GitLab / database-design

How GitLab built a security control framework from scratch (새 탭에서 열림)

GitLab의 보안 컴플라이언스 팀은 기존의 범용 보안 제어 프레임워크가 자사의 클라우드 네이티브 환경과 다각화된 제품군에 최적화되어 있지 않다는 점을 발견하고, 이를 해결하기 위해 자체적인 'GitLab 제어 프레임워크(GCF)'를 구축했습니다. GCF는 복잡한 인증 요구사항을 통합 관리하면서도 개별 제품의 특성을 반영할 수 있도록 설계되어, 불필요한 보안 규제를 줄이고 실질적인 보안 운영 효율을 높이는 데 기여하고 있습니다. 결과적으로 이러한 맞춤형 프레임워크는 조직이 확장됨에 따라 늘어나는 다양한 외부 인증(SOC 2, ISO, FedRAMP 등)에 유연하고 빠르게 대응할 수 있는 기반이 되었습니다. ### 기존 프레임워크의 한계와 맞춤형 프레임워크의 필요성 * NIST SP 800-53과 같은 범용 프레임워크는 1,000개 이상의 방대한 제어 항목을 포함하지만, 모든 항목이 GitLab의 클라우드 환경에 필수적인 것은 아니었습니다. * 범용 항목은 세분성(Granularity)이 부족하여 실무 적용에 어려움이 있었습니다. 예를 들어 NIST의 '계정 관리(AC-2)'는 계정 생성, 수정, 삭제, 모니터링 등 성격이 다른 6개 이상의 활동을 하나로 묶어 관리하므로 책임 소재와 테스트 절차가 불명확해지는 문제가 발생합니다. * 불필요하거나 과도하게 제한적인 제어 항목은 실무자들이 보안 절차를 우회하도록 유도하여 오히려 전체적인 보안 수준을 저하시킬 위험이 있습니다. ### GitLab 제어 프레임워크(GCF) 구축 단계 * **요구사항 분석 및 벤치마킹**: SOC 2, ISO 시리즈, PCI DSS, FedRAMP 등 현재와 미래의 모든 인증 요구사항을 매핑하여 베이스라인을 설정하고, NIST CSF나 Adobe/Cisco의 CCF 같은 선진 사례를 참고하여 구조적 누락을 방지했습니다. * **도메인 및 계층 구조 설계**: GitLab의 실제 보안 운영 조직과 일치하도록 18개의 커스텀 도메인을 정의하고, '무엇을 구현해야 하는가(Level 1)'와 '제품별로 어떻게 구현했는가(Level 2)'를 분리하여 설계했습니다. * **상세 메타데이터 통합**: 단순한 제어 항목 설명을 넘어 소유자(Owner), 적용 환경, 대상 자산, 수행 빈도, 자동화 수준(Nature), 테스트 세부 정보 등의 구체적인 데이터를 각 항목에 결합했습니다. ### 멀티 제품 환경을 위한 계층적 제어 구조 * GitLab.com(멀티테넌트 SaaS), GitLab Dedicated(단일 테넌트), 정부용 Dedicated 등 각 제품군이 서로 다른 인프라(GCP, AWS)와 감사 요구사항을 가지므로, 이를 개별 프레임워크로 관리하는 대신 계층화된 구조를 도입했습니다. * 조직 전체에 공통으로 적용되는 '엔티티 제어(Entity Controls)'는 모든 제품이 상속받고, 제품별 고유한 구현 방식은 하위 계층(Level 2)에서 별도로 캡처하여 관리 중복을 최소화했습니다. * 이러한 구조 덕분에 특정 팀이 소유한 항목이나 자동화가 가능한 수동 프로세스를 즉각적으로 필터링하여 파악할 수 있는 '운영 가능한 인벤토리'를 구축하게 되었습니다. ### 지속 가능한 확장 및 성숙도 확보 * 새로운 국가적 인증(ISMAP, IRAP 등)을 추진할 때, GCF에 이미 구축된 데이터와 비교하여 격차(Gap)를 신속하게 식별하고 필요한 제어 항목만 추가하는 방식으로 대응 속도를 높였습니다. * 제어 항목의 성숙도를 정기적으로 평가하고 자동화 비중을 높임으로써, 컴플라이언스 업무가 단순히 감사를 준비하는 행위에 그치지 않고 지속적인 보안 강화 프로세스로 작동하도록 유도합니다. 성공적인 보안 컴플라이언스 프로그램을 운영하기 위해서는 표준 프레임워크를 맹목적으로 따르기보다 조직의 비즈니스 구조와 운영 방식에 맞게 재설계하는 과정이 필요합니다. GitLab처럼 제어 항목의 '요구사항'과 '구현 방식'을 분리하고 상세한 운영 컨텍스트를 메타데이터로 관리한다면, 복잡한 멀티 인증 환경에서도 일관성 있고 효율적인 보안 체계를 유지할 수 있습니다.

