측 가능성을 확보할 수 있습니다. 이를 통해 기업은 갑작스러운 비용 발생 걱정 없이 AI 에이전트 활용을 전사적으로 안전하게 확장할 수 있게 되었습니다. ### 구독 수준의 지출 상한 설정 * **월간 하드 실링(Hard Ceiling) 도입**: 청구 관리자는 Customers Portal에서 전체 구독에 대한 월간 크레딧 소비 한도를 설정할 수 있습니다. * **자동 액세스 제어**: 온디맨드 사용량이 설정된 상한선에 도달하면, 다음 결제 주기가 시작될 때까지 모든 사용자의 Duo Agent Platform 액세스가 자동으로 일시 중단됩니다. * **유연한 조정**: 관리자는 월 중간에 상한선을 높이거나 기능을 비활성화하여 즉시 액세스를 복구하는 등 상황에 따라 예산을 유연하게 변경할 수 있습니다. ### 사용자별 크레딧 제한 및 차등 관리 * **공정한 자원 배분**: 특정 헤비 유저가 조직 전체의 크레딧을 독점하는 것을 방지하기 위해 사용자당 사용 한도를 설정할 수 있습니다. * **개별 맞춤형 한도 적용**: GraphQL API를 통해 모든 사용자에게 동일한 한도를 적용하거나, 더 많은 크레딧이 필요한 수석 엔지니어 등에게는 별도의 높은 한도를 부여하는 '오버라이드' 기능이 제공됩니다. * **부분적 서비스 중단**: 사용자가 개인 한도에 도달하더라도 GitLab의 일반적인 기능은 정상적으로 이용 가능하며, 오직 크레딧을 소비하는 Duo Agent Platform 활동만 제한됩니다. ### 가시성 확보 및 알림 시스템 * **실시간 알림**: 구독 상한선에 도달하면 청구 관리자에게 즉시 이메일 알림이 발송되어 예산 증액이나 크레딧 재배분 여부를 신속히 결정할 수 있게 합니다. * **관리자 모니터링**: 그룹 소유자나 인스턴스 관리자는 한도 초과로 인해 차단된 사용자를 확인하고 관리할 수 있는 권한을 가집니다. * **데이터 기반 의사결정**: 크레딧 대시보드에서 제공되는 사용자별 상세 데이터를 활용해 부서별 비용 배분(Chargeback) 정책을 수립하거나 분기별 예산 계획을 세울 수 있습니다. ### 효율적인 AI 비용 관리를 위한 제언 기존의 좌석당(Seat-based) 고정 가격 모델은 사용량과 관계없이 비용이 발생하여 비효율적일 수 있습니다. GitLab의 사용량 기반 모델과 이번에 도입된 가드레일 기능을 결합하면 실제 사용한 만큼만 비용을 지불하면서도 지출 총액을 엄격히 통제할 수 있습니다. 대규모 조직이라면 GraphQL API를 활용해 직무별로 차등화된 크레딧 할당 정책을 자동화하여 운영 효율을 극대화할 것을 추천합니다.

GitLab Duo CLI: Agentic AI now in the terminal (새 탭에서 열림)

