자율 개발·운영 사이클 가이드

VS Code + GitHub Copilot + Azure로
이어지는 Agentic SDLC
자연어로 의도를 말하고, 에이전트가 빌드·배포·운영까지 잇는 한 사이클

코드를 한 줄씩 작성하는 시대에서, 의도를 정의하고 결과를 검증하는 시대로 바뀌고 있습니다. IDE · 저장소 · CI/CD · 배포 · 운영 · 자가복구가 끊김 없이 한 바퀴로 돌아가는 7단계 사이클을 정리합니다.

읽기 시간: 12분 2026년 4월 29일 한국어

이 가이드에서 얻게 되는 것

"에이전트에게 일을 맡기는 시대"에 개발자와 조직이 실제로 무엇을 어떻게 연결해야 하는지를 한 페이지에 정리합니다.

7단계 사이클의 지도

Big Picture

개발 → 저장 → 빌드/테스트 → 보안 검증 → 배포 → 운영 → 자율 개선이 어떤 도구를 통해 한 바퀴로 연결되는지 한눈에 봅니다.

3개 플랫폼의 결합 방식

VS Code × GitHub × Azure

IDE의 Copilot · MCP · Extensions가 GitHub의 저장소·Actions·GHAS를 거쳐 Azure의 Static Web App·Container Apps·Cosmos DB까지 어떻게 한 흐름으로 묶이는지.

사람과 에이전트의 분담

Roles & Boundaries

"코드 타자기"에서 "에이전트 디렉터·검증자"로 바뀌는 개발자의 역할. 어디까지 자동화하고 어디서 사람이 승인하는지 매트릭스로 정리합니다.

핵심 명제 : IDE와 언어의 중요성이 사라지는 게 아니라, 중요해지는 지점이 바뀝니다. 예전에는 사람이 코드를 작성하기 위해 IDE와 언어를 배웠다면, 앞으로는 AI가 만든 결과물을 지시하고 · 제한하고 · 검증하고 · 운영하기 위해 IDE와 언어를 배웁니다.

왜 Agentic SDLC 인가

예전 개발자는 "파일 열기 → 코드 작성 → 디버깅 → 커밋"의 흐름이 일상이었습니다. 이제는 "목표 설명 → 에이전트 수정 → 결과 검증 → 추가 지시 → 승인"의 흐름이 표준이 되어가고 있습니다.

BEFORE 전통 SDLC
  • 사람이 코드를 한 줄씩 작성
  • 리뷰는 동료 개발자가 수동으로 수행
  • CI/CD는 사람이 트리거하고 결과를 해석
  • 운영 알람을 보고 사람이 우선순위 부여
  • 핫픽스 → 사람이 작성 → 사람이 리뷰 → 사람이 배포
  • 도구를 깊이 알아야 빠르다
AFTER Agentic SDLC
  • 사람은 의도와 제약을 자연어로 정의
  • Copilot Agent가 다중 파일을 수정 · 테스트 실행
  • GitHub Advanced Security가 SAST를 자동 수행
  • SRE Agent가 운영 신호를 감지하고 GitHub Issue 등록
  • Coding Agent가 PR을 만들면 사람·AI가 함께 리뷰
  • 사람은 의도 정의 · 검증 · 승인에 집중
결정적 변화 AI는 코드 생성 속도를 크게 올리는 만큼, 검증해야 할 변경량도 늘립니다. 그래서 IDE는 "코드 타자기"에서 "AI가 만든 변경사항을 검수하는 대시보드"로 진화하고, 언어 지식은 "작성 기술"에서 "AI 결과물의 적정성을 판단하는 기준"이 됩니다.

전체 사이클 한 눈에

7개 페이즈가 시계방향으로 순환합니다. 마지막 페이즈(자율 개선)는 다시 코드 관리 단계로 이어져 한 사이클을 닫고 다음 사이클을 엽니다. 노드를 클릭하거나 위로 마우스를 올리면 아래의 상세 카드와 함께 강조됩니다.

