Devin Enterprise 2026년 5월 업데이트 요약: 역할 권한과 API 자동화가 진전된 한 달
요약
Devin Enterprise의 2026년 5월 업데이트는 역할 기반 권한 관리(RBAC) 강화와 API 자동화에 집중했습니다. 신규 멤버의 기본 역할 설정, 서비스 유저 권한 제어, MCP 시크릿 스코프 분리 등을 통해 조직 규모 확장에 따른 보안과 운영 효율성을 높였습니다.
핵심 포인트
- 기본 역할(Default Role) 설정을 통한 최소 권한 원칙 준수 및 온보딩 자동화
- 서비스 유저 및 API 키 생성 권한 제어로 보안 거버넌스 강화
- Devin Review REST API 지원으로 CI 파이프라인 통합 가능
- 실수 방지를 위한 UI 가드레일 및 설정 잠금 기능 개선
지난 기사에서는 Devin Enterprise의 2026년 4월 업데이트를 '보안과 거버넌스 강화의 한 달'로 정리했습니다. ACU의 하드 상한선이나 Build Pinning 등, '운영 환경에서 안심하고 사용하기 위한' 토대를 다진 달이었습니다.
그렇다면 5월은 어땠을까요. 릴리스 노트를 전체적으로 살펴보며 느낀 점은, 4월에 다진 토대 위에 '누가·무엇을·어떻게 조작할 수 있는가'를 세밀하게 설계하는 달이었다는 것입니다. 신규 멤버에 대한 기본 역할(Default Role) 할당, 서비스 유저의 권한 관리, MCP 시크릿(Secret)의 스코프(Scope) 분리 등—사람이 늘어나고 조직이 커져도 무너지지 않는 체계 구축이 눈에 띄었습니다.
또 다른 축은 API를 통한 자동화입니다. Devin Review를 REST API로 실행할 수 있게 되어, CI 파이프라인에 통합하는 것이 현실적이 되었습니다. '사람이 버튼을 누르는 운용'에서 '시스템이 자동으로 돌아가는 운용'으로의 이행이 진행되었다는 인상을 받았습니다.
이 기사에서는 5월의 Enterprise용 업데이트를 카테고리별로 정리하고, 실무에서의 활용 포인트를 해설합니다.
| 날짜 | 기능명 | 카테고리 |
|---|---|---|
| 5/1 | Stacked Review Permissions | 리뷰 권한 |
| ... |
개요: Enterprise 관리자가 조직에 참여한 신규 멤버에게 자동으로 할당할 기본 역할(Default Role)을 설정할 수 있게 되었습니다. 멤버 목록에는 역할이 배지로 표시되며, 실수로 삭제하는 것을 방지하는 세이프가드(Safeguard)도 갖추고 있습니다.
활용 포인트:
- 신규 멤버가 '권한 제로' 상태로 방치되지 않고, 처음부터 적절한 역할로 시작
- '일단 관리자 권한을 부여해 두자'라는 위험한 운용을 회피
- 온보딩(Onboarding)의 수작업을 절감
사소해 보이지만, 이는 효과적입니다. 인력 교체가 많은 조직에서는 멤버를 추가할 때마다 수동으로 역할을 설정하는 것이 누락의 온상이 되곤 했습니다. 기본값을 관리자 권한을 가지지 않는 표준 'Member' 역할(또는 권한을 제한한 커스텀 역할)로 설정해 두면, 최소 권한의 원칙(Principle of Least Privilege)을 운용에서도 자연스럽게 지킬 수 있습니다.
개요: ManageAccountServiceUsers
권한을 커스텀 역할(Custom Role)에 할당할 수 있게 되었습니다. 서비스 유저나 API 키를 누가 생성·관리할 수 있는지를 제어할 수 있습니다.
활용 포인트:
- API 연동용 서비스 유저를 생성할 수 있는 사람을 한정
- API 키의 난립을 방지하고, 자산 실사(Inventory)를 용이하게 함
CI 연동이나 대시보드 구축에서 서비스 유저를 사용하기 시작하면, '누가 그 키를 만들었는지 모르는' 상황이 발생하기 쉽습니다. 생성 권한 자체를 제한할 수 있게 된 것은, 후술할 API 자동화의 확장과 맞물려 중요한 개선이라고 느꼈습니다.
