AI 시대에 코드 리뷰, 어떻게 해야할까?

• 15년차 CTO 경험에서 시작해 AI 시대 코드 리뷰 담론을 정-반-합으로 정리한 에세이
• 코드 리뷰는 항상 문제였다 — 시간, 사람, 프로세스 전부 부족
• AI가 코드 생산량을 폭증시켰지만 리뷰 역량은 그대로 → 병목이 더 커짐

정 — 인간 리뷰 필수론

• Simon Willison: "검토하지 않은 코드를 협업자에게 떠넘기지 마라"
• Kent Beck: 생성 비용이 0에 가까워질수록, 가치는 생성이 아니라 검증으로 이동
• Addy Osmani: "미해결 문제는 생성이 아니라 검증"
• AI가 아무리 잘해도 책임은 사람에게 → 검증해야 → 리뷰해야

반 — 사람 리뷰 시대 종료론

• Bryan Finster: 나이퀴스트-섀넌 정리 적용 — 생산 주파수만 높이고 피드백 주파수는 그대로면 체계적으로 놓침
• SmartBear 데이터: 400줄 넘으면 결함 감지율 급락, AI 한 번에 600줄 생성
• StrongDM "소프트웨어 팩토리": 인간이 코드 안 쓰고 안 읽음. 의도 정의 + 시나리오 큐레이션만
• Stanford CodeX: "에이전트가 만들고 테스트하면, 누가 믿을 수 있는가?"
• Salesforce Prizm: diff 중심 리뷰 모델 자체가 AI 시대에 작동 안 함 → 의도 재구성

합 — 무엇을 리뷰해야 하는가

• latent.space: 코드 리뷰 → 의도 리뷰(Intent Review)로 전환
• 스펙이 진실의 원천, 코드는 산출물
• 신뢰를 5겹 레이어로 쌓기 (스위스 치즈 모델)
• Qodo 패턴: 컨텍스트 우선, 심각도 기반, 전문가 에이전트 리뷰
• Bryan Finster: 인간 블로킹은 부족 지식 + 규제 경로 두 가지뿐

나가며

• 저자는 AI 코드를 직접 리뷰하지 않음 → QA 역할로 전환
• AI 네이티브 엔지니어 = 이전 시대 PM 역할을 스스로 해야
• "당신은 당신의 코드에 책임을 질 수 있는가?"