Agentic SDLC VS Code · GitHub · Azure 자연어 → 에이전트 → 검증 → 운영 1 개발 (Develop) VS Code · Copilot · MCP GPT-5.5 · Claude · Gemini 2 코드 관리 (Source) GitHub Repository Issue · Pull Request · Branch 3 빌드 · 테스트 GitHub Actions · CI/CD Test · Lint · Build · Image 4 보안 검증 (Secure) GHAS · CodeQL (SAST) Secret · Dependency Scan 5 Azure 배포 (Deploy) IaC → SWA · ACA · Cosmos Bicep / Terraform · ACR 6 운영 (Operate) Azure Monitor · SRE Agent App Insights · 자동 진단 7 자율 개선 (Auto-Heal) GitHub Issue → Coding Agent PR → Review → 재배포
시계방향으로 순환하며, 7번 페이즈는 새 PR을 통해 다시 2번 페이즈로 합류해 다음 사이클을 엽니다.
1
개발 (Develop)
VS Code · IDE · Local Agent

VS Code의 Copilot Agent Mode가 코드베이스를 읽고, 다중 파일을 수정하고, 터미널 명령·테스트를 실행합니다. MCP 서버로 외부 도구·API를 컨텍스트로 끌어옵니다.

VS Code GitHub Copilot MCP Extensions LLM Models
2
코드 관리 (Source)
GitHub Repository

모든 변경은 PR 단위로 관리합니다. Issue · PR · Branch protection 으로 사람과 에이전트의 작업을 한 곳에 추적하고, 머지 직전에 모든 검증이 통과되어야 합니다.

Repository Issues Pull Requests Branch Rules
3
빌드 · 테스트 (Build & Test)
GitHub Actions · CI/CD

PR이 열리면 자동으로 lint · 단위/통합 테스트 · 빌드가 돌고, 동적 컨텐츠는 컨테이너 이미지로 만들어 ACR에 푸시됩니다. 정적 컨텐츠는 빌드 산출물을 그대로 사용합니다.

GitHub Actions Test Container Build ACR Push
4
보안 검증 (Secure / SAST)
GitHub Advanced Security

CodeQL이 SAST를 수행하고, Secret Scanning · Dependency Review · Dependabot가 비밀·취약 의존성을 탐지합니다. PR 단계에서 리스크를 가시화해 머지 차단까지 가능합니다.

CodeQL Secret Scan Dep. Review Dependabot
5
Azure 배포 (Deploy)
IaC 먼저 → 서비스 배포

Bicep/Terraform으로 인프라를 먼저 프로비저닝한 뒤, 정적 컨텐츠는 Static Web App, 동적 컨텐츠는 Container Apps에 ACR 이미지를 배포합니다. 데이터는 Cosmos DB가 받습니다.

Bicep / Terraform Static Web App Container Apps Cosmos DB Key Vault
6
운영 · 모니터링 (Operate)
SRE Agent로 자동 진단

Azure Monitor · Application Insights가 메트릭/로그/트레이스를 수집합니다. SRE Agent가 비정상 신호를 자율적으로 분석해 원인 가설과 권장 조치를 만들고, 필요 시 GitHub Issue를 자동 등록합니다.

Azure Monitor App Insights SRE Agent Alerts
7
자율 개선 (Auto-Heal)
Issue → Coding Agent → PR

SRE Agent가 만든 Issue를 GitHub Copilot Coding Agent가 받아 코드 변경을 PR로 제안합니다. 사람·AI 리뷰 후 머지되면 다시 2번 페이즈로 합류해 같은 사이클을 닫습니다.

GitHub Issue Coding Agent Pull Request Code Review
1

개발 환경 — VS Code · Copilot · MCP · LLMs

Agentic SDLC의 출발점은 IDE입니다. 여기서 사람은 더 이상 모든 코드를 직접 작성하지 않습니다. 대신 의도를 자연어로 전달하고, 에이전트의 작업 결과를 검증·승인합니다. VS Code는 그 작업의 대시보드이자 검증 콘솔입니다.