GitLab Duo CLI는 IDE를 넘어 터미널 환경에서 전체 소프트웨어 개발 생애주기(SDLC)를 지원하는 에이전트형 AI 도구입니다. 이 도구는 단순한 코드 완성을 넘어 파이프라인 디버깅, CI/CD 자동화 등 복잡한 작업을 수행하며, 인간의 승인을 거치는 대화형 모드와 자동화된 워크플로우를 위한 헤드리스 모드를 모두 지원합니다. 보안과 제어 권한을 플랫폼 수준에서 강화하여 개발자가 터미널 내에서 안전하고 효율적으로 에이전트 기반 AI의 성능을 활용할 수 있도록 설계되었습니다. **터미널 환경으로의 확장 배경** * 기존의 AI 비서들이 IDE 내에서 코드 작성(Auto-complete)에만 집중했던 것과 달리, Duo CLI는 테스트 실행, 파이프라인 트리거, 취약점 스캔 모니터링 등 개발 전 단계의 자동화를 목표로 합니다. * CLI는 출력을 파이프라인으로 연결하거나 명령어를 체이닝하고 스크립트에 삽입할 수 있어 기계와 인간 모두에게 유연한 인터페이스를 제공합니다. * IDE가 맥락 중심의 인터랙티브한 개발에 유리하다면, 터미널은 자동화, 이식성, 투명한 디버깅 측면에서 강력한 강점을 가집니다. **운영 모드 및 주요 기능** * **대화형 모드(Interactive mode):** 에디터와 무관한 터미널 채팅 환경을 제공하며, 모든 작업 실행 전 사용자의 승인을 거치는 'Human-in-the-loop' 방식을 따릅니다. 이를 통해 코드 구조 파악, 오류 수정, 파이프라인 트러블슈팅이 가능합니다. * **헤드리스 모드(Headless mode):** CI/CD 러너나 스크립트 내에서 사람의 개입 없이 독립적으로 작동하도록 설계되었습니다. * **에이전트 활용:** GitLab Duo Agent Platform에 정의된 모든 에이전트와 워크플로우에 접근할 수 있어 코드 리팩토링부터 복잡한 다단계 개발 작업까지 자율적으로 수행합니다. **보안 모델 및 가드레일** * **플랫폼 내장 보안:** 프롬프트 주입(Prompt injection) 탐지 기능을 플랫폼 수준에서 기본적으로 지원하여 외부 위협으로부터 시스템을 보호합니다. * **복합 ID(Composite identity):** 에이전트가 접근할 수 있는 범위를 엄격히 제한하며, AI가 수행하는 모든 행동에 대해 감사(Audit)가 가능하도록 기록을 남깁니다. * **사용자 정의 지침:** `chat-rules.md`, `AGENTS.md`, `SKILL.md`와 같은 설정 파일을 통해 에이전트에게 허용된 작업, 자원, 지식 범위를 명시적으로 정의하는 '최소 권한 원칙'을 적용합니다. **실용적인 제언** GitLab Duo CLI는 현재 공개 베타 상태로 제공되고 있습니다. 기존 GitLab CLI(`glab`) 사용자는 `glab duo cli` 명령어를 통해 즉시 설치 및 구성이 가능합니다. 반복적인 파이프라인 문제 해결이나 대규모 코드 현대화 작업을 자동화하려는 팀은 대화형 모드로 충분히 검증을 거친 후, 헤드리스 모드를 CI/CD 파이프라인에 통합하여 생산성을 극대화할 것을 추천합니다.

Automating detection gap analysis with GitLab Duo Agent Platform (새 탭에서 열림)

GitLab의 Signals Engineering 팀은 보안 침해 사고 이후 발생하는 '탐지 격차(Detection Gap)' 분석을 자동화하기 위해 **GitLab Duo Agent Platform**을 활용하고 있습니다. 이 플랫폼은 AI 에이전트가 사고 타임라인과 데이터를 직접 분석하여 수동 검토 없이도 미흡했던 탐지 지점을 찾아내고, 이를 MITRE ATT&CK 프레임워크에 매핑하여 구체적인 개선안을 제시하도록 돕습니다. 결과적으로 보안 팀은 반복적이고 소모적인 분석 업무에서 벗어나 실제 탐지 역량을 강화하는 데 집중할 수 있게 되었습니다. ### 탐지 격차 분석의 어려움과 자동화의 필요성 * **탐지 격차의 정의:** 공격자가 행동을 취했음에도 불구하고 기존 보안 탐지 시스템이 이를 포착하지 못한 지점을 의미합니다. * **수동 분석의 한계:** 사고 데이터를 일일이 읽고 공격자의 행동을 탐지 기회와 매핑하는 작업은 시간이 많이 걸리며, 담당 엔지니어에 따라 결과가 일관되지 않을 가능성이 큽니다. * **워크플로우 통합:** GitLab 팀은 사고 기록이 남는 'GitLab Issues' 내에서 분석 과정이 자연스럽게 이루어지도록 자동화된 프로세스를 구축했습니다. ### GitLab Duo Agent Platform의 특징 * **에이전트 기반 프레임워크:** 단순한 챗봇을 넘어 추론하고, 행동을 취하며, 이슈(Issues)나 머지 리퀘스트(MR), 코드와 같은 GitLab 리소스와 기본적으로 통합되는 AI 에이전트를 구축할 수 있습니다. * **두 가지 활용 경로:** 즉시 사용 가능한 '보안 분석가 에이전트(Security Analyst Agent)'를 활용하거나, 특정 팀의 표준에 맞춘 '맞춤형 에이전트'를 직접 제작할 수 있습니다. ### 보안 분석가 에이전트 (Security Analyst Agent) 활용 * **즉각적인 도입:** 보안 도메인 지식이 사전 학습되어 있어, 종료된 사고 이슈에서 에이전트를 호출하는 것만으로 분석을 시작할 수 있습니다. * **분석 범위:** 사고 설명, 타임라인, 작업 내역 및 댓글을 검토하여 탐지가 누락된 전술, 기술 및 절차(TTP)를 식별합니다. * **장단점:** 별도의 설정 없이 바로 가치를 제공하지만, 기업 고유의 SIEM 환경이나 로그 소스, 특정 탐지 표준에 대한 맥락은 부족할 수 있습니다. ### 맞춤형 탐지 엔지니어링 어시스턴트 구축 기술 GitLab 팀은 더 정교한 분석을 위해 'Detection Engineering Assistant'라는 맞춤형 에이전트를 구축했으며, 핵심은 **시스템 프롬프트(System Prompt)** 설계에 있습니다. * **명확한 역할 정의:** 에이전트에게 "GitLab Signals Engineering 팀의 탐지 엔지니어"라는 구체적인 역할을 부여하여 응답의 일관성을 높였습니다. * **탐지 철학 주입:** 오탐(False Positive)을 줄이고 행동 기반 탐지를 우선시하는 팀의 원칙을 프롬프트에 포함하여, 에이전트가 팀의 기준에 맞는 권고안을 내도록 했습니다. * **기술 스택 및 로그 소스 정보:** 실제 사용 중인 SIEM과 수집 가능한 로그 소스 정보를 입력하여, 이론적인 제안이 아닌 실제 구현 가능한 탐지 규칙을 제안하게 했습니다. * **MITRE ATT&CK 및 출력 형식 지정:** 모든 결과를 ATT&CK 기법에 매핑하고, 탐지 누락 내용, 로그 소스, 권장 접근 방식을 포함한 정형화된 리스트로 출력하도록 설정했습니다. (실제 시스템 프롬프트는 약 1,870단어, 337행에 달할 정도로 상세함) ### 실용적인 권장 사항 AI를 이용한 탐지 분석 자동화를 고려한다면, 처음에는 GitLab에서 제공하는 **보안 분석가 에이전트**로 시작하여 AI의 잠재력을 확인해 보는 것이 좋습니다. 이후 분석의 정확도를 높이고 싶다면, 팀의 고유한 탐지 표준과 인프라 정보를 상세히 담은 **시스템 프롬프트**를 설계하여 맞춤형 에이전트를 구축하는 단계로 발전시킬 것을 권장합니다.