개요: 관리자가 잠근 설정 항목에 설명 툴팁이 포함된 잠금 아이콘이 표시되도록 했습니다. 기존의 배너 형식 알림을 대체하고 있습니다.
활용 포인트:
- '왜 이 설정을 변경할 수 없는지'를 항목 단위로 한눈에 파악 가능
- 문의(예: '설정이 비활성화되어 있습니다') 감소
| 기능 | 내용 | 효과 |
|---|---|---|
| Invite 확인 모달 | 초대 전송 전에 내용을 확인하는 모달을 표시 | 오초대 및 잘못된 조직으로의 초대를 방지 |
| GHES App 등록 제한 | 계정×호스트 조합당 1개의 앱으로 제한 | 중복 등록 시 명확한 에러로 충돌을 회피 |
둘 다 '실수 사고'를 구조적으로 줄이는 타입의 개선입니다. 대규모 조직에서는 이러한 작은 가드레일(Guardrail)의 축적이 운용 품질을 좌우합니다.
개요: 커스텀 MCP 서버의 접속 시크릿(Connection Secret)을 본인만 열람 가능한 '개인 스코프(Personal Scope)' 또는 팀에서 공유하는 '조직 스코프(Organization Scope)' 중에서 선택할 수 있게 되었습니다.
활용 포인트:
- 개인 액세스 토큰(Access Token)은 개인 스코프에 격리
- 팀 공통의 접속 정보는 조직 스코프로 공유
- 공유 범위를 명시함으로써 의도치 않은 유출을 방지
4월에 'MCP Registry Enforcement(허가 목록 강제)'를 통해 접속처를 제한할 수 있게 되었는데, 5월에는 그 다음 단계인 '접속 정보의 관리'까지 깊이 있게 다루었습니다. MCP 주변의 거버넌스가 단계적으로 갖춰지고 있음을 알 수 있습니다.
개요: Dynamic Client Registration을 지원하지 않는 MCP 연동(Salesforce 등)을 위해, 조직 고유의 OAuth 클라이언트 인증 정보를 가져올 수 있게 되었습니다.
활용 포인트:
- 자동 등록을 지원하지 않는 기업용 SaaS와도 정식으로 OAuth 연동이 가능해짐
- 22일의 「OAuth Resource Parameter (RFC 8707) 대응」과 더불어, Snowflake 등 리소스 인디케이터(Resource Indicator)가 필수인 서버에도 대응
Slack 스레드 첨부에 대해, Enterprise의 채널 분리(Channel Isolation)를 런타임(Runtime)에서 검증하는 메커니즘이 도입되었습니다. 채널이 Enterprise 설정에 부합하는지를 실행 시점에 체크합니다.
네트워크 정책 에디터(Network Policy Editor)도 쇄신되어, 인라인 편집·여러 줄 붙여넣기·중복 탐지에 대응했습니다. 허용 도메인 리스트를 대량으로 관리하는 조직에는 소소하지만 놓칠 수 없는 개선입니다.
개요: POST /v3/organizations/{org_id}/pr-reviews
를 통해, Devin Review를 REST API로 실행할 수 있게 되었습니다. 서비스 사용자 토큰(Service User Token) 또는 PAT(Personal Access Token)로 인증합니다.
활용 포인트:
- CI 파이프라인의 한 공정으로 Devin Review를 통합할 수 있음
- 「PR 생성 시 자동」뿐만 아니라, 독자적인 조건으로 트리거 가능
- 5/22 추가된
GET /v3/enterprise/pr-reviews로 리뷰 상태를 폴링(Polling)하고, 완료를 기다린 후 머지(Merge) 여부를 판단하는 등의 제어도 실현
이것이 5월의 핵심이라고 생각합니다. 이전에도 Devin Review는 PR의 오픈이나 커밋 푸시(Commit Push)에 따라 자동으로 리뷰를 실행하는 메커니즘이 있었지만, 5월의 API를 통해 「임의의 조건·임의의 타이밍에 자사에서 직접 실행하는 것」이 가능해졌습니다. 이로 인해 「자사의 CI 플로우에 통합한다」는 선택지가 현실적이 됩니다. 리뷰 실행과 상태 취득이 모두 갖춰진 점도 실용 측면에서 매우 큽니다.
| 기능 | 내용 | 용도 |
|---|---|---|
| Session Origin | v3 API 응답에 origin 필드 추가 (webapp / Slack / API / CLI) | 세션 발생 경로를 분석 |
| 삭제된 조직 가시화 | Enterprise Sessions API에 include_deleted_orgs 파라미터 추가 | 해산된 조직의 세션도 감사(Audit) 대상으로 포함 가능 |
둘 다 감사·분석을 위한 개선입니다. 특히 삭제된 조직의 세션을 추적할 수 있다는 점은, 컴플라이언스 감사에서 「과거의 모든 이용 내역을 설명할 수 있어야 함」이 요구되는 조직에 중요할 것입니다.