VS Code · Copilot · MCP · LLMs 관계도

개발자가 자연어로 의도를 말하면, VS Code 안의 Copilot Agent가 두 갈래의 외부 채널 — ① LLM 모델(추론)② MCP 서버(실제 시스템 컨텍스트·도구) — 을 함께 호출하며 작업을 수행합니다. 결과는 다시 IDE 안에서 diff·테스트로 검증된 뒤 사람의 승인을 거칩니다.

개발자 자연어 의도 · 검증 · 승인 VS Code (IDE) 검증·자동화 콘솔 — 사람의 작업장 코어 IDE 기능 — 사람과 에이전트가 함께 사용 에디터 터미널 디버거 Git 검색 원격 GitHub Copilot Agent Mode · Local Agent 다중 파일 수정 테스트 자동 실행 린트 오류 자기수정 컨텍스트 수집 코드베이스 인식 · 도구 호출 · 결과 검증 Extensions 도메인 도구를 IDE 안으로 Bicep Terraform Azure Tools GitHub PR CodeQL Container 린트 · 포매터 · 디버거 · 시각화 ① LLM 모델 — 추론 채널 External GPT-5.5 OpenAI · 범용 추론 Claude Opus 4.7 Anthropic · 깊은 추론 Claude Sonnet 4.6 Anthropic · 빠른 코드 Gemini 3.1 Pro Google · 멀티모달 · 긴 컨텍스트 작업 성격에 따라 모델 선택 — 추론 깊이 vs 속도 vs 다른 관점 ② MCP 서버 — 컨텍스트·도구 채널 Tools GitHub MCP Issue · PR · Repo · Code Search Azure MCP 리소스 · 모니터 · KQL Database MCP Cosmos DB · SQL · 스키마 Custom MCP 사내 API · 문서 · 도메인 도구 표준 컨텍스트 채널 — 환각 없이 실제 시스템 상태 참조 지시 검토 요청 프롬프트+컨텍스트 응답 · 토큰 도구 호출 구조화된 결과
VS Code 안의 Copilot Agent가 LLM(추론)과 MCP(시스템 컨텍스트·도구)를 양방향으로 오가며, 결과를 IDE 안에서 검증해 사람에게 제시합니다.
개발 환경 구성 요소
VS Code (IDE) 검색 · 파일 트리 · diff · 터미널 · 디버거. 에이전트가 만든 변경을 승인 전에 살펴보는 작업장이자, 컴파일·린트 에러를 즉시 잡아내는 검증 콘솔.
GitHub Copilot (Agent Mode) 코드베이스를 분석하고, 관련 파일을 읽고, 다중 파일 수정을 제안하고, 터미널/테스트를 실행합니다. 컴파일·린트 오류를 보고 스스로 재시도합니다.
MCP (Model Context Protocol) DB · 사내 API · 문서 시스템 · Azure 리소스를 표준 컨텍스트 채널로 연결해, 에이전트가 환각 없이 실제 시스템 상태를 참조하도록 합니다.
Extensions Bicep · Terraform · Container Tools · Azure Tools · GitHub PR · CodeQL 등 도메인 도구를 IDE 안으로 끌어와 에이전트의 능력을 확장합니다.
Copilot이 호출하는 LLM 모델

Agent Mode는 작업 성격에 맞춰 모델을 선택할 수 있습니다. 추론 깊이가 필요한 리팩터링은 Opus 계열, 빠른 코드 생성은 Sonnet 계열, 멀티모달 입력이나 긴 컨텍스트가 필요한 작업은 Gemini처럼 모델을 도구로 다룹니다.