Extend GitLab Duo Agent Platform: Connect any tool with MCP (새 탭에서 열림)

GitLab Duo Agent Platform이 MCP(Model Context Protocol)를 지원함에 따라, 이제 개발자들은 Jira와 같은 외부 도구를 AI 개발 환경에 직접 연결하여 사용할 수 있게 되었습니다. 이를 통해 IDE를 벗어나지 않고도 자연어 대화만으로 Jira 이슈를 조회, 생성 및 업데이트하며 프로젝트 관리와 코드 작성을 통합할 수 있습니다. 결과적으로 도구 간의 빈번한 맥락 전환(Context Switching)을 줄여 개발 생산성을 극대화하고 워크플로우를 단순화할 수 있는 강력한 환경을 제공합니다. ### MCP 연동 아키텍처 및 보안 설정 * GitLab Duo Agent Platform은 MCP 클라이언트 역할을 수행하며, Atlassian MCP 서버와 통신하여 Jira 데이터에 접근합니다. * 보안 인증을 위해 Atlassian 개발자 콘솔에서 OAuth 2.0 애플리케이션을 생성해야 하며, `read:jira-work`, `write:jira-work`, `read:jira-user`와 같은 구체적인 API 권한(Scope) 설정이 필요합니다. * 인증 과정에서 콜백 URL(`https://gitlab.com/oauth/callback`)을 등록하고 발급된 Client ID와 Secret을 안전하게 관리해야 합니다. ### GitLab Duo MCP 클라이언트 구성 및 검증 * 프로젝트의 `.gitlab/duo/mcp.json` 경로에 MCP 서버 설정 파일을 생성합니다. 이 파일에는 서버 URL과 앞서 발급받은 OAuth 인증 정보가 포함됩니다. * GitLab 그룹 설정의 'GitLab Duo' 메뉴에서 외부 MCP 도구 허용 옵션(`Allow external MCP tools`)을 활성화해야 정상적으로 작동합니다. * VS Code 내 'GitLab: Show MCP Dashboard' 기능을 통해 연결 상태를 모니터링할 수 있으며, `jira_get_issue`, `jira_create_issue` 등 사용 가능한 도구 목록과 실시간 서버 로그를 확인할 수 있습니다. ### 실무 적용을 위한 주요 활용 사례 * **기획 및 관리 보조:** "할당되지 않은 이슈 목록 보여줘", "우선순위가 높은 이슈 2개를 요약하고 나에게 할당해줘"와 같은 프롬프트를 통해 스프린트 계획을 IDE 내에서 즉시 처리할 수 있습니다. * **코드 맥락 기반 이슈 생성:** 코드 리뷰 중 버그를 발견했을 때, 별도의 브라우저 실행 없이 현재 코드의 맥락을 포함하여 Jira 티켓을 즉시 생성하고 관련 브랜치와 연결할 수 있습니다. * **워크플로우 자동화:** 자연어 요청을 통해 Jira의 복잡한 필드를 자동으로 채우거나, 코드 분석 결과에 따라 관련 블로커(Blocker)를 검색하는 등 지능적인 협업이 가능해집니다. 개발팀은 MCP를 활용해 Jira뿐만 아니라 MCP 규격을 지원하는 다양한 외부 도구를 GitLab Duo에 통합함으로써 커스텀 AI 에이전트 환경을 구축할 수 있습니다. 툴 간 전환 비용을 줄이고 개발 집중도를 높이고 싶다면, 가이드에 따라 `.gitlab/duo/mcp.json` 설정을 완료하고 첫 번째 MCP 워크플로우를 시작해 보시기 바랍니다.

