GitHub Copilot 코드 학습, 우리 팀은 안전할까요?
4월 24일, 23일 뒤가 마감입니다. 지금 설정을 안 바꾸면 프라이빗 레포 코드도 AI 학습 데이터가 됩니다.
🎯 대상: Free · Pro · Pro+
⚡ 기본값: 옵트인(동의)
4월 24일 정확히 무슨 일이 생기나요
GitHub Copilot 코드 학습 정책이 2026년 4월 24일부터 바뀝니다. GitHub 공식 블로그가 3월 25일 발표한 내용에 따르면, Free·Pro·Pro+ 플랜 사용자의 Copilot 상호작용 데이터를 자사 AI 모델 학습에 사용하겠다고 밝혔습니다. (출처: GitHub 공식 블로그, 2026.03.25)
핵심은 기본값이 ‘동의(옵트인)’ 상태라는 점입니다. 아무것도 안 하면 자동으로 학습 데이터 제공에 참여하는 구조입니다. 반대로 이미 이전에 “제품 개선을 위한 데이터 수집”을 거부한 사람이라면, 그 설정이 그대로 유지되어 별도 조치가 필요 없습니다.
솔직히 말하면, 이런 정책 변경은 GitHub만의 이야기가 아닙니다. GitHub 공식 FAQ는 Anthropic, JetBrains, Microsoft도 동일한 방식의 옵트아웃 정책을 운영하고 있다고 명시했습니다. (출처: GitHub Community FAQ, 2026.03.25)
수집되는 데이터, 공식 목록으로 직접 확인
GitHub가 공식 블로그에 수집 항목을 7가지로 나열했습니다. 막연하게 ‘코드가 넘어간다’는 수준이 아닙니다. (출처: GitHub 공식 블로그, 2026.03.25)
💡 공식 발표문의 수집 항목을 그대로 옮겨봤습니다 — 범위가 예상보다 넓습니다.
| 수집 데이터 | 구체적 내용 |
|---|---|
| 수락·수정한 출력 | AI 제안 중 채택하거나 직접 수정한 코드 |
| 모델 입력 전체 | Copilot에 보낸 코드 스니펫·채팅 입력 |
| 커서 주변 컨텍스트 | 현재 편집 중인 위치의 주변 코드 전체 |
| 주석·문서 | 코드에 직접 작성한 주석과 문서 문자열 |
| 파일명·레포 구조 | 디렉토리 구조, 파일 이름, 탐색 패턴 |
| Copilot 기능 사용 이력 | 채팅, 인라인 제안 사용 기록 전반 |
| 피드백 (👍/👎) | 제안에 대한 좋아요·싫어요 기록 |
커서 주변 코드까지 포함된다는 건, 화면에 열어둔 파일 전체가 컨텍스트로 넘어갈 수 있다는 뜻입니다.
수집하지 않는 항목도 공식적으로 명시돼 있습니다. Business·Enterprise 플랜 데이터, 옵트아웃한 사용자 데이터, “저장 상태(at rest)의” 이슈·토론·프라이빗 레포 콘텐츠가 해당됩니다. “at rest”라는 단어를 GitHub가 의도적으로 표현했다는 게 포인트입니다.
Enterprise·Business 쓰면 괜찮다고요? 이 조건이 문제입니다
GitHub 공식 문서는 “Copilot Business 및 Copilot Enterprise 고객 데이터는 GitHub 데이터 보호 계약(DPA)에 따라 보호된다”고 못 박았습니다. (출처: GitHub Docs, 2026.04 기준) 회사가 Business·Enterprise 플랜을 쓴다면 조직 데이터는 학습에 쓰이지 않습니다. 팀이 안도하는 지점입니다.
💡 공식 발표문과 실제 사용 흐름을 같이 놓고 보니 이런 차이가 보였습니다.
Business·Enterprise 플랜으로 조직을 운영해도, 팀원이 개인 Free·Pro·Pro+ 계정으로 같은 레포지토리에서 Copilot을 사용하는 순간, 그 상호작용 데이터는 학습 대상이 됩니다. 조직이 아닌 개인 계정 단위로 정책이 적용되기 때문입니다. 스타트업이나 오픈소스 팀에서 흔히 발생하는 시나리오입니다.
GitHub 공식 문서는 이 부분을 이렇게 서술합니다. “Copilot 사용자가 모델 학습에 동의한 상태에서 프라이빗 레포에서 작업 중 Copilot을 사용하면, 그 상호작용 데이터는 수집 대상이 될 수 있습니다.” 조직 플랜과 무관하게, 해당 레포에서 작업하는 개인 계정의 설정이 결정권을 가집니다.
결론은 간단합니다. 팀 전체가 Business·Enterprise 플랜을 쓰고 있더라도, 프리랜서 협업자나 오픈소스 기여자가 개인 Free 계정으로 Copilot을 켠 채 작업한다면 그 코드 컨텍스트는 학습 데이터에 포함될 수 있습니다.