OpenAI GPT-5.5 Anthropic Claude Opus 4.7 Anthropic Claude Sonnet 4.6 Gemini 3.1 Pro
실전 팁
  • 한 번에 큰 변경을 시키지 말고, plan을 먼저 요구한 뒤 작은 단위로 지시합니다.
  • 변경 전에 "어떤 파일이 영향을 받느냐"를 묻고 diff 요약을 받으세요.
  • 테스트를 먼저 작성하게 하고, 그 다음 구현을 만들게 하면 위험이 줄어듭니다.
2

코드 관리 — GitHub Repository

에이전트가 만든 변경도 예외 없이 PR을 통해서만 메인 브랜치에 합쳐집니다. 사람과 에이전트가 만든 코드를 같은 통로로 흘리는 것이 사이클의 신뢰성을 결정합니다.

Issues 사람의 요구·버그뿐 아니라 SRE Agent가 자동 등록한 운영 이슈도 같은 보드에서 추적됩니다.
Pull Requests 사람·Coding Agent의 모든 변경이 PR로 모입니다. PR이 사이클의 핵심 검증 단위입니다.
Branch Protection CI · 보안 검증 · 리뷰 통과를 강제해, 아무도 검증을 우회할 수 없게 만듭니다.
권장 정책
  • main 브랜치 직접 push 금지 — 모든 변경은 PR 경유
  • 최소 1명의 리뷰 + 모든 status check 통과 필수
  • "Author = Agent"인 PR은 라벨링하여 리뷰어가 더 면밀히 검토
  • CODEOWNERS로 도메인별 자동 리뷰어 지정
3

빌드 · 테스트 — GitHub Actions

PR이 열리면 GitHub Actions가 lint · 단위/통합 테스트 · 빌드를 자동 수행합니다. 동적 컨텐츠는 Docker 이미지로 빌드해 Azure Container Registry(ACR)에 푸시하고, 정적 컨텐츠는 빌드 산출물을 그대로 다음 페이즈로 넘깁니다.

.github/workflows/ci.yml (요약)
name: ci on: { pull_request: {}, push: { branches: [main] } } jobs: test: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - run: npm ci - run: npm test - run: npm run build image: needs: test runs-on: ubuntu-latest steps: - uses: azure/login@v2 - run: az acr build -r myacr -t api:${{ github.sha }} .
사이클 관점에서 중요한 것
  • 이미지 태그를 commit SHA로 — 어떤 코드가 어떤 이미지로 만들어졌는지 1:1 추적
  • 테스트 결과·빌드 산출물을 아티팩트로 업로드해 Coding Agent가 재현 가능
  • Azure 자격 증명은 OIDC 페더레이션으로 — 시크릿을 저장소에 두지 않습니다
4

보안 검증 — GitHub Advanced Security (SAST)

AI가 코드를 빠르게 만들수록 보안 검증의 자동화가 결정적입니다. GitHub Advanced Security는 PR이 머지되기 전에 코드 자체와 의존성, 비밀 키 노출까지 한 번에 점검합니다.

CodeQL (SAST) 소스 코드를 데이터베이스로 만들어 SQL Injection, XSS, 권한 우회 등 패턴을 정적으로 탐지합니다. AI가 추가한 패턴도 동일 기준으로 검증됩니다.
Secret Scanning 커밋된 토큰·API 키를 자동 탐지하고, 파트너 발급사로 알려 실제 키 무효화까지 자동화합니다.
Dependency Review PR이 추가/변경한 의존성의 CVE를 즉시 표시. 위험 점수가 임계치를 넘으면 머지 차단.
Dependabot 취약 의존성을 발견하면 자동으로 업그레이드 PR을 만들고, CI 통과 시 사이클 그대로 운영까지 흘립니다.
사이클 관점의 핵심 SAST는 "AI 결과물의 1차 필터"로 동작해야 합니다. AI 리뷰는 유용하지만 최종 책임자가 아니라 1차 필터에 가깝다는 점을 잊지 말고, 보안 정책은 도구가 강제하도록 설계합니다.
5

Azure 배포 — IaC가 인프라를 먼저, 서비스가 그 위에

배포는 두 단계로 흐릅니다. (1) Bicep · Terraform이 인프라를 선언적으로 프로비저닝하고, (2) 그 위에 정적/동적 컨텐츠와 데이터 서비스를 얹습니다. 컨텐츠 성격에 맞는 PaaS를 골라 운영 비용·확장성·보안을 동시에 잡습니다.