10 AI prompts to speed your team’s software delivery (새 탭에서 열림)

소프트웨어 개발 과정에서 코딩이 차지하는 비중은 전체의 20%에 불과하며, 나머지 80%에 해당하는 코드 리뷰, 보안 검사, 문서화 작업 등이 실제 배포 속도를 늦추는 주요 병목 구간이 되고 있습니다. 개별 개발자의 코딩 속도를 높이는 것을 넘어 팀 전체의 배포 주기를 단축하기 위해서는 소프트웨어 개발 수명 주기(SDLC) 전반에 AI 프롬프트를 전략적으로 적용해야 합니다. 이를 통해 반복적인 조정 비용을 줄이고 보안과 품질을 유지하면서도 더 빠르게 가치를 전달할 수 있는 협업 환경을 구축할 수 있습니다. ### 효율적인 코드 리뷰와 병목 해소 * **논리적 오류 및 에지 케이스 점검:** 단순한 문법 검사를 넘어 AI가 코드의 의도를 파악하고 논리적 버그나 예외 상황을 검토하게 함으로써, 인간 리뷰어의 부담을 줄이고 리뷰 주기를 단축합니다. * **파괴적 변경(Breaking Changes) 식별:** API 서명 변경, 데이터베이스 스키마 수정, 공용 메서드 이름 변경 등 배포 시 장애를 유발할 수 있는 요소를 미리 감지하여 장애 대응 비용을 최소화합니다. ### 보안의 조기 확보 (Shift Left Security) * **보안 스캔 결과의 지능적 분석:** 보안 도구가 생성한 수많은 결과 중 실제 위협과 오탐(False Positive)을 구분하고, 취약점의 심각도에 따른 우선순위와 구체적인 수정 방안을 제안합니다. * **코드 작성 단계의 보안 검토:** 인젝션 취약점이나 인증 결함 등을 병합 요청(MR) 생성 전 단계에서 AI가 검토하게 하여 보안 팀과의 불필요한 피드백 루프를 제거합니다. ### 문서화 자동화와 최신 상태 유지 * **릴리스 노트 자동 생성:** 병합된 MR 목록을 바탕으로 신규 기능, 버그 수정, 성능 개선 항목을 분류하여 상세한 릴리스 노트를 즉시 작성함으로써 수동 작업 시간을 절약합니다. * **문서 업데이트 필요성 식별:** 코드 변경 사항이 발생했을 때 README, API 명세, 아키텍처 다이어그램 중 어떤 문서가 수정되어야 하는지 AI가 안내하여 문서와 코드 간의 간극을 방지합니다. ### 기획 단계의 복잡성 분해 * **에픽(Epic)의 이슈 세분화:** 거대한 기능 단위인 에픽을 구현 가능한 작은 이슈들로 나누고, 기술적 의존성과 수락 기준(Acceptance Criteria)을 설정하여 기획에 소요되는 몇 주간의 시간을 며칠 내로 단축합니다. --- 팀의 성과를 극대화하려면 AI를 단순히 코드를 작성하는 도구로만 제한하지 말고, 개발 프로세스 전반의 코디네이션 비용을 줄이는 용도로 확장해야 합니다. 소개된 10가지 프롬프트를 워크플로우에 통합하는 것만으로도 코드 리뷰 대기 시간과 보안 승인 지연을 획기적으로 줄여 팀의 배포 속도를 높일 수 있습니다.

AI Catalog: Discover, create, and share agents and flows (새 탭에서 열림)

