지금 이 순간에도, 당신이 Copilot에 보여준 코드가 다음 AI 모델의 학습 데이터로 빨려 들어가고 있을지도 몰라요. 2026년 4월 24일부터 GitHub Copilot Free/Pro의 기본값이 "데이터 수집 동의"로 바뀌었거든요. 직접 끄지 않았다면, 당신은 이미 동의한 상태예요.
먼저, 30초 안에 내 상태부터 확인하세요
설명은 그 다음이에요. 지금 당신 계정이 어느 쪽인지부터 보는 게 먼저예요. 새 탭을 열고 따라오세요.
- 설정 페이지 접속
github.com/settings/copilot/features 로 들어가세요. - Privacy 섹션 찾기
"Allow GitHub to use my data for AI model training" 항목을 봅니다. - 토글 상태 확인
여기가 Enabled(켜짐)이면 — 4월 24일 이후 당신의 코드가 이미 수집 대상이었다는 뜻이에요. Disabled로 바꾸세요.
껐다면, 일단 출혈은 멈췄어요. 하지만 "그동안 뭐가 나간 건지" "왜 기본값이 이렇게 바뀌었는지"를 알아야 다음에 또 당하지 않아요. 여기서부터가 진짜 이야기예요.
"프라이빗"이라는 단어의 뜻이 조용히 바뀌었어요
GitHub은 2026년 3월 25일 공식 블로그로 정책 변경을 발표했어요. 4월 24일부터 Copilot Free, Pro, Pro+ 사용자의 상호작용 데이터가 AI 모델 학습에 사용됩니다. 입력한 코드, 출력 결과, 커서 주변 컨텍스트, 피드백 평가 — 실제 코딩 과정의 거의 전부예요.
여기까지는 "AI 회사가 으레 그러지" 싶을 수 있어요. 문제는 한 문장에 숨어 있어요. GitHub은 비공개 저장소 콘텐츠를 "at rest" 상태에서는 학습에 쓰지 않는다고 했어요. 그런데 Copilot을 켜고 작업하는 동안에는 그 비공개 레포의 코드가 수집될 수 있다고 명시했죠.
"at rest"라는 단서를 일부러 붙였다는 게 핵심이에요. 가만히 쉬고 있는 코드는 안전하지만, 당신이 실제로 일하는 순간의 코드는 다르다는 뜻이니까요.
The Register는 이걸 두고 "프라이빗 레포의 의미가 달라졌다"고 분석했어요. 이제 GitHub의 '프라이빗'은 별표(*)가 붙은 프라이빗이라는 거죠. 변경 전과 후를 나란히 놓으면 차이가 분명해져요.
| 변경 전 | 4월 24일 이후 (지금) | |
|---|---|---|
| 데이터 학습 기본값 | 옵트인 (수동 동의) | 옵트아웃 (기본 수집) |
| 수집 범위 | 제품 개선용 텔레메트리 | 코드 스니펫, 입출력, 피드백 포함 |
| 프라이빗 레포 | 학습 미사용 | Copilot 사용 중엔 수집 가능 |
| 데이터 공유 | GitHub 내부 | Microsoft 등 계열사 공유 가능 |
그리고 진짜 무서운 건 따로 있어요.
Copilot은 .env, credentials를 알아서 피하지 않아요
민감한 파일을 자동으로 무시하는 기능이 없어요. IDE를 여는 순간 API 키·비밀번호 같은 시크릿이 Microsoft로 전송될 수 있다는 지적이 커뮤니티에서 나왔어요. 프라이빗 레포라서 시크릿을 코드에 직접 박아두던 습관이 있다면, 그건 지금 당장 끊어야 할 빚이에요.
왜 GitHub은 욕먹을 걸 알면서도 바꿨을까
GitHub CPO Mario Rodriguez는 "실제 개발자 상호작용 데이터가 모델의 정확도, 보안성, 버그 탐지 능력을 끌어올린다"고 설명했어요. Microsoft 직원 데이터를 먼저 학습시켰더니 수용률(acceptance rate)이 올라갔다는 걸 근거로 들었고요. 한마디로, 더 좋은 Copilot을 만들려면 진짜 개발자의 진짜 코드가 필요하다는 논리예요.
커뮤니티는 이 논리를 사주지 않았어요. GitHub 디스커션의 이모지 투표는 반대 59 vs 찬성(로켓) 3, 39개 댓글 중 GitHub 관계자를 빼면 긍정적인 의견은 거의 없었어요. EU에서는 GDPR 적합성 논란까지 붙었고요. "옵트인이면 모를까, 기본값을 수집으로 깔아두고 알아서 끄라는 건 동의가 아니다"라는 반발이었죠.
이미 켜져 있었다면, 지금 해야 할 4가지
맨 위에서 토글은 껐을 테니, 이제 새는 구멍을 막을 차례예요. 위에서 아래로 한 번씩 점검하세요.
- 조직 계정도 따로 확인
개인 토글을 껐어도 소속 조직 정책은 별개예요. Business/Enterprise 계정 자체는 이번 변경의 영향을 받지 않지만, 개인 Pro 계정으로 회사 일을 하는 경우가 사각지대예요. 어떤 계정으로 로그인해 코딩 중인지 확인하세요. - 시크릿 점검 — .gitignore부터
.env·credentials를 레포에 직접 넣지 않도록 .gitignore를 손보세요. Copilot이 읽을 수 있는 파일 어디에도 시크릿이 남아 있으면 안 돼요. 이미 커밋된 시크릿이 있다면 로테이션(키 재발급)까지. - 프리랜서·외부 기여자 점검 (팀 리드라면)
외부 기여자가 개인 Copilot Pro 계정으로 회사 프라이빗 레포에 접근하면, 회사 코드가 그 사람 계정의 학습 데이터로 흘러들 수 있어요. 팀에 변경 사항을 공지하고 각자 토글을 끄게 안내하세요. - 데이터 정책이 불안하면 대안 평가
Cody(Sourcegraph), Continue(오픈소스), 로컬 LLM 기반 어시스턴트를 후보로 두세요. Anthropic은 옵트인 방식에 할인 혜택까지 제공해요. "기본값이 수집"인 도구를 쓸지, "기본값이 보호"인 도구를 쓸지의 선택이에요.
한 줄로 끝내는 원칙
이번 사건의 교훈은 Copilot 하나에 국한되지 않아요. AI 도구의 데이터 정책은 가입할 때 한 번이 아니라 정책이 바뀔 때마다 확인해야 한다는 거예요. 기본값은 언제든 당신에게 불리한 쪽으로 조용히 바뀔 수 있으니까요.
