본문으로 건너뛰기
J
피드

GitHub 가짜 스타 경제 해부 — $0.06짜리 스타가 어떻게 수백만 달러 투자로 바뀌는가

open-source 약 10분
tags
#github#open-source#venture-capital#metrics#security
vote
0
댓글
북마크

CMU·NC State·Socket 공동 연구팀이 GitHub 메타데이터 20TB를 분석해 가짜 스타 약 600만 개, 리포 18,617개를 탐지했다. 2024년 7월 기준 스타 50개 이상 리포의 16.66%가 조작에 연루됐고, VC가 시드·시리즈 A 판단에 스타 수를 쓰는 관행 때문에 ROI 최대 117,000배짜리 조작 시장이 형성됐다. 포크/스타 비율이 가장 강력한 탐지 지표다.

  • 1

    스타 1개 $0.06부터, 프리미엄 숙성 계정은 $0.90, 5년 커밋 히스토리 프로필은 $5,000

  • 2

    StarScout 연구에서 가짜 스타 600만 개·리포 18,617개·계정 30.1만 개 탐지

  • 3

    GitHub Trending에 올라간 78개 리포에서 조작 확인 — 디스커버리 알고리즘도 뚫림

  • 4

    Redpoint 벤치마크 시드 2,850 / 시리즈 A 4,980 스타 → 예산 스타로 $85~$4,500에 복제 가능

  • 5

    포크/스타 비율 0.05 미만 + 스타 1만 이상이면 의심 신호

  • 6

    FTC Consumer Review Rule 2024년 10월 발효 — 위반 건당 최대 $53,088 벌금

  • 7

    GitHub는 플래그된 리포 90% 삭제했지만 스타 납품 계정은 57%만 삭제

GitHub 스타 한 개 = $0.06, 시드 라운드 = $1M~$10M — 계산기 뚜드려보면 답이 나옴

  • CMU + NC State + Socket 공동 연구팀이 2019~2024년 GitHub 메타데이터 20TB(이벤트 67억 건, 스타 3.26억 개)를 분석해서 찾아낸 숫자
    • 가짜 스타 약 600만 개, 리포 18,617개, 계정 30.1만 개
    • 2024년 7월 기준 스타 50개 이상 리포의 16.66%가 가짜 스타 캠페인에 연루 — 2022년 전까진 거의 0%였음
    • 탐지된 리포 중 90.42%가 2025년 1월까지 삭제됨 → GitHub도 가짜로 인정한 셈
  • GitHub Trending에 올라간 78개 리포에서 가짜 스타 캠페인이 확인됨 — 구매 스타로 디스커버리 알고리즘을 뚫었다는 뜻

시장 가격표

  • 사이트 12개 이상이 대놓고 스타 판매 중 (SocialPlug, Buy.fans, GitHubPromoter 등)
    • 저가 (일회용 계정): $0.03~$0.10 / 며칠 / 빈 프로필
    • 중간: $0.20~$0.50 / 1~2주 / 약간의 활동 이력
    • 프리미엄 (숙성 계정): $0.80~$0.90 / 점진 배송 / 수년 된 프로필에 리포와 커밋 있음
  • Fiverr에선 GitHub 프로모션 서비스 24개, $5부터 시작
  • 별도로 5년치 커밋 히스토리 + Arctic Code Vault 뱃지까지 달린 완성형 프로필이 Telegram에서 약 $5,000에 거래됨
  • SocialPlug는 고객 53,000명에게 310만 개 스타 납품 주장 + API까지 제공

가짜 스타 계정의 지문

  • 탐지 팀이 리포 20개에서 스타거 150명씩 샘플링해 계정 연식·리포 수·팔로워·바이오 검사
  • 정상 베이스라인 (Flask, LangChain, AutoGPT)
    • 계정 중간값 연식: 2,967~4,801일
    • 공개 리포 0개 비율: 2~6%
    • 팔로워 0명 비율: 6~12%
    • 유령 계정: ~1%
  • 블록체인 클러스터 (Union Labs, Shardeum, FreeDomain, Anoma)
    • 계정 중간값 연식: 997~1,180일 (단순 "신규 계정 필터"로는 못 잡게 숙성됨)
    • 공개 리포 0개: 28~38%
    • 팔로워 0명: 52~81%
    • 유령 계정: 19~29%
  • 가장 강력한 단일 지표는 포크/스타 비율
    • Flask: 0.235 (스타 1,000당 포크 235개)
    • Shardeum: 0.022, FreeDomain: 0.017
    • "아무도 포크 안 하는 15.7만 스타 리포 = 아무도 실제로 안 씀"

💡

> 포크/스타 비율이 0.05 미만이면서 스타가 10,000개를 넘으면 의심해봐야 함. 와처/스타 비율까지 보면 더 확실함 (정상 0.005~0.030, FreeDomain은 0.001).