GitLab의 AI 카탈로그는 조직 내에서 AI 에이전트와 워크플로우를 중앙 집중식으로 관리하고 공유할 수 있는 핵심 저장소입니다. 사용자는 이를 통해 사전 구축된 솔루션을 검색하여 즉시 적용하거나, 팀의 특정 요구사항에 맞춘 맞춤형 에이전트 및 플로우를 생성하여 개발 협업 효율성을 극대화할 수 있습니다. 결과적으로 개발 생명주기 전반에 걸쳐 일관되고 재사용 가능한 AI 자동화 환경을 구축하는 것을 목표로 합니다. ## AI 카탈로그의 구성과 활용 방식 * **중앙 저장소 역할:** 조직 내에서 생성된 모든 AI 자산(에이전트 및 플로우)을 한곳에서 탐색하고, 복제하여 커스터마이징하거나 프로젝트에 즉시 활성화할 수 있습니다. * **에이전트(Agents):** 특정 태스크나 전문 분야(예: 디버깅, 코드 리뷰)에 특화된 대화형 AI 도구로, 시스템 프롬프트와 도구 접근 권한을 설정하여 동작을 정의합니다. * **플로우(Flows):** 여러 단계로 구성된 복잡한 자동화 프로세스로, YAML 구조를 통해 여러 에이전트를 조율하고 반복 가능한 멀티 스텝 워크플로우를 실행합니다. ## 맞춤형 자산 생성 및 가시성 관리 * **세밀한 권한 설정:** 에이전트 생성 시 코드, 이슈, 머지 리퀘스트(MR) 등에 대한 도구 접근 권한을 제한적으로 부여하여 보안성을 높일 수 있습니다. * **비공개(Private) 모드:** 특정 프로젝트 멤버나 소유자만 접근할 수 있는 설정으로, 민감한 워크플로우를 개발하거나 초기 실험 단계에서 유용합니다. * **공개(Public) 모드:** 인스턴스 내 모든 사용자가 검색하고 자신의 프로젝트에 활성화할 수 있도록 공유하여 조직 전체의 생산성을 높입니다. * **공유 모범 사례:** `security-code-review`와 같이 명확한 명명 규칙을 사용하고, 상세한 사용 사례와 전제 조건을 문서화하여 품질을 유지할 것을 권장합니다. ## 안정성을 보장하는 버전 관리 시스템 * **자동 의미론적 버전 관리(Semantic Versioning):** 시스템 프롬프트나 구성이 변경될 때마다 GitLab이 자동으로 버전을 업데이트(예: 1.0.0에서 1.1.0으로)하며, 각 버전은 불변(Immutable) 상태로 유지됩니다. * **버전 고정(Version Pinning):** 하위 프로젝트에서 에이전트를 사용할 때 특정 버전으로 고정되어, 카탈로그의 원본이 업데이트되더라도 기존 워크플로우가 예기치 않게 변경되는 것을 방지합니다. * **수동 업데이트 방식:** 새로운 기능이나 개선 사항을 적용하려면 사용자가 직접 업데이트 버튼을 클릭하고 변경 사항을 검토한 후 최신 버전으로 갱신하는 '옵트인(Opt-in)' 방식을 채택합니다. 효과적인 AI 도입을 위해 처음에는 비공개 모드로 에이전트를 생성하여 충분히 테스트한 후, 검증된 자산에 한해 문서화와 함께 공개 모드로 전환하여 조직 전체에 배포하는 전략을 추천합니다.

What’s new in Git 2.53.0? (새 탭에서 열림)

Git 2.53.0 버전은 대규모 저장소 관리 효율성을 높이고 데이터 무결성을 강화하는 데 초점을 맞춘 업데이트를 선보였습니다. 이번 릴리스의 핵심은 부분 클론(Partial Clone) 환경에서의 기하급수적 재패킹 지원과 히스토리 재작성 시 유효한 서명을 선별적으로 보존하는 기능의 도입입니다. 이를 통해 개발자와 운영자는 대규모 프로젝트를 관리할 때 성능 최적화와 보안 신뢰성을 동시에 확보할 수 있게 되었습니다. ## 부분 클론 환경의 기하급수적 재패킹(Geometric Repacking) 지원 * 전통적인 'all-into-one' 재패킹 방식은 모든 객체를 하나의 패크파일로 합쳐 조회 성능은 좋지만, 대규모 저장소에서는 작업 시간이 지나치게 길어지는 단점이 있습니다. * 이를 보완하는 '기하급수적 전략'은 패크파일들의 크기를 일정 비율(두 배 이상)로 유지하며 필요한 부분만 결합하지만, 그동안 부분 클론 환경의 '프로미서(promisor)' 패크파일을 제대로 처리하지 못하는 기술적 한계가 있었습니다. * Git 2.53에서는 기하급수적 재패킹 시 프로미서 패크파일을 별도로 구분하여 관리하도록 개선되었습니다. 이를 통해 부분 클론을 사용하는 저장소에서도 데이터 손상 위험 없이 효율적인 객체 관리가 가능해졌습니다. ## 유효한 커밋 서명만 보존하는 git-fast-import 개선 * 저장소 히스토리를 대량으로 재작성하는 `git-fast-import` 명령어에 `--signed-commits` 옵션의 새로운 모드인 `strip-if-invalid`가 추가되었습니다. * 기존에는 히스토리를 재작성할 때 서명을 일괄 삭제하거나 무효한 서명을 그대로 남겨둬야 했으나, 이제는 재작성으로 인해 내용이 바뀐 커밋의 서명만 골라 삭제할 수 있습니다. * 이 기능 덕분에 히스토리 재작성 과정에서 변경되지 않은 객체들의 유효한 서명은 안전하게 보존할 수 있어, 데이터의 무결성을 유지하는 데 큰 도움이 됩니다. ## 저장소 구조 분석 도구(git-repo-structure)의 데이터 수집 강화 * 저장소의 성능 특성을 파악하기 위해 도입된 `git repo structure` 명령어가 이제 도달 가능한 객체들의 상세 크기 정보를 제공합니다. * 커밋, 트리, 블롭, 태그 등 각 객체 유형별로 압축 해제 시 크기(Inflated size)와 실제 디스크 점유 크기(Disk size)를 모두 확인할 수 있습니다. * 이는 외부 도구 없이도 네이티브 명령어를 통해 대규모 저장소의 구조적 부하를 진단하고 하드웨어 자원 계획을 세우는 데 유용하게 활용됩니다. 대규모 저장소를 운영하거나 히스토리 정제 작업을 빈번하게 수행하는 팀이라면 이번 Git 2.53.0 업데이트를 적극 권장합니다. 특히 부분 클론을 활용한 CI/CD 환경에서 기하급수적 재패킹을 통해 성능을 최적화하고, 히스토리 수정 시에도 유효한 서명을 유지함으로써 보안 수준을 한 단계 높일 수 있습니다.