10 AI prompts to speed your team’s software delivery (새 탭에서 열림)

소프트웨어 개발 과정에서 코딩이 차지하는 비중은 전체의 20%에 불과하며, 나머지 80%에 해당하는 코드 리뷰, 보안 검사, 문서화 작업 등이 실제 배포 속도를 늦추는 주요 병목 구간이 되고 있습니다. 개별 개발자의 코딩 속도를 높이는 것을 넘어 팀 전체의 배포 주기를 단축하기 위해서는 소프트웨어 개발 수명 주기(SDLC) 전반에 AI 프롬프트를 전략적으로 적용해야 합니다. 이를 통해 반복적인 조정 비용을 줄이고 보안과 품질을 유지하면서도 더 빠르게 가치를 전달할 수 있는 협업 환경을 구축할 수 있습니다. ### 효율적인 코드 리뷰와 병목 해소 * **논리적 오류 및 에지 케이스 점검:** 단순한 문법 검사를 넘어 AI가 코드의 의도를 파악하고 논리적 버그나 예외 상황을 검토하게 함으로써, 인간 리뷰어의 부담을 줄이고 리뷰 주기를 단축합니다. * **파괴적 변경(Breaking Changes) 식별:** API 서명 변경, 데이터베이스 스키마 수정, 공용 메서드 이름 변경 등 배포 시 장애를 유발할 수 있는 요소를 미리 감지하여 장애 대응 비용을 최소화합니다. ### 보안의 조기 확보 (Shift Left Security) * **보안 스캔 결과의 지능적 분석:** 보안 도구가 생성한 수많은 결과 중 실제 위협과 오탐(False Positive)을 구분하고, 취약점의 심각도에 따른 우선순위와 구체적인 수정 방안을 제안합니다. * **코드 작성 단계의 보안 검토:** 인젝션 취약점이나 인증 결함 등을 병합 요청(MR) 생성 전 단계에서 AI가 검토하게 하여 보안 팀과의 불필요한 피드백 루프를 제거합니다. ### 문서화 자동화와 최신 상태 유지 * **릴리스 노트 자동 생성:** 병합된 MR 목록을 바탕으로 신규 기능, 버그 수정, 성능 개선 항목을 분류하여 상세한 릴리스 노트를 즉시 작성함으로써 수동 작업 시간을 절약합니다. * **문서 업데이트 필요성 식별:** 코드 변경 사항이 발생했을 때 README, API 명세, 아키텍처 다이어그램 중 어떤 문서가 수정되어야 하는지 AI가 안내하여 문서와 코드 간의 간극을 방지합니다. ### 기획 단계의 복잡성 분해 * **에픽(Epic)의 이슈 세분화:** 거대한 기능 단위인 에픽을 구현 가능한 작은 이슈들로 나누고, 기술적 의존성과 수락 기준(Acceptance Criteria)을 설정하여 기획에 소요되는 몇 주간의 시간을 며칠 내로 단축합니다. --- 팀의 성과를 극대화하려면 AI를 단순히 코드를 작성하는 도구로만 제한하지 말고, 개발 프로세스 전반의 코디네이션 비용을 줄이는 용도로 확장해야 합니다. 소개된 10가지 프롬프트를 워크플로우에 통합하는 것만으로도 코드 리뷰 대기 시간과 보안 승인 지연을 획기적으로 줄여 팀의 배포 속도를 높일 수 있습니다.

