한 엔지니어의 1시간 SaaS, 비결은 에이전틱 코딩 거버넌스

에이전틱 코딩 거버넌스로 1시간 SaaS가 가능해진 배경

AI가 팀 어떤 곳보다 빠르게 프로덕션급 코드를 만들어내는 흐름 속에서, 인간이 더 이상 코드를 직접 쓰지 않을 때의 거버넌스는 무엇이어야 하는가가 핵심 질문이 되었다. SoftBank가 투자한 고객데이터플랫폼(CDP) 기업 Treasure Data는 이에 대한 답을 제시했다. 회사는 데이터 엔지니어와 플랫폼 팀이 자연어로 전체 CDP를 조작할 수 있는 AI 네이티브 CLI ‘Treasure Code’를 공식 발표했으며, Claude Code가 코드 생성과 반복을 맡는다. 놀랍게도 코딩 자체는 단 한 명의 엔지니어가 약 60분 만에 끝냈지만, 그 이전에 위험을 줄이는 계획과 프로덕션 안전장치가 먼저 갖춰졌다.

코드보다 먼저: 플랫폼 수준의 거버넌스 레이어

권한 상속과 금지행위의 플랫폼 강제

Treasure Code에 접속하는 순간, 접근제어와 권한은 플랫폼에서 그대로 상속된다. 사용자는 자신에게 허용된 리소스만 다룰 수 있고, 개인식별정보(PII)는 노출될 수 없으며, API 키를 드러내거나 브랜드·경쟁사를 비하하는 행위도 금지된다. 이 모든 가드레일은 코드 하위가 아닌 플랫폼 상위에서 강제된다. 이를 위해 CISO, CTO, 엔지니어링 리더들이 직접 관여해 시스템이 일탈하지 않도록 기준을 세웠다.

에이전틱 코딩 거버넌스가 만든 토대

이 기반 덕분에 전체 코드베이스의 100%를 AI가 생성하도록 허용할 수 있었고, 프로덕션 기준을 보장하는 3단계 품질 파이프라인이 상시로 이를 감시·집행한다.

AI 100% 코드 생성과 3단계 품질 파이프라인

1단계: Claude Code 기반 AI 코드 리뷰어

풀 리퀘스트 단계에서 구조화된 체크리스트로 아키텍처 정합성, 보안 준수, 오류 처리, 테스트 커버리지, 문서 품질을 점검한다. 모든 기준을 통과하면 자동 머지하고, 미달 시 사람 개입을 요청한다. 이 리뷰어 자체도 Claude Code로 만든 AI라는 점이 중요하다. 즉, AI가 생성한 코드를 또 다른 AI가 체계적으로 검증하는 자기강화적 워크플로우다.

2단계: 표준 CI/CD 자동화

변경사항마다 단위·통합·E2E 테스트, 정적 분석, 린팅, 보안 점검이 자동 수행된다.

3단계: 사람의 최종 승인 — “AI는 코드를 쓰되, 배포하진 않는다”

자동화가 위험을 표기하거나 엔터프라이즈 정책상 승인이 필요한 경우 필수로 인간 리뷰가 개입한다. 내부 원칙은 명확하다. “AI는 코드를 작성하지만, 코드를 배포하지는 않는다.”

Cursor만 연결하면 될까: 거버넌스와 오케스트레이션의 차이

권한 상속이 주는 거버넌스 심도

Cursor 같은 일반 툴을 데이터 플랫폼에 그냥 연결하거나 MCP 서버로 노출하면 자연어 질의는 가능하지만, 플랫폼의 권한 체계를 상속받지 못해 API 키 권한 범위로 모든 질의가 실행된다. Treasure Code는 플랫폼의 접근제어·권한 레이어를 그대로 상속해, 사용자가 자연어로 할 수 있는 일의 범위를 기존 권한에 엄격히 묶는다.

AI Agent Foundry와의 오케스트레이션

Treasure Code는 Treasure Data의 AI Agent Foundry에 직접 연결되어 단건 작업을 넘어 서브에이전트와 스킬을 플랫폼 전반에서 조율한다. 그 결과 분석 실행뿐 아니라 옴니채널 활성화, 세분화, 리포팅까지 한 번에 오케스트레이션한다.

출시 후 드러난 균열과 교훈

예기치 않은 폭발적 채택과 컴플라이언스 공백

초기에는 고투마켓(GTM) 계획 없이 조용한 시범 운영을 기대했으나, 2주 만에 100곳이 넘는 고객과 약 1,000명의 사용자가 자발적으로 도입했다. 팀은 뒤늦게 GTM을 마련해야 했고, 제품이 사실상 라이브 상태여서 베타를 어떻게 운영할지 혼란이 컸다. 동시에 Trust AI 프로그램의 공식 인증을 마치기 전 고객 손에 들어가 컴플라이언스 공백도 생겼다.

비엔지니어 스킬 개발의 혼선

CSM과 어카운트 디렉터 등 비엔지니어에게 스킬 개발을 개방했지만, 승인·머지 기준이 명확하지 않아 반려되는 제출물이 쌓였고 저장소 접근 정책을 통과하지 못하는 백로그가 발생했다.

엔터프라이즈 채택 사례와 아직 비어 있는 조각

Thomson Reuters: 확장성과 유연성, 조달 장벽 해소

사내 에이전트 플랫폼 구축 속도가 더뎠던 Thomson Reuters는 Treasure Data의 AI Agent Foundry로 오디언스 세분화를 가속했고, Treasure Code로 맞춤화·반복 속도를 높였다. 확장성·유연성에 대한 호평과 함께, 이미 조달을 마친 상태여서 도입 장벽이 낮았다.

AI 성숙도 가이드의 부재

누가 언제 무엇부터 할지, 조직 내 숙련도별 접근을 어떻게 설계할지에 대한 ‘AI 성숙도 가이드’가 부족하다는 피드백이 있었다. “활용법까지 알려주는 AI”가 다음에 구축해야 할 의미 있는 레이어로 지목됐다.

에이전틱 코딩 거버넌스에서 얻은 실천적 시사점

거버넌스가 코드를 앞서야 한다

플랫폼 수준의 접근제어와 권한 상속이 있어야 AI가 자유롭게 코드를 생성해도 안전하다. 이 토대가 없으면 모든 산출물이 전수 인간 검토를 필요로 해 속도 이점이 사라진다.

사람만 의존하지 않는 품질 게이트를 구축하라

AI는 모든 PR을 일관되게, 피로 없이 검토하고 정책 준수를 체계적으로 확인한다. 인간 리뷰는 필수지만 초기·주요 품질 장치가 아니라 최종 점검이어야 한다.

자연발생적 채택을 전제로 준비하라

제품이 잘 작동하면 출시 전에라도 시장이 스스로 찾아낸다. 초기에는 내부 한정·통제된 릴리스를 택하고, GTM·컴플라이언스를 조기에 준비하며, 엔지니어링 외부에 문을 열기 전 승인·머지 기준을 명확히 하라.

결론적으로, 에이전틱 코딩 거버넌스가 속도를 ‘안전한 속도’로 바꾸는 핵심이며, Treasure Code 사례는 그 구조가 있을 때만 1시간짜리 기적이 지속 가능하다는 점을 보여준다.