Claude Opus 4.6 now available in GitLab Duo Agent Platform (새 탭에서 열림)

GitLab은 Anthropic의 가장 강력한 AI 모델인 Claude Opus 4.6을 GitLab Duo 에이전트 플랫폼에 도입하여 개발자들에게 더욱 강력한 자율 성능을 제공합니다. 이 모델은 복잡한 개발 과업을 주도적으로 수행하는 '에이전틱(Agentic)' 역량이 극대화되었으며, 100만 토큰에 달하는 방대한 컨텍스트 창을 지원하는 것이 특징입니다. 개발자들은 이제 GitLab의 풍부한 DevSecOps 데이터와 결합된 최신 AI를 통해 대규모 코드베이스 분석부터 다단계 워크플로우 자동화까지 한층 높은 차원의 개발 경험을 누릴 수 있게 되었습니다. **Claude Opus 4.6의 핵심 에이전트 역량** * **능동적 과업 수행:** 이전 모델보다 적은 가이드로도 스스로 행동을 결정하고 작업을 추진하며, 복잡한 워크플로우를 해결하기 위해 하위 에이전트를 생성하거나 도구 호출을 병렬로 처리하는 능력이 탁월합니다. * **심화 및 적응형 추론:** 테스트 시간 연산(test-time compute)을 통해 문제의 난이도에 따라 사고 과정을 스스로 조정하며, 단순한 질문에는 빠르게 답하고 복잡한 문제에는 깊이 있는 추론을 적용합니다. * **압도적인 컨텍스트 창:** 기존 4.5 모델보다 5배 확장된 100만 토큰의 컨텍스트 창을 통해 전체 코드베이스, 상세 문서, 프로젝트 전체 이력을 단 한 번의 상호작용으로 파악할 수 있습니다. **GitLab Duo 플랫폼과의 통합 및 활용** * **풍부한 컨텍스트 제공:** GitLab 리포지토리, 병합 요청(MR), 파이프라인, 보안 결과물 등 플랫폼 내의 실제 DevSecOps 데이터를 활용하여 더욱 정확한 결과물을 산출합니다. * **지원 범위:** GitLab.com의 모든 에이전트와 에이전틱 채팅(Agentic Chat) 내 모델 선택기에서 사용할 수 있으며, 지원되는 IDE 내에서의 모델 선택 기능도 곧 출시될 예정입니다. (Duo Classic 기능은 제외) * **엔터프라이즈급 제어:** 인간 참여형(Human-in-the-loop) 제어 기능과 그룹 기반 액세스 권한 관리를 통해 고성능 AI를 안전하고 신뢰할 수 있는 방식으로 워크플로우에 통합할 수 있습니다. **모델 사용을 위한 크레딧 정책** * **프롬프트 크기별 차등 적용:** 200k 토큰 이하의 요청은 크레딧당 1.2회 사용 가능하며, 200k 토큰을 초과하는 대규모 요청은 크레딧당 0.7회의 비율로 계산됩니다. * **효율적 활용:** 방대한 데이터를 처리하는 작업일수록 크레딧 소모율이 달라지므로, 작업의 복잡도에 맞게 모델을 선택하여 사용하는 것이 권장됩니다. 현재 GitLab Duo 에이전트 플랫폼을 사용 중인 고객은 모델 선택기에서 즉시 Claude Opus 4.6으로 전환하여 그 성능을 체험할 수 있습니다. 대규모 마이그레이션이나 복잡한 보안 취약점 해결과 같이 고도의 지능이 필요한 작업에 이 모델을 적극 활용하여 팀의 생산성을 극대화해 보시기 바랍니다.

Announcing general availability for GitLab Duo Agent Platform (새 탭에서 열림)

