레포 권한 없이 보안 점검을 돕겠다는 모험

출시 직전의 첫 판단

우리가 먼저 보고 있는 건 “내 앱을 이대로 배포해도 될까?”라는 출시 직전의 불안입니다. 이때 필요한 것은 완전한 감사보다 판단의 순서에 가깝습니다.

지금 무엇을 먼저 확인해야 하는지, 어떤 영역은 혼자 고치기 어렵고 전문가에게 넘겨야 하는지, AI가 길게 내놓은 답변을 어떤 우선순위로 읽어야 하는지 정리해주는 구조 말입니다.

코드 대신 점검 프롬프트를 씁니다

그래서 Preflight은 사용자의 코드를 직접 가져오지 않습니다. 짧은 인터뷰로 앱의 위험 표면을 파악하고, 그 맥락에 맞는 점검 프롬프트를 만듭니다.

사용자는 그 프롬프트를 자기 AI 코딩 도구에서 실행합니다. 그리고 나온 답변을 Preflight에 붙여넣습니다. Preflight은 그 답변을 다시 읽고 “지금 막아야 할 것”, “출시 전 고칠 것”, “불확실한 것”, “나중에 개선할 것”으로 나눕니다.

포기한 것도 있습니다

이 설계에는 포기한 것이 있습니다. 사용자의 전체 코드베이스를 직접 스캔하지 않기 때문에 런타임 동작이나 숨은 구현까지 모두 확인했다고 말할 수 없습니다.

레포 전체를 읽는 정적 분석 도구처럼 파일 단위 근거를 자동으로 모으지도 않습니다. 그래서 Preflight은 스스로를 전문 보안 감사라고 부르지 않습니다.

대신 넘겨야 하는 것이 줄어듭니다

사용자는 서비스에 레포 권한을 줄 필요가 없습니다. 아직 공개하기 조심스러운 코드, 고객 데이터와 가까운 내부 구현, 회사 정책상 외부 SaaS에 연결하기 어려운 저장소를 밖으로 내보내지 않아도 됩니다.

점검은 사용자의 개발 환경 안에서 일어나고, Preflight은 그 결과를 해석하는 데 집중합니다.

이미 쓰는 작업 환경 안에서

이 흐름은 AI로 만든 초기 제품에 특히 잘 맞습니다. 많은 사용자는 이미 Claude Code, Cursor, Lovable, Cline 같은 도구에 자기 코드를 열어두고 작업합니다.

Preflight은 새로운 권한 경로를 하나 더 만들기보다, 사용자가 이미 쓰고 있는 작업 환경 안에서 점검을 실행하게 합니다. 그다음 결과를 보안 판단의 언어로 다시 정리합니다.

도구별 분석 전용 모드는 지원 플랫폼 가이드에 따로 정리해두었습니다.

코드를 안 받으니 안전하다는 말은 부족합니다

물론 “코드를 안 받으니 안전하다”는 말로 끝낼 수는 없습니다. 더 정확히는, 점검 도구가 처음부터 코드 소유권의 가장 안쪽까지 들어갈 필요는 없다는 판단입니다.

출시 전 의사결정의 첫 단계에서는 전체 접근권보다 좋은 질문, 명확한 경계, 우선순위 정리가 더 큰 가치를 줄 때가 있습니다.

전문가 검토가 필요한 경우

이 방식으로 모든 문제를 해결할 수 있는 것은 아닙니다. 결제, 인증, 관리자 기능, 다중 사용자 데이터 경계, 민감한 개인정보가 얽힌 서비스라면 코드 기반 리뷰나 전문가 검토가 필요할 수 있습니다.

Preflight은 그런 경우를 숨기지 않고 리포트에서 별도로 표시합니다. “이건 자동 점검만으로 판단하면 안 된다”는 말을 하는 것도 점검의 일부입니다.

첫 번째 판단을 시작하기 위해

Preflight의 목표는 사용자가 코드를 넘기지 않고도 첫 번째 판단을 시작할 수 있게 하는 것입니다. 무엇을 물어봐야 하는지 모르는 상태에서 최소한의 맥락으로 위험 표면을 드러내고, AI의 답변을 배포 전 체크리스트로 바꾸는 것. 이 제품이 코드 업로드 대신 프롬프트 기반 흐름을 택한 이유입니다.

완벽한 코드 스캔이 아닐지라도, 권한을 넘기는 부담 없이 충분히 예리한 첫 판단이 가능함을 증명하는 것. 이것이 Preflight이 선택한 모험입니다.