컨텐츠 유형별 Azure 서비스 매핑
IaC
Bicep / Terraform
정적 컨텐츠
Static Web App
동적 컨텐츠
Container Apps
NoSQL 데이터
Cosmos DB
Bicep · Terraform (IaC) 인프라를 코드로 선언. 같은 코드가 dev/stg/prod를 만들고, PR diff로 변경을 추적합니다. 서비스보다 먼저 실행해 의존성을 안전하게 준비.
Azure Static Web App React/Vue/Static 빌드 산출물에 적합. 전 세계 엣지 배포 + 전용 API 통합으로 정적 컨텐츠를 빠르게 제공.
Azure Container Apps ACR에 푸시된 Docker 이미지를 서버리스 컨테이너로 운영. 0→N 자동 스케일, KEDA 기반 이벤트 트리거 지원.
Azure Cosmos DB (NoSQL) 전 세계 분산 + 한 자릿수 ms 응답. 파티션 키 설계로 핫 파티션을 피하고, 사용 패턴에 맞춰 RU를 조정.
보안·운영을 같이 고려
  • 모든 시크릿은 Azure Key Vault, 접근은 Managed Identity
  • Container Apps · Cosmos DB는 private endpoint로 폐쇄망 구성
  • 이미지·인프라 모두 commit SHA로 라벨링해 운영 단계에서 추적 가능
6

운영 — Azure Monitor + SRE Agent

배포가 끝나면 운영 데이터가 곧 다음 사이클의 입력이 됩니다. Azure Monitor · Application Insights가 메트릭/로그/트레이스를 모으고, SRE Agent가 비정상 신호를 자동으로 분석해 원인 가설과 권장 조치를 만듭니다.

Azure Monitor / App Insights 요청 지연, 에러율, 의존성 호출, CPU/메모리, Cosmos RU 소비를 한 워크스페이스에서 관찰. KQL로 깊이 파고 들 수 있습니다.
SRE Agent 알람 발생 시 로그 · 메트릭 · 최근 배포 · 의존성 변화를 동시에 살펴 가능한 원인 가설을 만들고, 영향 범위와 우선순위를 매겨 다음 페이즈로 넘깁니다.
자율적이지만 책임은 사람 SRE Agent는 사람의 1차 분석을 대체하지 않고 가속합니다. 자동 대응은 사전에 정의된 안전 조치(예: 자동 롤백, 자동 스케일 한도)에 한정하고, 코드 변경은 반드시 PR을 통해 들어가도록 합니다.
7

자율 개선 — Issue → Coding Agent → PR → 재배포

SRE Agent가 만든 진단을 GitHub Issue로 자동 등록합니다. 이 Issue를 GitHub Copilot Coding Agent가 받아 코드베이스를 조사하고, 계획을 세우고, 새 브랜치에 PR을 만듭니다. 사람과 AI가 함께 리뷰한 뒤 머지되면, 사이클은 다시 페이즈 2로 합류합니다.

사이클이 다시 닫히는 흐름
① 운영 신호 감지
Container Apps의 5xx 에러율 급증을 App Insights가 알림.
② SRE Agent 자동 진단
최근 배포·의존성·트래픽 변화를 함께 분석해 "Cosmos DB 쿼리 타임아웃"을 가설로 제시.
③ GitHub Issue 자동 등록
증상·가설·관련 파일 후보·로그 링크를 포함한 Issue를 생성. 라벨 auto/sre 부여.
④ Coding Agent에게 위임
Issue를 Coding Agent에 할당. Agent가 코드베이스를 조사 → 변경 계획 → 브랜치에 PR 생성.
⑤ 사람 + AI 리뷰
PR에서 리뷰어와 Copilot이 동시에 검토. CodeQL · 테스트 · 빌드 모두 통과해야 머지 가능.
⑥ 머지 → 재배포 → 사이클 종료
머지 시 Actions가 다시 빌드·배포를 수행하고, 운영 단계에서 알람이 사라지는 것을 확인.
안전장치는 사람이 정의 Coding Agent의 PR도 예외 없이 보안·테스트·리뷰를 통과해야 합니다. "Author = Agent" 라벨 PR에는 더 보수적인 규칙(예: 2명 리뷰 의무화)을 걸어, 속도와 안전을 동시에 잡습니다.