GitLab은 개발자가 코드를 작성하는 시간을 넘어 소프트웨어 개발 수명 주기(SDLC) 전반의 혁신 속도를 높이기 위해 'GitLab Duo Agent Platform'의 정식 출시(GA)를 발표했습니다. 이 플랫폼은 단순히 코드를 생성하는 수준을 넘어, 지능적인 오케스트레이션과 에이전트 기반 AI 자동화를 통해 코드 리뷰, 보안 점검, 파이프라인 최적화 등 기존의 병목 구간을 해결하는 데 초점을 맞춥니다. 결과적으로 팀은 인간과 AI의 유기적인 협업을 통해 복잡한 작업을 자율적으로 수행하고 전체 개발 프로세스를 가속화할 수 있습니다. ### AI 패러독스 해결과 통합된 협업 경험 * **AI 패러독스 극복:** 개발자가 코드 작성에 할애하는 시간은 전체의 약 20%에 불과하며, 나머지 80%의 업무에서 발생하는 병목 현상을 해결하기 위해 에이전트 중심의 접근 방식을 도입했습니다. * **통합 UX:** GitLab 웹 UI와 IDE(VS Code, JetBrains, Cursor, Windsurf 등) 전반에서 'Duo Agentic Chat'을 사용할 수 있으며, 이슈, 병합 요청(MR), 파이프라인 활동 내에서 AI와 실시간으로 소통할 수 있습니다. * **상황 맥락 인식:** 단순 응답을 넘어 이슈, 보안 결과물, 파이프라인 상태 등 전체 수명 주기의 맥락을 이해하고 다단계 추론을 통해 정확한 가이드를 제공합니다. ### 지능형 에이전틱 채팅의 주요 기능 * **분석 및 분석:** 웹 UI에서 이슈, 에픽, MR을 생성하거나 요약할 수 있으며, 복잡한 프로젝트 구조와 의존성을 파악하는 데 도움을 줍니다. * **코드 및 인프라 자동화:** 다양한 언어와 프레임워크에 걸쳐 코드, 구성 파일, IaC(Infrastructure-as-Code)를 생성하며 버그 수정 및 아키텍처 현대화를 지원합니다. * **CI/CD 및 보안:** 기존 파이프라인의 문제를 해결하거나 새로 구축하며, 보안 취약점을 설명하고 도달 가능성에 기반해 수정 우선순위를 제안합니다. ### 전문화된 에이전트 시스템 * **기본 에이전트(Foundational Agents):** GitLab 전문가들이 사전 구축한 에이전트로, 업무를 구조화하는 'Planner Agent'와 취약점 영향을 분석하는 'Security Analyst Agent'가 포함됩니다. * **커스텀 에이전트(Custom Agents):** 조직 고유의 표준과 가이드라인을 학습시킨 에이전트를 'AI Catalog'를 통해 관리하고 공유할 수 있습니다. * **외부 에이전트(External Agents):** Anthropic의 Claude Code나 OpenAI의 Codex CLI와 같은 외부 AI 도구를 GitLab 플랫폼 내에서 네이티브하게 연결하여 사용할 수 있습니다. ### 복잡한 업무를 처리하는 자동화 플로우(Flows) * **Issue to MR 플로우:** 잘 정의된 이슈로부터 구조화된 병합 요청(MR)을 자동으로 생성하여 개발 착수 시간을 단축합니다. * **CI/CD 전환 및 수정:** 타 시스템의 파이프라인 구성을 GitLab CI/CD로 현대화하거나, 실패한 파이프라인을 분석하여 변경 사항을 제안합니다. * **코드 리뷰 플로우:** 코드 변경 사항과 댓글을 분석하여 AI 기반의 심층적인 피드백을 제공함으로써 리뷰 프로세스를 간소화합니다. ### 사용 권한 및 새로운 과금 체계 * **GitLab Credits 도입:** 사용량 기반 과금 방식인 'GitLab Credit'을 통해 에이전트 플랫폼을 이용할 수 있습니다. * **구독별 혜택:** Premium 구독자에게는 사용자당 월 $12, Ultimate 구독자에게는 월 $24 상당의 크레딧이 추가 비용 없이 매월 제공됩니다. * **기존 고객 전환:** Duo Pro 또는 Enterprise 사용자는 기존 계약 잔여분을 크레딧으로 전환하여 즉시 에이전트 플랫폼으로 마이그레이션할 수 있습니다. GitLab Duo Agent Platform은 단순한 AI 비서를 넘어 실제 업무를 수행하는 '가상 팀원'을 제공합니다. 조직의 생산성을 높이기 위해서는 먼저 기본 제공되는 Planner 및 Security 에이전트를 활용해보고, 점진적으로 조직 특화된 커스텀 에이전트와 자동화 플로우를 구축하여 개발 전체 사이클의 효율을 극대화할 것을 권장합니다.

How to customize GitLab Duo Agent Platform (새 탭에서 열림)