학생·교사 계정, 면제라고 알고 계셨나요
이번 정책에서 면제 대상이 예상보다 넓습니다. The Register가 취재한 내용과 Instagram 공식 채널 요약을 보면, Business·Enterprise 외에 학생(Student) 계정과 교사(Teacher) 계정도 이번 정책에서 제외됩니다. (출처: The Register, 2026.03.26)
면제 대상 정리 (2026.04.24 기준)
- Copilot Business 플랜 사용자
- Copilot Enterprise 플랜 사용자
- GitHub Education 인증 학생 계정
- GitHub Education 인증 교사 계정
학습 데이터 제공 대상: Copilot Free · Pro · Pro+ 개인 계정
GitHub Education 학생 계정은 2026년 3월 12일 별도 정책 변경이 있었는데, 그 이후로도 데이터 학습 면제 지위는 유지됩니다. 단, 인증이 만료돼 일반 Free 계정으로 전환된 경우엔 4월 24일 이후 학습 대상이 됩니다.
옵트아웃, 2분 안에 끝내는 방법
개인 계정 옵트아웃은 단계가 많지 않습니다. GitHub 공식 문서에 나온 경로 그대로입니다. (출처: GitHub Docs — 개별 구독자 정책 관리, 2026.04 기준)
개인 계정 옵트아웃 경로
- github.com 로그인 → 우측 상단 프로필 아이콘 클릭
- Settings(설정) 선택
- 왼쪽 메뉴 Copilot 클릭
- Privacy(개인 정보 보호) 섹션 스크롤
- “GitHub에서 AI 모델 학습에 내 데이터를 사용하도록 허용” → 비활성화(사용 안 함)
설정 반영에 최대 30분이 걸릴 수 있습니다. 코드 에디터를 재시작하면 즉시 반영됩니다.
조직 관리자라면 조직 설정 → Copilot → “Copilot 데이터 사용 정책” 에서 멤버 전체에 일괄 적용할 수 있습니다. 개인별로 연락하지 않아도 됩니다.
단축 URL로 바로 이동하려면 github.com/settings/copilot/features 로 접근한 뒤 Privacy 섹션을 찾으면 됩니다.
나중에 옵트아웃해도 되나요 — 이미 늦은 경우
4월 24일 이후에도 언제든지 옵트아웃은 가능합니다. 하지만 범위에 중요한 차이가 있습니다. 옵트아웃 시점 이후에 생성되는 데이터만 수집이 중단됩니다. 그 전에 이미 모델에 반영된 데이터는 삭제 요청이 적용되지 않습니다.
⚠️ 나중에 옵트아웃해도 되살릴 수 없는 것들
- 이미 수집·통합된 상호작용 데이터
- 학습 완료된 모델 가중치에 녹아든 코드 패턴
- Microsoft 계열사와 공유된 데이터
모델 재학습 없이 이미 영향을 미친 데이터를 분리하는 건 기술적으로 불가능합니다.
수집된 데이터는 GitHub 계열사, 즉 Microsoft와 공유될 수 있습니다. 공식 블로그는 “제3자 AI 모델 프로바이더 또는 외부 서비스 제공자와는 공유하지 않는다”고 밝혔습니다. (출처: GitHub 공식 블로그, 2026.03.25) Microsoft 내부에서만 유통된다는 뜻이지만, Microsoft가 GitHub의 모회사라는 점을 감안하면 사실상 그룹 내 공유입니다.
GitHub Community 반응을 보면, 4월 1일 기준으로 관련 토론 게시글에 👎 59개, 🚀 3개가 달렸습니다. (출처: The Register, 2026.03.26) 커뮤니티의 실제 반응이 그대로 수치에 나타납니다.
Q&A 5개
Q1. 이미 이전에 데이터 수집을 거부했는데 다시 설정해야 하나요?
Q2. 옵트아웃하면 Copilot 기능이 제한되나요?
Q3. 조직 레포에 외부 기여자가 있는데 그 사람 코드도 위험한가요?
Q4. 프라이빗 레포 코드는 절대 수집되지 않는다고 하지 않았나요?
Q5. Copilot 말고 VS Code Copilot 익스텐션도 해당되나요?
마치며
이번 정책 변경을 두고 “업계 표준에 맞춘 것”이라는 GitHub의 설명은 틀린 말은 아닙니다. Anthropic, JetBrains, Microsoft 모두 비슷한 방식으로 운영합니다. 그렇다고 그게 당연히 수용해야 할 이유는 아닙니다.
개인적으로 이 정책에서 가장 신경 쓰이는 건 “at rest”라는 표현입니다. GitHub가 문서에 굳이 그 단어를 쓴 건, 작업 중인 상태에서는 다르다는 점을 인정한 것입니다. 프라이빗 레포라고 안심하기엔 그 경계선이 생각보다 얇습니다.
2분짜리 옵트아웃이 번거롭다면, 그 2분이 코드 보안보다 중요한지 한 번만 생각해보는 걸 권합니다. 4월 24일까지 시간이 있습니다.
본 포스팅 참고 자료
- GitHub 공식 블로그 — Updates to GitHub Copilot interaction data usage policy (2026.03.25) github.blog
- GitHub Docs — 개별 구독자 Copilot 정책 관리 docs.github.com
- The Register — GitHub: We’re going to train on your data after all (2026.03.26) theregister.com
- GitHub Changelog — Updates to Privacy Statement and Terms of Service (2026.03.25) github.blog/changelog
본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. GitHub Copilot의 정책은 업데이트에 따라 내용이 달라질 수 있으므로, 최신 정보는 공식 문서에서 확인하세요. 본 포스팅의 정보는 2026년 4월 1일 기준입니다.
댓글 남기기