GitHub 별점은 정말 실력의 증거일까, 가짜 스타 경제의 민낯

왜 지금 이 이야기가 중요한가

오픈소스 프로젝트를 평가할 때 우리가 가장 먼저 보는 게 뭔가요. 보통 GitHub 저장소의 별(Star) 개수부터 확인하잖아요. 채용 담당자도, 투자자도, 동료 개발자도 스타 수를 "이 프로젝트가 얼마나 신뢰받고 있는가"의 간편한 지표로 써요. 그런데 이번에 공개된 조사에 따르면, 이 숫자 자체가 점점 돈으로 살 수 있는 마케팅 수단으로 변질되고 있다고 해요. 이른바 "가짜 스타 경제(Fake Star Economy)"라고 부르는 현상인데요. 오픈소스의 신뢰 구조에 근본적인 질문을 던지는 내용이라 한 번쯤 짚어볼 가치가 있어요.

가짜 스타는 어떻게 만들어지나

조사에 따르면 텔레그램 채널, 다크웹 포럼, 심지어 Fiverr 같은 공개 프리랜서 마켓에서도 "GitHub 스타 1000개에 $50" 같은 상품이 팔리고 있다고 해요. 판매자들은 자동화된 봇 계정이나 저임금 국가의 클릭팜을 이용해서 실제 사용자인 것처럼 보이게 별을 찍어줘요. 단순히 숫자만 올리는 게 아니라, 계정 생성일을 분산시키고, 활동 이력을 약간씩 만들어 두고, 별을 찍는 타이밍을 며칠에 걸쳐 분산시키는 방식으로 탐지를 피해요.

이게 왜 문제냐면요, 가짜 스타가 붙은 저장소 중 상당수가 악성 의존성 패키지거나 암호화폐 스캠 프로젝트, 혹은 투자 라운드를 앞둔 스타트업의 "우리 오픈소스도 인기 있어요" 어필용이었다는 거예요. 특히 AI 에이전트 분야처럼 최근 핫한 키워드에 집중되어 있는데, 하루이틀 사이에 스타가 몇천 개씩 폭증하는 저장소 중 눈에 띄는 비율이 이런 조작의 흔적을 가지고 있었다고 해요.

GitHub는 어떻게 대응하고 있나

GitHub 측은 내부적으로 이상 스타 패턴 탐지 시스템을 운영하고 있고, 명백히 봇으로 판단되는 경우 스타를 제거하거나 계정을 정지시키긴 해요. 실제로 2024년부터 주기적으로 수만 개 단위의 가짜 스타를 일괄 삭제한 이력도 있어요. 그런데 탐지는 보통 사후적이라, 채용이나 투자 결정이 이미 그 숫자를 보고 내려진 이후에야 정리되는 경우가 많아요.

비슷한 문제는 npm 다운로드 수, PyPI 패키지 조회수에도 있어요. 숫자 기반 신뢰 지표가 쉬울수록, 조작 인센티브도 커지는 구조적인 문제거든요. Sigstore 같은 서명 기반 신뢰 체계나, OpenSSF Scorecard처럼 유지보수 활동의 질을 다차원으로 평가하는 지표가 대안으로 떠오르는 것도 이런 배경이에요.

스타 말고 뭘 봐야 하나

오픈소스를 평가할 때 실제로 유의미한 신호는 다음과 같은 것들이에요. 첫째, 최근 커밋 활동과 릴리스 주기. 별은 살 수 있어도 꾸준한 릴리스 노트는 위조하기 어렵거든요. 둘째, 이슈와 PR에 대한 메인테이너의 응답 품질. 질문에 며칠씩 정성스러운 답이 달리는 저장소는 진짜예요. 셋째, 기여자 수와 기여 분포. 한 사람이 99% 커밋하는 저장소보다, 수십 명이 고르게 기여하는 쪽이 건강해요. 넷째, 다른 프로젝트의 의존성 그래프. 실제 유명 프로젝트들이 의존하고 있다면 그것이 가장 강력한 신뢰 증거예요.

한국 개발자에게 주는 시사점

국내에서도 채용 포트폴리오에 GitHub 스타 수를 강조하거나, 개인 프로젝트가 "트렌딩에 올랐다"를 브랜딩 소재로 쓰는 분들이 많아요. 전략 자체가 나쁘진 않지만, 받는 쪽도 보는 쪽도 이 숫자가 조작이 가능한 지표라는 걸 인식하는 게 중요해요. 채용 담당자라면 지원자의 저장소에서 실제 코드를 한 번 읽어보고, 커밋 히스토리의 일관성을 확인하세요. 도구를 고르는 개발자라면 스타 수보다 이슈 트래커의 분위기를 먼저 보세요. 사내 기술 선정 회의에서 "이거 스타 많아요" 대신 "메인테이너가 최근 6개월 안에 이슈에 답하고 있어요"라고 말할 수 있는 문화가 훨씬 건강해요.

마무리

숫자는 쉽지만, 신뢰는 어려워요. 가짜 스타 경제는 오픈소스의 평판 시스템이 얼마나 얇은 유리 위에 서 있는지를 보여주는 사건이에요. 여러분은 오픈소스 라이브러리를 도입할 때 어떤 기준으로 신뢰를 판단하시나요? 스타 수 말고 여러분만의 체크리스트가 있다면 함께 나눠 주세요.