GitLab Duo Agent Platform은 개발 팀의 특정 워크플로우와 요구사항에 맞춰 AI 에이전트의 행동을 세밀하게 조정할 수 있는 강력한 사용자 정의 기능을 제공합니다. 개발자는 사용자, 워크스페이스, 프로젝트 등 다양한 수준에서 규칙을 설정하여 일관된 코딩 표준을 유지하고 자동화된 작업의 정확도를 높일 수 있습니다. 이를 통해 팀의 고유한 개발 환경에 최적화된 지능형 에이전트 환경을 구축하고 생산성을 극대화할 수 있습니다. ### 채팅 규칙을 통한 에이전트 행동 제어 * **다층적 설정 구조**: 규칙은 모든 프로젝트에 적용되는 '사용자 수준'과 특정 프로젝트에만 적용되는 '워크스페이스 수준'으로 나뉩니다. 워크스페이스 설정은 사용자 설정을 덮어쓰므로 프로젝트별 유연한 대응이 가능합니다. * **구체적인 지침 작성**: `chat-rules.md` 파일을 통해 "JSDoc 주석 필수 포함", "async/await 사용", "문자열에 홑따옴표 사용"과 같이 AI가 즉각적으로 이행할 수 있는 명확한 액션 위주의 규칙을 정의합니다. * **워크플로우 통합**: 설정된 규칙은 에이전트가 코드를 제안하거나 설명을 제공할 때 팀의 스타일 가이드를 준수하도록 강제하며, 코드 리뷰나 테스트 실행 방식에 일관성을 부여합니다. ### AGENTS.md를 활용한 표준화된 커스터마이징 * **업계 표준 준수**: `AGENTS.md`는 업계 표준 형식을 따르는 설정 파일로, GitLab 내부 에이전트뿐만 아니라 Claude Code와 같은 외부 AI 도구와도 호환되어 범용적인 지침으로 활용할 수 있습니다. * **상세한 페르소나 및 보안 정의**: 에이전트의 말투와 성격부터 프로젝트 아키텍처 패턴, 보안 지침(API 키 하드코딩 금지, 입력값 검증 등)까지 폭넓은 영역을 제어합니다. * **모노레포 지원**: 프로젝트 루트 외에도 하위 디렉토리에 개별 `AGENTS.md`를 배치할 수 있어, 모노레포 환경 내의 서비스나 모듈별로 서로 다른 기술 스택과 규칙을 적용할 수 있습니다. ### 사용자 정의 구현을 위한 최적의 실천법 * **구체성과 우선순위**: 모호한 설명 대신 구체적인 예시를 제공하고, 가장 중요한 규칙을 상단에 배치하여 AI의 이해도를 높여야 합니다. * **팀 협업 및 승인 프로세스**: `Code Owners` 기능을 활용해 규칙 파일의 변경 사항을 관리함으로써 팀의 합의된 표준이 유지되도록 관리하는 것이 권장됩니다. * **기술적 요구사항**: 해당 커스터마이징 기능을 활용하기 위해서는 GitLab 18.8 이상 버전이 필요하며, IDE 사용자의 경우 VS Code용 GitLab Workflow 확장 프로그램 6.60 이상 버전이 설치되어 있어야 합니다. 팀의 코딩 컨벤션과 보안 정책이 반영된 `AGENTS.md`를 프로젝트 루트에 먼저 구성해 보시기 바랍니다. 이를 통해 AI가 생성하는 코드의 품질을 별도의 수정 없이도 즉시 실무에 투입 가능한 수준으로 끌어올릴 수 있습니다.

Getting started with GitLab Duo Agentic Chat (새 탭에서 열림)

GitLab Duo Agentic Chat은 단순한 질의응답을 넘어 소프트웨어 개발 수명 주기(SDLC) 전반에서 능동적으로 작업을 수행하는 자율형 AI 협업 파트너입니다. 이 플랫폼은 코드 수정, 병합 요청(MR) 생성, 보안 취약점 해결 등 실질적인 액션을 실행하며, 프로젝트의 컨텍스트를 완벽히 이해하여 개발자의 생산성을 극대화합니다. 사용자는 웹 UI와 IDE 내에서 최적화된 모델과 전용 에이전트를 선택함으로써 복잡한 워크플로우를 자동화하고 고품질의 소프트웨어를 빠르게 배포할 수 있습니다. **자율적인 AI 협업 파트너의 핵심 역량** * **능동적 작업 수행:** 질문에 답하는 수준을 넘어 파일을 생성 및 수정하고, 이슈를 트리아지(Triage)하거나 CI/CD 파이프라인의 오류를 직접 해결합니다. * **맥락 인식 능력:** 대화 기록은 물론 프로젝트 아키텍처, 코드베이스, 위키, GitLab 문서 및 보안 스캔 결과까지 광범위한 컨텍스트를 활용합니다. * **확장성 및 통합:** Model Context Protocol(MCP)을 통해 외부 서비스와 통합할 수 있으며, 목적에 따라 전문화된 멀티 에이전트 시스템을 지원합니다. **작업별 최적화를 위한 모델 및 에이전트 선택** * **유연한 모델 구성:** 대규모 언어 모델(LLM)마다 강점이 다르므로 작업 요구사항에 따라 적절한 모델을 선택할 수 있으며, 이는 그룹 또는 사용자 단위로 설정 가능합니다. * **전용 에이전트 활용:** 제품 관리를 위한 'Planner Agent', 보안 분석을 위한 'Security Analyst Agent' 등 특정 도메인에 특화된 에이전트로 전환하여 전문적인 도움을 받을 수 있습니다. * **간편한 접근성:** 웹 UI의 사이드바나 IDE 내의 드롭다운 메뉴를 통해 작업 흐름을 끊지 않고 에이전트와 모델을 즉시 변경할 수 있습니다. **실무 생산성 향상을 위한 주요 활용 사례** * **이슈 및 보안 관리:** 특정 라벨이 지정된 이슈 목록 추출, 에픽(Epic)의 세부 작업 분할, 보안 취약점 분석 및 이를 해결하기 위한 자동 수정 MR 생성이 가능합니다. * **코드 이해 및 온보딩:** 복잡한 코드베이스의 아키텍처 개요 파악, 특정 함수의 호출 위치 검색, 신규 팀원을 위한 로컬 개발 환경 설정 안내 등을 수행합니다. * **디버깅 및 품질 개선:** 실패한 파이프라인 로그를 분석해 원인을 진단하고, 기존 코드를 SOLID 원칙에 맞춰 리팩토링하거나 최신 프로그래밍 언어 버전으로 변환하는 작업을 지원합니다. * **기능 구현 및 테스트:** REST API 엔드포인트 생성, 유닛 테스트 코드 자동 생성, UI 구성 요소의 접근성 검토 등 개발 전 과정을 보조합니다. GitLab Duo Agentic Chat의 잠재력을 최대한 끌어내기 위해서는 작업의 성격에 맞는 전용 에이전트를 선택하는 것이 가장 중요합니다. 보안 분석이나 기획 단계 등 정밀한 컨텍스트가 필요한 작업일수록 일반 채팅보다는 특화된 에이전트를 활용할 것을 권장하며, 향후 출시될 CLI 지원을 통해 터미널 환경에서도 동일한 AI 협업 경험을 확장해 나갈 수 있습니다.

