GitHub 가짜 스타 경제 해부 — $0.06짜리 스타가 어떻게 수백만 달러 투자로 바뀌는가

GitHub 스타 한 개 = $0.06, 시드 라운드 = $1M~$10M — 계산기 뚜드려보면 답이 나옴

• CMU + NC State + Socket 공동 연구팀이 2019~2024년 GitHub 메타데이터 20TB(이벤트 67억 건, 스타 3.26억 개)를 분석해서 찾아낸 숫자
  • 가짜 스타 약 600만 개, 리포 18,617개, 계정 30.1만 개
  • 2024년 7월 기준 스타 50개 이상 리포의 16.66%가 가짜 스타 캠페인에 연루 — 2022년 전까진 거의 0%였음
  • 탐지된 리포 중 90.42%가 2025년 1월까지 삭제됨 → GitHub도 가짜로 인정한 셈
• GitHub Trending에 올라간 78개 리포에서 가짜 스타 캠페인이 확인됨 — 구매 스타로 디스커버리 알고리즘을 뚫었다는 뜻

시장 가격표

• 사이트 12개 이상이 대놓고 스타 판매 중 (SocialPlug, Buy.fans, GitHubPromoter 등)
  • 저가 (일회용 계정): $0.03~$0.10 / 며칠 / 빈 프로필
  • 중간: $0.20~$0.50 / 1~2주 / 약간의 활동 이력
  • 프리미엄 (숙성 계정): $0.80~$0.90 / 점진 배송 / 수년 된 프로필에 리포와 커밋 있음
• Fiverr에선 GitHub 프로모션 서비스 24개, $5부터 시작
• 별도로 5년치 커밋 히스토리 + Arctic Code Vault 뱃지까지 달린 완성형 프로필이 Telegram에서 약 $5,000에 거래됨
• SocialPlug는 고객 53,000명에게 310만 개 스타 납품 주장 + API까지 제공

가짜 스타 계정의 지문

• 탐지 팀이 리포 20개에서 스타거 150명씩 샘플링해 계정 연식·리포 수·팔로워·바이오 검사
• 정상 베이스라인 (Flask, LangChain, AutoGPT)
  • 계정 중간값 연식: 2,967~4,801일
  • 공개 리포 0개 비율: 2~6%
  • 팔로워 0명 비율: 6~12%
  • 유령 계정: ~1%
• 블록체인 클러스터 (Union Labs, Shardeum, FreeDomain, Anoma)
  • 계정 중간값 연식: 997~1,180일 (단순 "신규 계정 필터"로는 못 잡게 숙성됨)
  • 공개 리포 0개: 28~38%
  • 팔로워 0명: 52~81%
  • 유령 계정: 19~29%
• 가장 강력한 단일 지표는 포크/스타 비율
  • Flask: 0.235 (스타 1,000당 포크 235개)
  • Shardeum: 0.022, FreeDomain: 0.017
  • "아무도 포크 안 하는 15.7만 스타 리포 = 아무도 실제로 안 씀"

AI 섹터에서도 터짐

• openai-fm: 가장 극단 케이스 — 의심 계정 66%, 유령 36%, 계정 중간값 연식 116일. 서드파티 봇으로 추정 (OpenAI 본체 아님)
• RagaAI-Catalyst: 팔로워 0명 76.2%, 유령 28% — 블록체인 패턴과 판박이
• Langflow: StarScout가 47.9% 가짜 스타로 플래그 — 최근 프로필 샘플은 정리된 상태지만 포크/스타 비율 0.060으로 여전히 낮음
• Union Labs는 Runa Capital의 ROSS Index에서 Q2 2025 1위였는데 StarScout이 47.4% 가짜로 플래그 — VC가 참고하는 대표 리포트가 오염된 셈