AI 섹터에서도 터짐

  • openai-fm: 가장 극단 케이스 — 의심 계정 66%, 유령 36%, 계정 중간값 연식 116일. 서드파티 봇으로 추정 (OpenAI 본체 아님)
  • RagaAI-Catalyst: 팔로워 0명 76.2%, 유령 28% — 블록체인 패턴과 판박이
  • Langflow: StarScout가 47.9% 가짜 스타로 플래그 — 최근 프로필 샘플은 정리된 상태지만 포크/스타 비율 0.060으로 여전히 낮음
  • Union Labs는 Runa Capital의 ROSS Index에서 Q2 2025 1위였는데 StarScout이 47.4% 가짜로 플래그 — VC가 참고하는 대표 리포트가 오염된 셈

스타는 어떻게 돈이 되는가

  • Redpoint Ventures의 Jordan Segall이 개발자 도구 스타트업 80개 분석 결과를 공개
    • 시드 라운드 중간값: 스타 2,850개
    • 시리즈 A 중간값: 스타 4,980개
    • 그의 말: "많은 VC가 스타 빠르게 느는 프로젝트 자동 스크래핑 돌림"
  • 예산 스타로 목표 달성 시
    • 시드 2,850개: $85~$285
    • 시리즈 A 4,980개: $990~$4,500
    • 일반 시드 규모 $1M~$10M 대비 ROI 3,500x~117,000x
  • 실제 케이스
    • Lovable (GPT Engineer): 5만 스타 → 프리시드 $7.5M → 시리즈 A $200M (기업가치 $18억)
    • Browser-use: 3개월 만에 5만 스타 → YC W25 → 시드 $17M
    • Pangolin: 2025년 1월 스타 1,000개 → YC → 8월에 시드 $4.7M

⚠️주의

> FTC Consumer Review Rule(2024년 10월 발효)은 "봇·가짜 계정이 만든 가짜 영향력 지표"의 매매를 명시적으로 금지. 위반 시 건당 최대 $53,088. 2025년 12월 첫 경고 서한 10곳에 발송됨. 가짜 스타로 투자자 오도 시 HeadSpin CEO 사례(최대 징역 20년)처럼 연방 전선 사기 적용 가능성이 열려있음.

GitHub는 뭐 하고 있나

  • 정책상으로는 "비인증 활동", "랭크 남용", "2차 시장 참여" 전부 금지 명시 — 암호화폐 에어드롭용 스타까지 콕 집어 금지
  • 그런데 대응은 반응형 + 비대칭적
    • 플래그된 리포 90.42% 삭제 vs 스타 납품 계정은 57.07%만 삭제
    • → 가짜 스타 "노동력"은 그대로 남겨놓은 꼴
  • GitHub는 탐지 방법이나 집행 통계 공개 안 함, 투명성 보고서 없음
  • CMU 연구팀이 권고한 네트워크 중심성 기반 가중치 스타 지표는 아직 미구현

대안 지표

  • Bessemer는 스타를 "허영 지표"로 규정, 대신 월간 고유 기여자 추적 (이슈·코멘트·PR·커밋 중 하나라도)
    • 상위 1만 프로젝트 중 월 250명 이상 유지: 5% 미만
    • 6개월 연속 유지: 2%
  • Jono Bacon의 5가지 지표: 패키지 다운로드, 이슈 품질, 기여자 리텐션(2번째 PR까지 시간), 커뮤니티 논의 깊이, 사용 텔레메트리
  • 기사 인용: "스타는 위조 가능하지만, 누군가의 주말을 구한 버그 픽스는 위조 못 함"

기술 맥락

포크/스타 비율이 왜 결정적 지표인가 스타는 누르면 끝, 비용도 감정 노동도 0이에요. 반면 포크는 코드를 내 계정으로 복제해서 실제로 쓰거나 수정해보겠다는 의사 표현이라 진짜 사용자가 아니면 거의 안 해요. 그래서 정상적인 개발자 커뮤니티에선 스타 1,000개당 포크 100~200개 정도가 자연스럽게 나오고, 이 비율이 0.05 아래로 떨어지면 스타는 샀지만 쓰는 사람은 없다는 시그널로 읽을 수 있어요.

