쉽게 배우는 Claude Code ⑱ /review·/security-review — PR 깊게 보기, 보안 점검

코드를 짜는 시간만큼이나 코드를 읽는 시간도 많습니다. 동료가 올린 PR을 꼼꼼히 살펴봐야 할 때도 있고, 로그인이나 결제처럼 한번 잘못되면 큰일 나는 코드를 머지하기 전에 마지막으로 점검해야 할 때도 있죠.

이번 편에서는 그 두 가지 상황을 도와주는 명령어 /review와 /security-review를 다룹니다. 둘 다 공통점이 하나 있는데, 코드를 바꾸지 않는 ‘읽기 전용’ 이라는 점입니다. 고치지 않고, 짚어만 줍니다.

한 줄로

둘 다 코드를 직접 바꾸거나 푸시하지 않고, 위험과 개선점을 짚어주기만 합니다.

리뷰어로 지정됐는데 변경이 많아서 어디부터 봐야 할지 막막한 상황. 이럴 때 /review에 PR을 넘기면, 코드를 깊게 읽고 무엇이 바뀌었는지, 어디가 걸리는지 정리해 줍니다. 코드를 건드리지 않으니 안심하고 돌려도 됩니다.

/review 123

로그인, 결제, 권한 처리처럼 한번 뚫리면 피해가 큰 코드를 머지하기 직전. /security-review는 대기 중인 diff를 보안 관점에서 훑어보고 인젝션, 인증·인가 허점, 데이터 유출 가능성 같은 위험을 짚어줍니다.

/security-review

이건 /review가 아니라 (기초편에서 다룬) /code-review의 영역입니다. 검토에서 그치지 않고 바로 고치고 싶다면:

/code-review --fix

/review는 PR 번호(또는 식별자)를 인자로 받아 해당 변경을 깊게 읽습니다. 인자를 주지 않으면 현재 변경을 대상으로 삼습니다. 핵심은 읽기 전용이라는 점 — 코드를 수정하거나 푸시하지 않고, 검토 결과만 알려줍니다.

/security-review는 인자 없이 현재 대기 중인 변경(diff)을 보안 관점으로 분석합니다. 인젝션, 인증·인가 문제, 데이터 유출처럼 보안에서 흔히 새는 지점을 우선해서 봅니다. 역시 읽기 전용이라 직접 고치지는 않고 위험을 진단해 줍니다.

두 명령 모두 “고쳐줘”가 아니라 “봐줘”에 가깝습니다. 결과를 보고 어떻게 대응할지는 사람이 정합니다.

가장 헷갈리는 건 이름이 비슷한 세 명령어의 차이입니다. 표로 정리합니다.

/review와 /security-review는 읽기 전용입니다. 코드를 바꾸지 않습니다. 자동 수정까지 원하면 /code-review --fix를 쓰세요.
보안 점검은 자동 도구가 모든 걸 잡지는 못합니다. 민감한 부분은 사람 검토와 반드시 병행하세요. /security-review가 깨끗하다고 해서 안전이 보장되는 건 아닙니다.
정리하면 — 꼼꼼히 읽고 싶다면 /review, 보안이 걱정된다면 /security-review, 버그를 바로 고치고 싶다면 /code-review --fix.

/review와 /security-review는 읽기 전용 진단, /code-review는 고칠 수 있는 리뷰. 이 한 줄만 기억하면 됩니다.

이렇게 기초 8편 + 심화 10편으로 ‘Claude Code 명령어’ 시리즈를 마칩니다.