스타는 어떻게 돈이 되는가

• Redpoint Ventures의 Jordan Segall이 개발자 도구 스타트업 80개 분석 결과를 공개
  • 시드 라운드 중간값: 스타 2,850개
  • 시리즈 A 중간값: 스타 4,980개
  • 그의 말: "많은 VC가 스타 빠르게 느는 프로젝트 자동 스크래핑 돌림"
• 예산 스타로 목표 달성 시
  • 시드 2,850개: $85~$285
  • 시리즈 A 4,980개: $990~$4,500
  • 일반 시드 규모 $1M~$10M 대비 ROI 3,500x~117,000x
• 실제 케이스
  • Lovable (GPT Engineer): 5만 스타 → 프리시드 $7.5M → 시리즈 A $200M (기업가치 $18억)
  • Browser-use: 3개월 만에 5만 스타 → YC W25 → 시드 $17M
  • Pangolin: 2025년 1월 스타 1,000개 → YC → 8월에 시드 $4.7M

GitHub는 뭐 하고 있나

• 정책상으로는 "비인증 활동", "랭크 남용", "2차 시장 참여" 전부 금지 명시 — 암호화폐 에어드롭용 스타까지 콕 집어 금지
• 그런데 대응은 반응형 + 비대칭적
  • 플래그된 리포 90.42% 삭제 vs 스타 납품 계정은 57.07%만 삭제
  • → 가짜 스타 "노동력"은 그대로 남겨놓은 꼴
• GitHub는 탐지 방법이나 집행 통계 공개 안 함, 투명성 보고서 없음
• CMU 연구팀이 권고한 네트워크 중심성 기반 가중치 스타 지표는 아직 미구현

대안 지표

• Bessemer는 스타를 "허영 지표"로 규정, 대신 월간 고유 기여자 추적 (이슈·코멘트·PR·커밋 중 하나라도)
  • 상위 1만 프로젝트 중 월 250명 이상 유지: 5% 미만
  • 6개월 연속 유지: 2%
• Jono Bacon의 5가지 지표: 패키지 다운로드, 이슈 품질, 기여자 리텐션(2번째 PR까지 시간), 커뮤니티 논의 깊이, 사용 텔레메트리
• 기사 인용: "스타는 위조 가능하지만, 누군가의 주말을 구한 버그 픽스는 위조 못 함"

---

기술 맥락

포크/스타 비율이 왜 결정적 지표인가 스타는 누르면 끝, 비용도 감정 노동도 0이에요. 반면 포크는 코드를 내 계정으로 복제해서 실제로 쓰거나 수정해보겠다는 의사 표현이라 진짜 사용자가 아니면 거의 안 해요. 그래서 정상적인 개발자 커뮤니티에선 스타 1,000개당 포크 100~200개 정도가 자연스럽게 나오고, 이 비율이 0.05 아래로 떨어지면 스타는 샀지만 쓰는 사람은 없다는 시그널로 읽을 수 있어요.

왜 블록체인/AI 섹터가 유난히 취약한가 토큰 가격이 제품 품질보다 중요하게 작동하는 구조, 해외 봇 계정 양산에 친화적인 익명성, X/Twitter에서 LLM으로 생성된 페르소나 리뷰어들까지 겹치면서 "인공적 신뢰도" 만들기가 가성비 좋은 전략이 되거든요. ROSS Index 같은 VC 소싱 지표까지 오염되면 이게 자기강화 루프로 굳어져요.

"숙성 계정" 시장이 필터를 어떻게 뚫는가 예전엔 "계정 생성 6개월 미만 거르기" 같은 단순 필터로 잡혔는데, 이제는 3년 된 계정이 $0.90에 팔려요. 단순 연식 필터는 무력화됐고, 팔로워·리포·기여도를 종합적으로 봐야만 유령 계정임이 드러나요. 기사에서 제안한 네트워크 중심성 지표가 먹히는 이유가 여기에 있어요.

FTC 룰이 GitHub 스타에 적용되는 근거 2024년 10월 발효된 FTC Consumer Review Rule은 "소셜 영향력 지표를 봇/가짜 계정으로 조작하는 행위"를 정조준하는데, GitHub 스타도 "상업적 목적의 영향력 지표"에 해당한다고 해석될 여지가 충분해요. 아직 GitHub 스타 건으로 기소된 사례는 없지만, HeadSpin CEO가 지표 조작으로 연방 전선 사기 기소된 전례가 있어서 VC 라운드에 스타 수치를 제출했다면 법적 리스크가 생길 수 있어요.