왜 블록체인/AI 섹터가 유난히 취약한가 토큰 가격이 제품 품질보다 중요하게 작동하는 구조, 해외 봇 계정 양산에 친화적인 익명성, X/Twitter에서 LLM으로 생성된 페르소나 리뷰어들까지 겹치면서 "인공적 신뢰도" 만들기가 가성비 좋은 전략이 되거든요. ROSS Index 같은 VC 소싱 지표까지 오염되면 이게 자기강화 루프로 굳어져요.

"숙성 계정" 시장이 필터를 어떻게 뚫는가 예전엔 "계정 생성 6개월 미만 거르기" 같은 단순 필터로 잡혔는데, 이제는 3년 된 계정이 $0.90에 팔려요. 단순 연식 필터는 무력화됐고, 팔로워·리포·기여도를 종합적으로 봐야만 유령 계정임이 드러나요. 기사에서 제안한 네트워크 중심성 지표가 먹히는 이유가 여기에 있어요.

FTC 룰이 GitHub 스타에 적용되는 근거 2024년 10월 발효된 FTC Consumer Review Rule은 "소셜 영향력 지표를 봇/가짜 계정으로 조작하는 행위"를 정조준하는데, GitHub 스타도 "상업적 목적의 영향력 지표"에 해당한다고 해석될 여지가 충분해요. 아직 GitHub 스타 건으로 기소된 사례는 없지만, HeadSpin CEO가 지표 조작으로 연방 전선 사기 기소된 전례가 있어서 VC 라운드에 스타 수치를 제출했다면 법적 리스크가 생길 수 있어요.

VC가 소싱 지표로 스타를 쓰는 한 조작 ROI가 3,500배를 넘어가므로 시장은 사라지지 않는다. Bessemer식 월간 고유 기여자, 포크/스타 비율, 와처/스타 비율 같은 대체 지표가 표준이 되기 전까진 오픈소스 신뢰 인프라 자체가 갉아먹히는 중.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

open-source

MySQL부터 MongoDB까지, 오픈소스가 데이터베이스 판을 바꾼 30년

이 글은 MySQL, MariaDB, PostgreSQL, SQLite, MongoDB, Hadoop을 따라가며 데이터베이스 세계에서 오픈소스가 어떻게 표준이 되고 상업화의 대상이 됐는지 풀어낸다. 무료 코드가 스타트업과 빅데이터 생태계를 키웠지만, 동시에 인수, 라이선스, 클라우드 흡수 같은 현실적인 긴장도 만들었다는 얘기야.

open-source

UCLA가 3천 달러짜리 오픈소스 로봇 손 ‘마이다스 핸드’를 공개

UCLA 로봇연구소 RoMeLa가 로봇 조작과 AI 학습 연구용 오픈소스 로봇 손 MIDAS Hand를 공개했어. 13개 능동 자유도, 3개 수동 자유도, 283개 3축 촉각센서, 약 3,000달러 부품 원가를 내세워 고성능 로봇 손 연구의 접근성을 낮추려는 프로젝트야.

open-source

러스트로 다시 만든 로컬 코딩 에이전트 ‘파이’, 자동화까지 노린다

파이는 기존 pi 코딩 에이전트를 러스트로 다시 만든 터미널 기반 AI 코딩 에이전트다. 프로젝트 안에서 파일을 읽고 수정하고, 셸 명령을 실행하고, 세션을 이어가며, 로컬 모델과 여러 모델 제공자를 쓸 수 있다. 단순 채팅 UI가 아니라 트리거, 크론, MCP 알림, 에이전트 간 허브 메시징까지 넣은 로컬 에이전트 런타임을 지향한다.

open-source

윈도우 95 시절 쉘 API로 만든 명령줄 도구, WinUtils 회고

글쓴이가 1996~1997년에 만든 WinUtils는 윈도우 95의 쉘 API를 감싼 얇은 명령줄 도구 모음이었다. 직접 파일 입출력을 구현하는 대신 탐색기와 같은 복사, 이동, 삭제, 휴지통, 확인창 동작을 그대로 활용한 점이 핵심이다.

open-source

Paseo, 여러 코딩 에이전트를 한 화면에서 돌리는 오픈소스 인터페이스 공개

Paseo는 Claude Code, Codex, Copilot, OpenCode, Pi 같은 코딩 에이전트를 한 인터페이스에서 실행하고 관리하는 오픈소스 도구다. 로컬 daemon이 에이전트 프로세스를 관리하고, 데스크톱·모바일·웹·CLI 클라이언트가 여기에 연결되는 구조라 자기 개발 환경 위에서 병렬 작업을 돌릴 수 있다.