AI can detect vulnerabilities, but who governs risk? (새 탭에서 열림)

AI의 발전으로 취약점 탐지 및 수정 제안의 자동화가 가속화되고 있으나, 실제 기업 보안의 핵심은 탐지 그 이상인 거버넌스와 위험 관리에 있습니다. 소프트웨어가 AI에 의해 조립되고 의존성이 복잡해지는 현대적 환경에서 단순한 코드 분석만으로는 보안 책임을 다할 수 없으며, 정책 집행과 가시성을 제공하는 통합 플랫폼의 역할이 더욱 중요해지고 있습니다. 결국 AI를 통한 생산성 향상의 성패는 기술 자체보다 이를 안전하게 통제하고 신뢰할 수 있는 거버넌스 체계를 구축하느냐에 달려 있습니다. **AI 신뢰를 뒷받침하는 거버넌스 체계** * AI 시스템(예: Claude Code Security)은 취약점을 식별하고 수정을 제안하는 데 뛰어나지만, 이는 분석일 뿐 책임(Accountability)의 영역은 아닙니다. * 기업의 보안 정책이나 허용 가능한 위험 수준을 정의하는 것은 인간의 영역이며, AI 에이전트가 작동할 경계와 가드레일을 직접 설정해야 합니다. * AI에게 더 많은 자율성을 부여할수록 직무 분리, 감사 추적, 일관된 통제와 같은 강력한 거버넌스가 AI 개발 환경의 신뢰를 지탱하는 기초가 됩니다. **코드 이상의 맥락(Context) 파악의 중요성** * 거대언어모델(LLM)은 개별 코드를 격리된 상태에서 평가하지만, 보안 플랫폼은 해당 코드가 비즈니스에 미치는 영향도와 인프라 간의 상호작용 등 전체 맥락을 이해합니다. * 취약점이 실제 운영 환경에서 실행 가능한 경로에 있는지(Reachable), 혹은 외부 API 및 환경 설정에 의해 실제로 악용될 수 있는지 판단하여 보안 소음을 줄입니다. * 누가 변경을 수행했는지와 애플리케이션의 중요도를 결합한 맥락 정보가 있어야만 개발 속도를 늦추지 않고 효과적인 위험 우선순위 선정이 가능합니다. **동적 위험에 대응하는 지속적 보증** * 소프트웨어 위험은 의존성 변화와 환경 진화에 따라 끊임없이 변하므로, 배포 시점의 일회성 스캔만으로는 안전을 보장할 수 없습니다. * 개발 워크플로에 보안 제어를 직접 삽입하여 빌드, 테스트, 배포 전 과정에서 실시간으로 위험을 평가하는 지속적인 보증(Continuous Assurance) 체계가 필요합니다. * AI 생성 코드와 오픈 소스 라이브러리가 혼재된 복잡한 공급망을 관리하기 위해서는 전체 소프트웨어 수명 주기를 통합적으로 관리하는 오케스트레이션이 필수적입니다. AI 보조 도구는 개발 속도를 획기적으로 높여주지만, 기업은 이를 안전하게 확장하기 위해 거버넌스 중심의 접근 방식을 택해야 합니다. 단순히 똑똑한 AI 어시스턴트를 도입하는 것에 그치지 않고, GitLab과 같은 통합 플랫폼을 통해 정책 집행과 보안 스캔, 감사 기능을 개발 워크플로에 내재화함으로써 AI 시대에 걸맞은 보안 신뢰를 구축할 것을 권장합니다.

GitLab Duo Agent Platform with Claude accelerates development (새 탭에서 열림)

