[인터뷰] MS 수석 엔지니어 "코드 보안, 개방할 수록 더 강력"

[샌프란시스코(미국)=김미정 기자] "진정한 코드 보안은 숨기는 데서 오는 게 아니라 검증 가능성에서 출발합니다. 모두가 코드를 볼 수 있을 때, 비로소 그 시스템은 진짜로 안전해집니다."

마이크로소프트 카이 마첼 수석 엔지니어는 29일까지 미국 샌프란시스코 포트 메이슨 센터에서 열린 '깃허브 유니버스 2025'에서 지디넷코리아를 만나 코드 보안 전략을 이같이 밝혔다.

마첼 수석 엔지니어는 마이크로소프트에서 '비주얼 스튜디오(VS) 코드' 플랫폼 개발을 주도해 왔다. VS 코드는 마이크로소프트의 오픈소스 기반 코드 편집기다. 개발 언어와 프레임워크, 클라우드 서비스가 연동돼 작동하는 시스템이다.

최근 VS 코드는 코파일럿 등 AI 도구까지 탑재했다. 단순 편집기를 넘어 AI와 협업하는 통합 개발 플랫폼으로 발전한 것이다. 현재 개발자는 이 플랫폼으로 코드 자동 완성과 디버깅, 리팩터링을 수행할 수 있다.

마첼 수석 엔지니어는 "AI와 오픈소스가 결합한 지금이야말로 기술 투명성이 가장 중요한 시점"이라고 재차 강조했다.

VS 코드, 개방·보안 모두 잡다

마첼 수석 엔지니어는 VS 코드 특장점으로 개방과 보안 모두 강력하다는 점을 꼽았다. VS 코드가 2015년 출시된 후 지금까지 완전한 오픈소스 개발 체계로 운영됐다는 이유에서다.

그는 "우리는 초창기부터 VS 코드의 핵심 코드를 공개했으며, 최근 코파일럿을 포함한 모든 클라이언트 구성 요소까지 전면적으로 내놨다"고 설명했다. 이어 "전 세계 개발자 누구나 제품 구조와 보안 설계를 직접 검토할 수 있는 이유"라고 강조했다.

마첼 수석 엔지니어는 진정한 플랫폼 신뢰는 외부 검증에서 탄생한다고 주장했다. 마이크로소프트 내부에서도 철저히 보안 점검을 진행하지만, 외부 개발자로부터 신뢰받아야 안전한 플랫폼이 될 수 있다는 설명이다.

그는 "우리는 코드를 투명하게 공개해 사용자와 개발자가 직접 안전성을 확인할 수 있는 구조를 마련했다"고 강조했다.

실제 VS 코드는 어떤 정보가 외부로 전송되는지 개발자에게 직접 보여준다. 프로그램이 오류나 사용 통계를 전송할 때 그 데이터에 개인을 식별할 수 있는 정보가 포함됐는지 알리는 식이다. 개발자는 VS 코드 내 '데이터 패널'에서 어떤 정보가 언제, 어떤 경로로 전송되는지 실시간 확인할 수 있다.

마첼 수석 엔지니어는 "사용자는 VS 코드로 정보 흐름을 직접 통제할 수 있는 아키텍처까지 만들 수 있다"고 설명했다.

"국가별 데이터 규제 충족은 아직…균형 맞출 것"

마첼 수석 엔지니어는 한 기업이 세계 각국 데이터 법규를 모두 충족하는 것은 여전히 쉽지 않다고 말했다. 그는 "AI 모델은 전 세계 데이터를 학습한다"며 "국가별 규제를 완벽히 맞추는 것은 기술적으로 매우 도전적인 과제"라고 이유를 밝혔다.

마첼 수석 엔지니어는 마이크로소프트와 깃허브가 각 국가 법규와 AI 발전 균형을 맞추기 위해 노력하고 있다고 강조했다.

그는 "우리는 유럽 일반개인정보보호법(GDPR)을 비롯한 글로벌 개인정보 보호 기준을 따르고 있다"며 "모든 진단 데이터에는 개인 식별 가능 여부가 명확히 표시된다"고 설명했다. 이어 "개발자와 보안 전문가 누구나 데이터 처리 방식과 개인정보 보호 체계를 직접 검증할 수 있다"고 덧붙였다.