개요: Enterprise 관리자가 스냅샷 빌드(Snapshot Build)의 최대 동시 실행 수에 상한을 설정할 수 있게 되었습니다. 백엔드에서 강제 적용됩니다.
활용 포인트:
- 빌드 일제 실행에 따른 리소스 압박 방지
- 4월의 「세션 ACU 하드 상한(Hard Limit)」에 이은 리소스 폭주 방지 대책
조직 관리자가 신규 세션의 기본 플랫폼(Linux 또는 Windows)을 일괄 설정할 수 있게 되었습니다. 개별 사용자는 자신을 위한 「즐겨찾기」를 지정할 수 있습니다. 지난번에 소개한 Computer Use에서의 데스크톱 테스트 등에서 플랫폼을 구분하여 사용하는 조직에는 소소하게 유용한 설정입니다.
더불어, GitHub 트리거 자동화가 개인의 GitHub 연결을 필요로 하지 않게 되었습니다. 조직 레벨의 연결만으로 완결됩니다.
변경 전: 자동화를 구동하는 사람이 개인의 GitHub 연결을 가지고 있어야 했음
변경 후: 조직 레벨의 연결만으로 동작
개인 연결에 의존하는 것은 해당 인원이 퇴사하는 순간 자동화가 중단된다는 운영 리스크가 있었습니다. 조직 연결으로 완결되게 된 것은 업무의 개인 의존성(属人化, Siloing)을 배제하는 좋은 변경입니다.
개요: ManageOrgSnapshots 권한을 가진 사용자가 선언적 환경 설정(Declarative Configuration)에서 클래식 설정(Classic Configuration)으로 조직을 되돌릴 수 있게 되었습니다.
새로운 설정 방식을 시도해 보고 맞지 않으면 되돌릴 수 있다는 퇴로가 마련되어 있는 것은 안심할 수 있는 요소입니다. 4월의 Build Pinning과 마찬가지로, 「변경하면 되돌릴 수 있다」는 설계 사상이 일관되게 적용되어 있습니다.
| 순위 | 기능 | 이유 |
|---|---|---|
| 1 | Devin Review API | CI 파이프라인 통합이 현실화됨. 운영 자동화의 결정타 |
| ... |
4월이 「실무에서 안심하고 사용하기 위한 토대」였다면, 5월은 「그 토대 위에서 운영을 어떻게 자동화·표준화할 것인가」로 깊이 들어간 달이었습니다. 수작업을 메커니즘으로 대체하고, 개인의 의존성을 조직의 연결로 대체하는—그러한 변화가 일관되게 나타나고 있습니다.
개인적으로는 Devin Review API가 가장 큰 임팩트였습니다. 웹 애플리케이션(Web app) 상에서 설정하는 자동 리뷰에 더해, CI(지속적 통합)로부터 명시적으로 리뷰를 호출할 수 있다는 것은 Devin이 '사람이 사용하는 도구'에서 '파이프라인에組み込む(組み込む, 포함시키는) 부품'으로 한 단계 진보했음을 의미합니다. 리뷰 상태를 가져오는 API도 동시에 갖춰지면서, 'Devin의 리뷰가 통과될 때까지 자동 머지(Merge)하지 않는다'와 같은 게이트 제어(Gate control)까지 설계할 수 있게 되었습니다.
엔터프라이즈 환경에서 도구 도입을 추진하는 입장에서 보면, '권한을 세밀하게 설계할 수 있다'와 'API를 통해 자사의 워크플로우에 통합할 수 있다'는 두 가지 점이 갖춰진 것은 매우 큽니다. 5월의 업데이트는 Devin을 조직의 표준 도구로 정착시키기 위한 실무적인 한 걸음이었다고 생각합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Qiita AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기