코드 리뷰를 하는 척하지 마세요: 게으름 피우지 않고 AI를 사용하는 방법

우리 모두 그런 경험이 있습니다. PR(Pull Request)이 들어왔고, 금요일이며, 30초 동안 훑어본 뒤 명백한 위험 신호가 보이지 않으면 승인을 누릅니다. 배포합니다. 그리고 월요일 아침: 운영 환경(production) 버그 발생.

AI 코드 리뷰어들은 게으르다는 이유로 비난받지만, 진짜 문제는 우리가 그들을 인턴처럼 사용하고 있다는 점입니다. 그들은 인턴이 아닙니다. 그들은 당신이 너무 지쳐서 보지 못하는 것들을 잡아내기 위해 늦게까지 남아 있는 파트너입니다.

진짜 강점: 당신의 뇌가 건너뛰는 것을 포착하기

당신의 뇌는 주의 집중 시간이 제한되어 있습니다. 리뷰의 10번째 파일에 도달하면, 당신은 실제로 읽는 대신 패턴 매칭(pattern-matching)을 하고 있습니다. AI는 지치지 않습니다. AI는 다음과 같은 것들을 잡아냅니다:

• 당신이 놓친 일관성 없는 에러 처리 (error handling)
• 해당 라이브러리의 v2에서 배포된 지원 중단된 (Deprecated) API 사용
• 괜찮아 보이지만 실제로는 취약한 보안 패턴 (security patterns)
• 몰래 끼어든 O(n²) 루프로 인한 성능 저하 (performance regressions)
• UI 컴포넌트의 접근성 (accessibility) 문제

저는 지난달에 이를 테스트했습니다. Anthropic의 모델, 특히 Claude Haiku(이 작업에 빠르고 정확하기 때문)를 통해 PR을 검토했습니다. 이미 세 명의 사람이 리뷰한 200줄의 Python 코드에서 6개의 실제 버그를 발견했습니다. 그중 두 개는 보안과 관련된 것이었습니다. 좋지 않은 상황이었죠.

실제로 사용하는 방법

1단계: AI를 대체제로 사용하지 마세요. 1차 검토(first pass) 용도로 사용하세요.

1. AI가 코드를 자동으로 리뷰합니다.
2. AI가 근거와 함께 특정 라인을 표시(flag)합니다.
3. 사람은 표시된 섹션과 컨텍스트(context)만 읽습니다.
...

이렇게 하면 리뷰 시간이 "500줄을 읽는 척하기"에서 "50줄을 주의 깊게 읽기"로 바뀝니다. 게임 체인저입니다.

2단계: 특정 사항을 확인하도록 요청하세요.

그저 코드를 던져두고 "뭐 잘못된 거 있어?"라고 묻지 마세요. 구체적이어야 합니다:

• "인젝션(injection)에 취약할 수 있는 모든 SQL 쿼리를 표시해줘"
• "비동기 함수(async functions)의 에러 처리를 확인해줘"
• "이것이 우리의 성능 표준을 따르고 있나? (< 100ms p95)"
• "이 상태 관리(state management)에 동시성(concurrency) 문제가 있는가?"

구체적인 질문이 구체적인 답변을 얻습니다. 모호한 질문은 모호한 환각(hallucinations)을 가져옵니다.

3단계: 당신의 코드베이스 패턴을 학습시키세요.

컨텍스트를 지원하는 도구를 사용 중이라면, 다음을 제공하세요:

• 실제 오류 처리 패턴
• 팀이 비동기(async) 코드를 구성하는 방식
• 사용 중인 스택에서 '좋은' 성능이란 무엇인지
• 이전에 저질렀던 흔한 실수들

갑자기 마치 6개월 동안 팀에 있었던 사람처럼 코드를 검토해 줄 것입니다. 일반적인 코드 봇과는 차원이 다릅니다.

시간을 들일 만한 도구 (Tools Worth Your Time)

GitHub Copilot for enterprise — 워크플로우에 통합되어 저장소(repo) 컨텍스트를 이해하고, 풀 리퀘스트(PRs)를 네이티브하게 검토합니다. 이미 사용 중이라면 쉽게 얻을 수 있는 이점입니다.

Claude (API 또는 Claude.dev 이용) — 코드를 붙여넣고 질문하며 상세한 추론 과정을 받아볼 수 있습니다. 보안에 초점을 맞춘 검토나 복잡한 로직에 유용합니다.

Devin (대규모 리팩터링 시) — 대규모 재작성(rewrite)을 검토하는 경우, Devin은 파일 전반의 변경 흐름(arc of changes)을 실제로 이해합니다. 속도는 느리지만 아키텍처 검토에는 가치가 있습니다.

로컬 모델 (Local models) — 개인 정보 보호가 필요하거나 GPU 예산이 있다면, Ollama + CodeLlama를 사용하세요. 로컬에서 실행되며 API 키나 호출 제한(rate limits)이 없습니다. 클라우드 기반보다 느리지만 대용량 차이점(diffs)에 대해서는 지연 시간(latency)이 0입니다.

AI가 아직 할 수 없는 것 (What AI Can't Do (Yet))

• 설계 판단력 (Design judgment) —

진정한 승리 (The Real Win)

AI 코드 리뷰를 "AI가 코드 리뷰를 대체한다"라고 생각하지 마세요. 대신 "AI는 기계적인 작업을 처리하고, 인간은 판단을 담당한다"라고 생각하세요.

코드 리뷰는 단순히 버그를 잡는 것이 아닙니다. 코드 리뷰의 목적은 다음과 같습니다:

1. 팀 전체에 지식 전파 (Spreading knowledge)
2. 품질 표준 유지 (Maintaining quality standards)
3. 프로덕션(Production)에 반영되기 전에 실수 포착

AI는 3번을 매우 잘 수행합니다. 하지만 1번과 2번을 위해서는 여전히 인간이 필요합니다.

AI를 올바르게 사용한다면, 코드를 읽는 척하며 시간을 허비하는 대신 여러분이 실제로 배포(Shipping)하는 결과물에 대해 더 많이 고민하는 데 시간을 쓸 수 있을 것입니다.