GitLab Threat Intelligence Team reveals North Korean tradecraft (새 탭에서 열림)

GitLab 위협 인텔리전스 팀은 북한 연계 위협 그룹이 수행하는 '전염성 인터뷰(Contagious Interview)'와 가짜 IT 개발자 취업 캠페인의 세부 수법을 공개하고, 이들이 GitLab 플랫폼을 어떻게 악용했는지 분석했습니다. 북한 해커들은 채용 담당자로 위장해 개발자들에게 악성 코드가 포함된 기술 과제를 실행하도록 유도하며, 이를 통해 자금 탈취와 자격 증명 절취를 시도하고 있습니다. GitLab은 2025년 한 해 동안 130개 이상의 관련 계정을 차단했으며, 이들의 인프라 분석을 통해 확보한 지표를 공유하여 보안 커뮤니티의 대응 역량 강화를 촉구했습니다. **전염성 인터뷰(Contagious Interview)의 실체** * **공격 방식:** 해커들이 구인 구직 플랫폼에서 채용 담당자로 위장해 개발자에게 접근한 뒤, 기술 면접을 빙자하여 악성 코드가 포함된 프로젝트를 내려받아 실행하도록 유도합니다. * **주요 악성코드:** 주로 BeaverTail과 Ottercookie로 알려진 JavaScript 기반의 악성코드 패밀리가 사용됩니다. * **피해 결과:** 개발자의 장비에 대한 원격 제어 권한을 획득하고, 암호화폐 지갑 정보나 로그인 자격 증명을 탈취하여 금융 자산 절도 및 내부 네트워크 침투의 발판으로 삼습니다. **2025년 캠페인 추세 및 주요 특징** * **공격 규모:** 2025년 한 해 동안 총 131개의 북한 연계 위협 계정이 차단되었으며, 특히 9월에 공격 활동이 정점에 달했습니다. * **인프라 활용:** 공격자의 90%가 Gmail 계정을 사용해 GitLab에 가입했으며, 탐지를 피하고자 소비자용 VPN이나 전용 VPS 인프라를 통해 접속했습니다. * **타겟 산업:** 주로 암호화폐, 금융, 부동산 분야의 개발자를 타겟팅했으나, 최근에는 AI 및 게임 산업으로도 범위를 넓히고 있습니다. * **외부 서비스 악용:** 악성 페이로드를 GitLab에 직접 저장하지 않고, Vercel과 같은 합법적인 호스팅 서비스나 커스텀 도메인을 활용해 외부에서 불러오는 방식을 취했습니다. **악성 코드 삽입 및 은닉 기술** * **환경 변수 위장:** `.env` 파일 내에 악성 페이로드 URL과 헤더 값을 Base64로 인코딩하여 일반적인 설정값처럼 보이게 위장합니다. * **동적 코드 실행:** `Function.constructor`를 사용하여 문자열 형태의 원격 콘텐츠를 실행 가능한 코드로 로드하는 커스텀 에러 핸들러 기법을 사용합니다. * **최신 변종 기법:** VS Code 작업을 통한 악성 쉘 명령 실행, 가짜 폰트 파일 내에 숨겨진 바이너리 데이터 디코딩, 프로젝트 실행 직전에 생성된 악성 NPM 종속성 활용 등의 수법이 관찰되었습니다. **가짜 IT 노동자 운영 사례** * **신분 위조 파이프라인:** 최소 135개의 가짜 페르소나를 생성하는 자동화된 파이프라인을 구축하여 전문적인 인맥을 형성하고 구인 제안을 수집했습니다. * **신분증 조작:** 도용된 미국 시민권자의 신분증에 자신의 사진을 합성하여 21개의 고유한 가짜 신분을 관리하는 사례가 발견되었습니다. * **글로벌 거점:** 러시아 모스크바 등 해외 거점에서 활동하며 미국 내 조력자를 모집하고, 제재를 피하면서 미국 기업으로부터 수익을 창출하고 있습니다. 개발자들은 신뢰할 수 없는 출처에서 제공된 기술 면접용 코드 프로젝트를 실행할 때 각별히 주의해야 합니다. 특히 `.env` 파일에 인코딩된 의심스러운 문자열이 있거나, 프로젝트 실행 시 외부 URL에서 콘텐츠를 불러오는 로더가 포함되어 있는지 철저히 검증하는 보안 습관이 필요합니다.

