4월 24일이 지나면, 당신이 Copilot에 보여준 코드가 다음 AI 모델의 학습 데이터가 됩니다. 기본값은 "동의"예요.
이게 뭔데?
GitHub이 2026년 3월 25일에 공식 블로그를 통해 발표한 정책 변경이에요. 4월 24일부터 Copilot Free, Pro, Pro+ 사용자의 상호작용 데이터가 AI 모델 학습에 사용됩니다. 입력 코드, 출력 결과, 커서 주변 컨텍스트, 피드백 평가 등 실제 개발 과정의 거의 모든 데이터가 포함돼요.
핵심은 기본값이에요. 옵트아웃(opt-out) 방식이라서, 직접 설정을 바꾸지 않으면 자동으로 데이터가 학습에 사용돼요. 이전에 데이터 수집 거부를 설정했던 사용자는 기존 선택이 유지되지만, 새 사용자나 설정을 건드리지 않은 사용자는 기본적으로 "동의" 상태예요.
Copilot Business와 Enterprise 사용자는 이번 변경의 영향을 받지 않아요. 기업 계약의 데이터 보호 조항이 적용되거든요. 학생과 교사도 예외예요.
GitHub CPO Mario Rodriguez는 "실제 개발자 상호작용 데이터가 모델 정확도, 보안성, 버그 탐지 능력을 향상시킨다"고 밝혔어요. Microsoft 직원 데이터를 먼저 활용해서 수용률(acceptance rate)이 높아진 걸 근거로 들었고요.
뭐가 달라지는 건데?
| 변경 전 | 4월 24일 이후 | |
|---|---|---|
| 데이터 학습 기본값 | 옵트인 (수동 동의) | 옵트아웃 (기본 수집) |
| 수집 범위 | 제품 개선용 텔레메트리 | 코드 스니펫, 입출력, 피드백 포함 |
| 프라이빗 레포 | 학습 미사용 | Copilot 사용 중엔 수집 가능 |
| 데이터 공유 | GitHub 내부 | Microsoft 등 계열사 공유 가능 |
가장 논란이 되는 부분은 프라이빗 레포예요. GitHub은 "at rest" 상태의 비공개 저장소 콘텐츠는 학습에 사용하지 않는다고 했지만, Copilot을 사용하는 동안에는 비공개 레포의 코드가 수집될 수 있다고 명시했어요. "at rest"라는 표현을 일부러 썼다는 점이 의미심장하죠.
The Register는 이걸 "프라이빗 레포의 의미가 달라졌다"고 분석했어요. 사실상 GitHub의 "프라이빗"은 별표(*)가 붙은 프라이빗이라는 거죠.
커뮤니티 반응은 냉담해요. GitHub 커뮤니티 디스커션에서 이모지 투표는 59개 반대, 3개 로켓(찬성) 이었고, 39개 댓글 중 GitHub 관계자 외에 긍정적 의견은 거의 없었어요. EU에서는 GDPR 적합성 문제도 제기되고 있고요.
API 키, 비밀번호 주의
Copilot은 민감한 파일(.env, credentials 등)을 무시하는 기능이 없어요. IDE를 열면 이 정보가 Microsoft로 전송될 수 있다는 지적이 커뮤니티에서 나왔어요. 프라이빗 레포에 시크릿을 직접 넣는 습관은 지금 당장 고쳐야 해요.
핵심만 정리: 지금 당장 하는 법
- 옵트아웃 설정 변경
github.com/settings/copilot/features 접속 → Privacy 섹션 → "Allow GitHub to use my data for AI model training" → Disabled로 변경 - 조직 계정 확인
개인 계정과 별도로, 소속 조직의 Copilot 정책도 확인하세요. Business/Enterprise 계정은 영향 없지만, 개인 Pro 계정으로 업무하는 경우가 있으니까요. - 시크릿 관리 점검
.env 파일이나 credentials를 레포에 직접 넣지 않도록 .gitignore를 점검하세요. Copilot이 접근할 수 있는 파일에 시크릿이 없어야 해요. - 대안 검토
데이터 정책이 불안하다면 Cody(Sourcegraph), Continue(오픈소스), 로컬 LLM 기반 코딩 어시스턴트를 평가해보세요. Anthropic은 옵트인 방식에 할인 혜택까지 제공해요.
팀 리드라면
팀원들에게 이 변경 사항을 공지하고, 각자 설정을 확인하도록 안내하세요. 특히 프리랜서나 외부 기여자가 개인 Copilot Pro 계정으로 회사 프라이빗 레포에 접근하는 경우, 의도치 않게 회사 코드가 학습 데이터에 포함될 수 있어요.