GitLab Duo Agent Platform은 Anthropic의 Claude와 같은 외부 AI 모델을 GitLab 워크플로우에 직접 통합하여 소프트웨어 개발 전 과정을 자동화합니다. 기존 AI 도구들이 개발 워크플로우와 분리되어 발생했던 맥락 단절 문제를 해결하고, 프로젝트의 요구사항을 깊이 이해하여 코드 생성부터 파이프라인 구축까지 복잡한 다단계 작업을 자율적으로 수행합니다. 이를 통해 팀은 개발 속도를 획기적으로 높이는 동시에 코드의 일관성과 보안을 유지할 수 있는 강력한 협업 환경을 구축하게 됩니다. ### 아이디어에서 코드로의 전환 (From Idea to Code) * 프로젝트 이슈에 기재된 사양과 설명을 기반으로 외부 에이전트가 애플리케이션 개발 전체 프로세스를 주도합니다. * 에이전트는 프로젝트의 맥락을 분석하여 풀스택 Java 웹 애플리케이션, 비즈니스 로직, UI 컴포넌트를 생성하고 리뷰 준비가 완료된 병합 요청(Merge Request)을 자동으로 생성합니다. * 백엔드 Java 클래스, 프론트엔드 HTML/CSS/JS, 빌드 구성 파일이 포함된 결과물을 제공하며, 개발자는 자연어 대화를 통해 이를 즉시 테스트하고 반복적으로 개선할 수 있습니다. ### 자동화된 지능형 코드 리뷰 (Code Review) * 병합 요청 단계에서 에이전트를 호출하여 코드의 강점, 취약점, 우선순위별 개선 사항을 포함한 종합적인 분석 보고서를 제공받을 수 있습니다. * 보안 평가, 테스트 노트, 코드 메트릭 및 승인 상태 권장 사항을 포함하여 시니어 개발자가 아키텍처 결정과 같은 고차원적인 작업에 집중할 수 있도록 돕습니다. * 일관된 리뷰 기준을 적용함으로써 운영 환경에 배포되기 전 잠재적인 오류를 선제적으로 차단합니다. ### CI/CD 파이프라인 및 컨테이너화 자동화 (Pipeline Creation) * 배포 자동화가 설정되지 않은 환경에서 에이전트에게 요청하여 완전한 형태의 CI/CD 파이프라인 구성을 생성할 수 있습니다. * 프로젝트의 Java 버전에 최적화된 Dockerfile을 생성하고, GitLab 컨테이너 레지스트리에 이미지를 빌드 및 배포하는 단계를 자동으로 구성합니다. * 수동 설정 없이도 빌드, 이미지 생성, 레지스트리 푸시 단계가 포함된 파이프라인이 즉시 가동되어 배포 효율성을 극대화합니다. GitLab Duo Agent Platform은 AI를 단순한 보조 도구가 아닌, 조직의 표준을 준수하고 자율적으로 업무를 완수하는 '신뢰할 수 있는 협업자'로 격상시킵니다. 반복적인 수동 작업을 줄이고 개발 사이클 전반의 지능형 자동화를 구현하고자 하는 팀에게 이 플랫폼은 생산성 혁신을 위한 핵심적인 솔루션이 될 것입니다.

Secure and fast deployments to Google Agent Engine with GitLab (새 탭에서 열림)

Google의 AI 에이전트 전용 관리형 런타임인 'Agent Engine'에 GitLab CI/CD를 활용하여 안전하고 효율적으로 배포하는 방법을 안내합니다. GitLab의 네이티브 Google Cloud 통합과 워크로드 아이덴티티 페더레이션(Workload Identity Federation) 기술을 활용하면 복잡한 인프라 관리 없이 보안이 강화된 자동 배포 환경을 구축할 수 있습니다. 이를 통해 개발자는 서버 관리나 보안 설정의 번거로움에서 벗어나 에이전트 로직 개발에만 집중할 수 있는 최적화된 DevSecOps 워크플로우를 확보하게 됩니다. **Agent Engine의 역할과 가치** * AI 에이전트를 위해 설계된 Google Cloud의 관리형 런타임으로, 인프라의 구축, 확장, 세션 관리 및 메모리 저장소를 자동으로 처리합니다. * 개발자가 하위 인프라를 직접 관리할 필요가 없으며, Google Cloud의 로깅, 모니터링, IAM(ID 및 액세스 관리) 시스템과 네이티브하게 통합됩니다. * 에이전트가 운영 환경에서 안정적으로 실행되고 확장될 수 있는 최적화된 환경을 제공합니다. **GitLab을 통한 배포의 보안 및 효율성** * **내장 보안 스캐닝:** 별도의 구성 없이도 의존성 스캐닝, SAST(정적 애플리케이션 보안 테스트), 비밀 정보 탐지 등의 보안 검사가 배포 과정에서 자동으로 수행됩니다. * **키리스(Keyless) 인증:** 워크로드 아이덴티티 페더레이션을 사용하여 서비스 계정 키 파일 없이 Google Cloud에 인증하므로, 키 유출로 인한 보안 위험을 근본적으로 제거합니다. * **파이프라인 간소화:** GitLab의 CI/CD 템플릿과 Agent Development Kit(ADK)를 결합하여 복잡한 배포 로직을 체계적으로 관리할 수 있습니다. **IAM 통합 및 환경 설정** * GitLab 프로젝트의 통합 설정에서 Google Cloud 프로젝트 ID, 워크로드 아이덴티티 풀 ID 등을 입력하여 플랫폼 간 신뢰 관계를 구축합니다. * 배포를 위해 서비스 주체(Service Principal)에 `roles/aiplatform.user`와 `roles/storage.objectAdmin` 권한을 반드시 부여해야 합니다. * 이 설정 과정을 통해 생성된 스크립트를 Google Cloud Shell에서 실행함으로써 안전한 인증 기반을 마련합니다. **CI/CD 파이프라인 구성 및 실행** * `.gitlab-ci.yml` 파일을 통해 테스트(보안 스캔)와 배포(Deploy) 두 단계로 구성된 파이프라인을 정의합니다. * 배포 단계에서는 `identity: google_cloud` 지시어를 사용하여 키리스 인증을 활성화하고, ADK CLI의 `adk deploy agent_engine` 명령어를 사용하여 에이전트를 패키징 및 배포합니다. * 파이프라인 캐싱 기능을 활용하여 pip 의존성 설치 속도를 높이고 전체적인 배포 사이클을 단축합니다. **실용적인 결론** AI 에이전트의 배포와 운영에서 가장 큰 걸림돌은 보안 설정과 인프라 관리입니다. GitLab과 Google Agent Engine을 결합한 이 방식은 보안 스캔을 자동화하고 인증 과정을 간소화함으로써, 엔터프라이즈 급의 안전성을 유지하면서도 배포 속도를 획기적으로 높일 수 있는 최선의 선택이 될 것입니다.