사람과 에이전트의 역할 분담

Agentic SDLC에서도 사람의 책임은 사라지지 않습니다. 다만 그 책임의 위치가 "코드 작성"에서 "의도 정의 · 위험 판단 · 최종 승인"으로 이동합니다.

사람이 책임지는 영역
  • 제품 의도 · 사용자 흐름 정의
  • "이 변경이 우리가 원하는가?" 판단
  • 보안·개인정보·비용 정책 결정
  • 위험한 PR의 최종 승인
  • 아키텍처 큰 그림과 트레이드오프
에이전트가 잘하는 영역
  • 다중 파일 수정 · 보일러플레이트 생성
  • 테스트 케이스 작성 · 리팩터링 초안
  • 로그·메트릭 묶어 가설 만들기
  • 의존성 업데이트 · CVE 수정 PR
  • 1차 코드 리뷰 (잠재 버그 · 엣지 케이스)
사람의 새로운 핵심 스킬
  • 작업을 작은 단위로 쪼개 지시하기
  • plan을 먼저 요구하기 · diff 요약받기
  • 위험한 변경 영역을 빠르게 짚기
  • 실행 결과·로그 기반 재지시하기
  • 한 번에 큰 변경 시키지 않기
결론 "IDE를 잘 쓰는 개발자"보다 "AI 에이전트를 잘 지휘하고, 결과의 위험을 판별하는 개발자"가 더 중요해집니다. IDE는 메인 작업장이 아니라 검증 콘솔이 되고, 언어는 작성 기술이 아니라 판단 기준이 됩니다.

Agentic SDLC 설계 원칙

자율성을 높이되 통제를 잃지 않으려면, 플랫폼이 강제하는 가드레일이 필요합니다. 사이클을 만들 때 다음 6가지를 꼭 기억하세요.

사람·에이전트 구분 없이 메인 브랜치는 PR을 통해서만 갱신. Branch protection · CODEOWNERS로 강제.

CodeQL · Dependency Review · 테스트는 PR status check로 등록. 통과 못 하면 머지 자체가 막혀야 한다.

Bicep/Terraform이 SWA · ACA · Cosmos · Key Vault를 먼저 프로비저닝. 그 위에 이미지/정적 산출물을 얹는다.

Key Vault + Managed Identity + OIDC 페더레이션. Secret Scanning이 발견하면 자동 무효화.

SRE Agent가 자동 진단 → GitHub Issue → Coding Agent → PR. 운영 데이터가 자연스럽게 다음 코드 변경의 입력이 된다.

자동 롤백·자동 스케일 한도·"Agent 작성 PR"에 대한 강화된 리뷰 규칙 등을 사람이 사전에 정의한다. 자율은 한계 안에서만 의미가 있다.

참고 자료

VS Code · Copilot Agent Mode

다중 파일 수정 · 터미널 실행 · 자기 수정까지 수행하는 에이전트 모드
GitHub Copilot Coding Agent

저장소를 조사 · 계획 · PR 생성까지 자율 수행하는 클라우드 에이전트
GitHub Advanced Security

CodeQL · Secret Scanning · Dependency Review · Dependabot
Azure Static Web Apps

정적 컨텐츠 + 통합 API의 글로벌 엣지 배포
Azure Container Apps

서버리스 컨테이너 + KEDA 기반 자동 스케일
Azure Cosmos DB

전 세계 분산 NoSQL · 한 자릿수 ms 응답
Model Context Protocol (MCP)

에이전트와 외부 도구를 잇는 표준 컨텍스트 채널
Azure Monitor & App Insights

SRE Agent의 진단 입력이 되는 메트릭 · 로그 · 트레이스