AI 코딩 도우미가 만든 부채 실전 코드 분석

본 논문은 AI 코딩 어시스턴트가 실제 소프트웨어 프로젝트에 미치는 장기적인 기술 부채 영향을 정량적으로 파악하고자 하는 최초의 대규모 실증 연구이다. 연구자는 2024년 1월부터 2025년 10월까지 GitHub에서 발생한 모든 PushEvent를 BigQuery로 수집하고, 커밋 메타데이터(작성자 로그인, 이메일, 이름, Co‑authored‑by 트레일러 등)에서 AI 도구가 남긴 고유한 흔적을 추출해 ‘AI‑작성 커밋’ 후보를 선별했다. 이후 GitHub API와 베어 클론을 이용해 각 후보 레포지터리의 전체 히스토리를 스캔하고, 최소 100개의 스타를 보유한 활성 오픈소스 프로젝트만을 최종 데이터셋에 포함시켰다. 최종적으로 6,275개의 레포지터리와 304,362개의 AI‑작성 커밋을 확보하였다. 데이터 전처리 단계에서는 Python, JavaScript, TypeScript 파일만을 대상으로 하였으며, 테스트·문서·설정 파일 등 생산 코드와 무관한 파일은 제외했다. 각 커밋에 대해 부모 커밋(전)과 현재 커밋(후)의 소스 코드를 별도로 체크아웃하고, 동일한 정적 분석 도구 체인을 적용했다. Python 파일에는 Pylint(코드 스멜·버그)와 Bandit(보안) 분석기를, JavaScript/TypeScript 파일에는 ESLint와 njsscan을 사용했다. 분석 결과는 이슈 ID, 라인 번호, 심각도, 메시지 형태로 기록되었다. 다음으로, 전·후 이슈 집합을 비교하고 git diff를 통해 실제 변경된 라인(Δf)을 파악함으로써, 라인 번호 이동에 따른 가짜 변화를 배제하고 진정한 ‘도입’ 혹은 ‘해결’ 이슈만을 식별했다. 이 차등 분석 방식은 기존 연구가 겪는 ‘정적 분석 결과만을 스냅샷으로 보는’ 한계를 극복한다. 연구 결과, 총 484,606개의 고유 이슈가 발견됐으며, 이 중 89.1 %가 코드 스멜, 7.4 %가 버그, 3.5 %가 보안 취약점이었다. 모든 AI 도구에서 15 % 이상(최소 15.2 %, 최대 19.8 %)의 커밋이 최소 하나의 이슈를 도입했으며, 도구별 차이는 존재했지만 전반적으로 높은 위험성을 보였다. 특히, 도입된 이슈를 최신 HEAD까지 추적했을 때 24.2 %가 여전히 존재함을 확인했다. 이는 AI가 만든 부채가 단순히 ‘잠깐’ 존재하는 것이 아니라, 프로젝트 유지보수 과정에서 지속적으로 누적될 가능성을 의미한다. 논문은 이러한 실증 결과를 바탕으로 두 가지 주요 시사점을 제시한다. 첫째, AI 코딩 어시스턴트를 활용할 때는 자동화된 정적 분석 파이프라인을 반드시 연계해 사후 검증을 강화해야 한다. 둘째, 팀 차원에서 AI가 생성한 코드를 ‘신뢰’하기보다 ‘검증’하는 문화가 필요하며, 특히 보안·성능·가독성 측면에서 인간 리뷰를 보완적으로 적용해야 한다. 또한, 연구자는 데이터와 복제 패키지를 공개함으로써 향후 연구자들이 다른 언어·도구에 대한 확장 연구를 수행하거나, AI 도구 자체의 품질 개선을 위한 피드백 루프를 구축할 수 있는 기반을 제공한다. 결론적으로, AI 코딩 어시스턴트가 개발 생산성을 크게 향상시키는 동시에, 코드 스멜과 같은 기술 부채를 지속적으로 축적시킬 위험이 있음을 실증적으로 입증했으며, 이를 최소화하기 위한 품질 보증 방안의 필요성을 강조한다.