Agentic SDLC: GitLab and TCS deliver Intelligent Orchestration across the enterprise (새 탭에서 열림)

GitLab과 TCS는 기업이 DevSecOps를 대규모로 확장하고 소프트웨어 개발 속도를 높일 수 있도록 AI 에이전트 기반의 '지능적 오케스트레이션(Intelligent Orchestration)' 협업 모델을 발표했습니다. 이 파트너십은 GitLab의 통합 데이터 모델 및 Duo Agent 플랫폼과 TCS의 산업 전문성을 결합하여, 파편화된 도구 체인을 통합하고 보안과 컴플라이언스가 내재화된 자동화된 워크플로우를 제공합니다. 이를 통해 기업은 복잡한 현대적 소프트웨어 개발 환경에서도 일관된 통제권을 유지하며 생산성을 극대화할 수 있습니다. ### 지능적 오케스트레이션과 에이전틱 워크플로우 * GitLab Duo Agent 플랫폼은 단순한 코드 생성을 넘어 다단계 추론, 보안 스캐닝, 파이프라인 자동 복구 등 소프트웨어 수명 주기 전반의 자율적 작업을 수행합니다. * TCS의 구조화된 에이전트 계층 구조와 통합되어, 도메인 에이전트가 GitLab의 전문 에이전트(플래너, 보안 분석가, 코드 리뷰어 등)를 호출하는 유기적인 협업 시스템을 구축합니다. * 모든 AI 에이전트의 작업은 프로젝트의 전체 맥락을 인식하며, 감사(Audit)가 가능하고 사전에 정의된 거버넌스 규칙에 따라 통제되어 수만 명의 엔지니어 조직에서도 신뢰성을 유지합니다. ### 플랫폼 엔지니어링을 통한 DevSecOps의 산업화 * 개별 파이프라인 관리를 넘어 표준화된 '내부 개발자 플랫폼(IDP)'을 구축함으로써, 개발자가 셀프 서비스 방식으로 안전한 '골든 패스(Golden Path)'를 이용할 수 있게 합니다. * 'Policy-as-code'를 통해 보안과 컴플라이언스를 개발 흐름에 기본으로 내장하여, 대규모 조직에서도 일관된 운영 효율성을 확보하는 'Day 2' 운영 표준화를 실현합니다. * GitLab은 IDP의 제어 평면(Control Plane) 역할을 수행하고, TCS는 이를 기반으로 기업별 맞춤형 설계와 대규모 마이그레이션 팩토리를 운영하여 도입 마찰을 줄입니다. ### GitLab과 TCS의 시너지와 차별점 * GitLab의 지능형 플랫폼 기술과 TCS의 수십 년간 축적된 도메인 지식, 대규모 마이그레이션 역량이 결합되어 규제가 엄격하거나 복잡한 레거시 환경에서도 신속한 도입이 가능합니다. * 단순한 도구 도입이 아닌, 기업의 운영 모델과 규모의 경제를 고려한 맥락 중심의 솔루션을 제공하여 AI 도입에 따른 신뢰 및 리스크 관리를 지원합니다. * 양사는 다중 클라우드 환경 전반에서 컴플라이언스가 보장된 빠른 소프트웨어 전달 체계를 구축하여 기업의 혁신 속도를 가속화합니다. 기업은 단순히 개별 AI 도구를 도입하는 수준을 넘어, 인간 개발자와 AI 에이전트가 공존하는 '에이전틱 SDLC'로의 전환을 준비해야 합니다. GitLab과 TCS가 제안하는 지능형 오케스트레이션 모델은 복잡한 규제와 기술적 부채를 가진 대기업이 안전하고 실질적으로 AI 기반의 소프트웨어 공급망을 구축할 수 있는 구체적인 경로를 제시합니다.

