AI 코드 출처는 사후에 추적할 수 없습니다. 하루씩 미룰수록 잃는 것이 있습니다.
출처: Dev.to
AI 코드 거버넌스에는 충분히 주목받지 못하는 실패 모드가 있습니다. 그 이유는 눈에 보이지 않다가 갑자기 드러나기 때문입니다.
취약점도 아니고, 잘못된 설정도 아니며, 보안 스캔으로 잡히는 것도 아닙니다.
시간상의 격차, 즉 **“팀이 AI 코딩 도구를 사용하기 시작한 시점”**과 “그 도구가 무슨 일을 했는지 기록하기 시작한 시점” 사이의 기간이 문제입니다.
한 줄도 거슬러 갈 수 없습니다. 사후에 provenance(출처)를 캡처하는 방법은 존재하지 않습니다.
일방통행문
개발자가 Claude Code에 프롬프트를 입력하고 제안을 수락하면, 다음 정보가 잠시 메모리와 전송 과정에 존재합니다.
- 모델에 보낸 전체 프롬프트
- 모델 식별자와 버전
- 인간이 편집하기 전의 생성 코드
- 삽입이 수락, 거부, 혹은 수정 적용됐는지 여부
- 생성 시점의 파일 경로와 주변 컨텍스트
개발자의 에디터가 변경을 적용하고 다음 작업으로 넘어가는 순간, 대부분의 정보는 사라집니다. Git은 diff와 커밋 작성자를 기록하지만, 커밋은 생성 이벤트가 아닙니다. 두 사건은 서로 다른 시점, 다른 컨텍스트에서 일어납니다. 이 구분을 이해하는 것이 모든 논의의 전제조건입니다.
생성 순간을 캡처하지 않았다면, 캡처한 것이 없습니다. 복원 작업은 존재하지 않습니다.
실제로 잃는 것
“출처를 알 수 없음”이 실제로 의미하는 바를 구체적으로 살펴보겠습니다.
- 시나리오 1: 사고 추적
- 시나리오 2: 컴플라이언스 질문
만약 1월부터 캡처해 왔다면 전체 감사 추적이 존재합니다. 이번 주에 누군가 질문을 해서 캡처를 시작했다면, 그때부터 기록이 시작됩니다.
- 시나리오 3: 떠나는 엔지니어
시작하는 모습 — 설정이 전혀 필요 없음
불가역성 논쟁이 중요한 이유는 시작 비용이 0이기 때문입니다.
LineageLens Base는 한 명령어로 설치되고 즉시 캡처를 시작합니다.
code --install-extension karnatipraveen.lineagelens-base- 백엔드 없음
- 프록시 없음
- 계정 없음
- 설정 없음
- API 키 없음
확장 프로그램은 설치되는 순간 활성화됩니다. VS Code의 onDidChangeTextDocument 이벤트에 훅을 걸어 4줄 이상 삽입을 감시합니다. 감지될 때마다 다음을 기록합니다.
- 파일 경로와 언어
- 삽입된 코드 블록
- 실제 추가된 라인 수
- 신뢰도 점수 (0.0–1.0)
- 출처 분류 (cursor, copilot, unknown 등)
- UTC 타임스탬프
기록은 VS Code 전역 상태에 저장됩니다 — 개발자 머신에 있는 로컬 JSON 스토어입니다. 데이터가 머신을 떠나지 않으며, 상태 표시줄에 LL: Easy (local)이라고 표시됩니다.
이 순간부터 4줄 이상 AI 삽입마다 기록이 남습니다. 기록은 희소합니다 (프롬프트, 모델명은 프록시가 필요함)하지만 최소한의 메타데이터는 확보됩니다.
재설치 없이 기록 품질 업그레이드
전체 프롬프트와 모델 정보를 캡처하고 싶다면, Lite 프록시를 함께 추가합니다.
git clone https://github.com/karnati-praveen/lineagelenshttp://localhost:8787/setup에 접속해 브라우저 3단계로 관리자 계정을 만들고,- 환경 변수를 하나 설정합니다.
export ANTHROPIC_BASE_URL=http://localhost:8788프록시가 실행 중이면 http://localhost:8788에서 동작합니다.
확장 프로그램은 30초마다 /proxy-health를 폴링합니다. 프록시가 감지되면 상태 표시줄이 자동으로 LL: Easy (local)에서 LL: Power 로 전환됩니다.
프록시가 실행되기 전 Easy Mode에서 캡처된 file_diff 기록은 capture_status: file_diff와 신뢰도 약 0.35를 유지합니다. 이 기록은 그대로 남아 있습니다.
신뢰도 그라디언트
다양한 캡처 설정에 따른 기록 품질은 다음과 같습니다.
| 캡처 모드 | capture_status | 신뢰도 | 프롬프트 캡처? |
|---|---|---|---|
| file_diff (신뢰도 0.35) | file_diff | 0.35 | X |
file_diff 기록은 풍부한 provenance 기록은 아니지만, 전혀 기록이 없는 것보다 훨씬 낫습니다. 이유는 타임스탬프가 있기 때문입니다.
6개월 후 사고가 발생해 특정 블록을 추적해야 할 때, file_diff 기록은 해당 코드가 언제 등장했는지 대략적인 시점을 알려줍니다.
팀을 위한 비대칭성 악화
팀에 커서, 코파일럿, Claude Code 등을 사용하는 10명의 개발자가 있고, 아무도 LineageLens를 쓰지 않는다면 점점 늘어나는 불투명한 AI 코드 베이스가 생깁니다.
LineageLens Lite는 공유 백엔드를 추가하면서도 Postgres를 요구하지 않습니다.
bash lineagelens-scripts/quickstart-lite.sh- 단일 Docker 컨테이너
- SQLite 사용
- $5 VPS 혹은 여분의 머신에서도 실행 가능
- 설정 마법사가 브라우저 3단계로 관리자 계정과 워크스페이스를 생성합니다.
직접적인 논증
LineageLens가 여러분 팀에 맞는 도구일 수도, 아닐 수도 있습니다. 그것을 평가하는 것은 가치가 있습니다. 하지만 평가는 오늘 해야 합니다. 나중이 아니라요.
code --install-extension karnatipraveen.lineagelens-base시도해 본 뒤 질문해 보세요:
- 여러분 코드베이스에서 가장 오래된 AI 생성 코드 중, 출처를 설명할 수 없는 코드는 무엇인가요?
- “출처를 알 수 없는” 창은 얼마나 오래 전까지 열려 있나요?