Understanding agents: Foundational, custom, and external (새 탭에서 열림)

GitLab Duo 에이전트 플랫폼은 소프트웨어 개발 수명 주기(SDLC) 전반에 걸쳐 협업할 수 있는 세 가지 유형의 AI 에이전트—기본(Foundational), 맞춤형(Custom), 외부(External)—를 제공합니다. 사용자는 별도의 설정 없이 바로 사용 가능한 기본 에이전트를 활용하거나, 특정 팀의 워크플로우에 맞춘 맞춤형 에이전트를 구축하고, 외부의 전문화된 AI 모델을 연동하여 비동기적인 자동화 워크플로우를 구현할 수 있습니다. 이러한 다각적인 접근 방식은 개발 팀이 코드 작성부터 보안 분석, 데이터 가공에 이르는 복잡한 작업을 효율적으로 관리할 수 있도록 지원합니다. ### 즉시 활용 가능한 기본 에이전트 GitLab에서 직접 구축하고 유지 관리하는 에이전트로, 별도의 설정 없이 IDE나 웹 UI의 'Agentic Chat'을 통해 즉시 사용할 수 있습니다. * **GitLab Duo:** 일반적인 개발 협업을 위한 기본 에이전트로, 코드 생성 및 수정, 머지 리퀘스트(MR) 생성, 이슈 트리이징 등 전반적인 SDLC 맥락 내에서의 작업을 수행합니다. * **Planner Agent:** 제품 기획 단계에서 에픽(Epic)을 세분화하고 구조화된 이슈를 생성하여 관리자가 기획 생산성을 높일 수 있도록 돕습니다. * **Security Analyst Agent:** 취약점 스캔 결과를 분석하여 오탐을 식별하고, 실제 위험도에 따라 보안 이슈의 우선순위를 정렬합니다. * **Data Analyst Agent:** GitLab 쿼리 언어(GLQL)를 사용하여 플랫폼 전체의 데이터를 조회하고 시각화하며, 이슈 해결 시간 트렌드나 팀별 작업량 등의 인사이트를 제공합니다. ### 팀 표준에 최적화된 맞춤형 에이전트 프로젝트나 그룹 설정 내에서 시스템 프롬프트를 정의하여 팀 고유의 워크플로우와 기준에 최적화된 에이전트를 생성할 수 있습니다. * **시스템 프롬프트 설정:** 에이전트의 전문 분야와 행동 방식을 정의하는 핵심 요소입니다. 예를 들어 디버깅 에이전트의 경우, CI/CD 로그와 런타임 데이터를 상관 분석하도록 역할을 부여할 수 있습니다. * **가시성 제어:** 프로젝트 멤버만 사용할 수 있는 'Private' 모드와 AI 카탈로그에 노출되어 다른 프로젝트에서도 활성화할 수 있는 'Public' 모드 중 선택이 가능합니다. * **주요 활용 사례:** 특정 프로그래밍 언어나 사내 규정에 맞춘 문서화 지원, 신규 팀원을 위한 온보딩 가이드, 현지 언어 기반의 고객 지원 서비스 등이 있습니다. ### 외부 AI 연동을 통한 비동기 자동화 플랫폼 외부에서 구동되는 에이전트로, 이슈나 머지 리퀘스트에서 '@mentions'를 통해 트리거되어 배경에서 작업을 수행합니다. * **전문 AI 모델 활용:** Anthropic의 'Claude Code'(코드 생성 및 분석)나 OpenAI의 'Codex'(작무 위임 및 코드 보조)와 같은 특화된 외부 LLM 기능을 GitLab 내로 가져올 수 있습니다. * **이벤트 기반 자동화:** 사용자와 실시간 대화하는 방식이 아니라, 특정 이벤트가 발생했을 때 백그라운드에서 실행되므로 복잡한 코드 리뷰나 분석 작업에 적합합니다. * **통합 자격 증명 관리:** GitLab은 사용자가 직접 API 키를 관리하거나 순환시킬 필요가 없도록 GitLab 관리형 자격 증명 방식을 지원하여 보안성을 높였습니다. ### 효과적인 에이전트 운용을 위한 제언 에이전트를 도입할 때는 처음부터 모든 권한을 부여하기보다 읽기 전용 권한으로 시작하여 충분한 테스트를 거치는 것이 중요합니다. 특히 맞춤형 에이전트를 제작할 때는 시스템 프롬프트에 역할과 책임을 구체적으로 명시하고, 예상되는 출력 예시를 포함하여 답변의 일관성을 확보해야 합니다. 이를 통해 반복적인 수동 작업을 줄이고 창의적인 개발 업무에 더 집중할 수 있는 환경을 구축할 수 있습니다.