Agentic AI, enterprise control: Self-hosted Duo Agent Platform and BYOM (새 탭에서 열림)

GitLab 18.9 업데이트는 규제가 엄격한 산업군의 기업들이 데이터 레지던시와 거버넌스를 유지하면서도 에이전트 기반 AI(Agentic AI)를 도입할 수 있도록 '셀프 호스팅 Duo Agent Platform'과 '자체 모델 도입(BYOM)' 기능을 선보였습니다. 이번 배포를 통해 기업은 클라우드 라이선스를 사용하면서도 모델 추론은 자체 인프라에서 수행할 수 있게 되어, 보안과 유연성을 동시에 확보한 AI 컨트롤 플레인을 구축할 수 있습니다. 결과적으로 복잡한 DevSecOps 워크플로우 자동화를 강력한 규제 준수 환경 내에서 실현할 수 있게 되었습니다. **온라인 클라우드 라이선스를 위한 Duo Agent Platform 셀프 호스팅** 그동안 셀프 호스팅 모델을 통한 AI 워크플로우 자동화는 주로 오프라인이나 특정 라이선스 환경에 국한되었으나, 이제 온라인 클라우드 라이선스 고객도 이를 활용할 수 있게 되었습니다. * **데이터 레지던시 및 제어권 보장:** 기업은 자체 인프라나 승인된 클라우드 환경에 호스팅된 모델을 사용하면서 GitLab Duo Agent Platform을 운영할 수 있어, 추론 트래픽의 경로와 데이터 저장 위치를 완전히 통제할 수 있습니다. * **GitLab Credits 기반의 투명한 과금:** 사용량 기반 빌링 모델을 도입하여 각 요청별 측정(metering)이 가능해졌으며, 이를 통해 기업 내부의 비용 배분(Chargeback)과 규제 보고를 위한 상세한 비용 투명성을 제공합니다. * **규제 산업의 도입 가속화:** 외부 AI 벤더로 데이터를 전송할 수 없는 금융, 정부 기관, 주요 인프라 산업군에서 에이전트 기반 AI를 즉시 도입할 수 있는 환경을 마련했습니다. **자체 모델 도입 (Bring Your Own Model, BYOM)** 기업이 이미 투자한 특정 도메인 최적화 LLM이나 에어갭(Air-gapped) 환경의 모델을 GitLab 환경에 유연하게 통합할 수 있도록 지원합니다. * **AI Gateway를 통한 통합 거버넌스:** 기업이 보유한 서드파티 모델이나 자체 호스팅 모델을 GitLab AI Gateway에 연결하여, GitLab이 관리하는 모델과 동일한 수준의 제어 평면에서 관리할 수 있습니다. * **세분화된 모델 매핑:** 관리자는 등록된 모델을 특정 Duo Agent Platform의 흐름이나 기능에 정밀하게 매핑할 수 있어, 작업의 성격에 따라 최적화된 모델이 할당되도록 제어할 수 있습니다. * **자율적인 성능 및 위험 관리:** 모델의 유효성 검사, 성능 최적화, 위험 평가는 기업이 직접 담당하며, 이를 통해 조직의 고유한 보안 정책과 위험 수용 범위에 맞춘 모델 운용이 가능합니다. **활용 제언** 파편화된 AI 도구 사용으로 인해 거버넌스 공백을 겪고 있는 기업이라면, GitLab 18.9의 통합 컨트롤 플레인을 활용해 AI 전략을 중앙 집중화할 것을 권장합니다. 특히 특정 규제 준수가 필수적인 환경에서는 'BYOM' 기능을 통해 검증된 내부 모델을 DevSecOps 파이프라인에 직접 연결함으로써 보안 리스크를 최소화하면서도 자동화 효율을 극대화할 수 있습니다.