200달러로 스타(Star)를 사서 벤처 캐피털에서 수백만 달러를 속여낸 사례: 깃허브(GitHub) 위조 스타 산업 전반 공개
저자: 클로드, TechFlow
TechFlow 서두: 카네기멜런대학교(CMU)의 동료 심사(peer-reviewed) 연구에 따르면, GitHub에는 약 600만 개의 가짜 스타(GitHub Star)가 존재하며, 이는 18,600개의 저장소와 30.1만 개의 계정을 포함한다. AI/LLM 관련 프로젝트는 비악의적 스타 조작 활동 중 가장 큰 범주로 나타났다. 스타 조작 시장에서는 단일 스타 가격이 최저 0.03달러까지 떨어졌으며, Redpoint 자료에 따르면 벤처캐피탈(VC)의 시드 라운드 투자 대상 프로젝트 평균 스타 수는 2,850개 — 즉, 200달러도 채 안 되는 금액으로 ‘시드 라운드 진입 기준’에 도달하는 허위 인기를 구매할 수 있다.
GitHub 스타(‘좋아요’)는 이제 정교하게 포장된 사기 행위로 전락하고 있다.
4월 13일 Awesome Agents가 발표한 조사 보고서에 따르면, GitHub 스타를 중심으로 한 성숙한 그레이존 산업이 이미 공공연히 운영되고 있다: 학술 논문이 문제 규모를 정량화했고, 10여 개 이상의 웹사이트가 스타를 공개적으로 판매하며, 벤처캐피탈은 스타 수를 직접 투자 후보 선정 기준으로 삼고 있다.
조사팀은 20개 저장소에 대해 독립 검증을 실시한 결과, 일부 프로젝트의 스타 중 36%에서 76%까지가 팔로워가 없는 계정에서 발생했으며, fork 대비 star 비율은 유기적 프로젝트의 기준치보다 10분의 1 이하로 낮았다.
본 보고서의 핵심 학술 근거는 CMU, 노스캐롤라이나주립대(NC State), 소켓(Socket)사가 공동 작성하여 ICSE 2026(국제 소프트웨어 공학 회의)에 발표한 동료 심사 논문이다. 연구진이 개발한 탐지 도구 StarScout은 20TB 규모의 GitHub 메타데이터(67억 건의 이벤트, 3.26억 개의 스타, 2019년부터 2024년까지 데이터 포함)를 분석해, 약 600만 개의 의심스러운 가짜 스타, 18,600개의 관련 저장소, 약 30.1만 개의 참여 계정을 식별했다.
600만 개의 가짜 스타: 2024년 폭증, AI 프로젝트가 가장 심각한 피해 지역
가짜 스타는 새로운 현상이 아니지만, 2024년에 규모 면에서 폭발적으로 증가했다. CMU 논문 자료에 따르면, 2022년 이전에는 매월 가짜 스타 활동과 연관된 저장소가 10개를 넘지 않았으나, 2024년 7월 정점에서는 3,216개 저장소와 30,779개 참여 계정으로 급등했다. 2024년 7월 기준, 스타 수가 50개 이상인 저장소 중 16.66%가 가짜 스타 활동에 연루된 바 있다.
연구진의 탐지 정확도는 GitHub 자체의 조치를 통해 간접적으로 검증되었다: StarScout이 표시한 저장소 중 90.42%가 삭제되었고, 표시된 계정 중 57.07%가 정리되었다.
가짜 스타 용도 분류에서 대부분은 단명형 피싱 악성코드 저장소 홍보에 사용되었다. 그러나 비악의적 범주에서는 AI 및 LLM 관련 프로젝트가 1위를 차지했으며, 총 가짜 스타 수는 17.7만 개로 블록체인/암호화폐 프로젝트를 넘어섰다. 논문은 이러한 프로젝트들 중 ‘많은 것들이 학술 논문 저장소이거나 LLM 관련 스타트업의 제품’이라고 지적했다. 더욱 중요한 사실은, 가짜 스타 활동이 확인된 저장소 78개가 GitHub Trending 페이지에 등재된 바 있으며, 이는 구매한 스타가 실제로 플랫폼 추천 알고리즘을 조작할 수 있음을 입증한다.
한 개 스타 최저 3센트: 공개 운영되는 스타 조작 시장
이것은 다크웹 거래가 아니다. 조사 보고서는 SocialPlug.io, Buy.fans, Boost-Like.store 등 최소 10여 개 웹사이트가 GitHub 스타를 공개적으로 판매하고 있음을 확인했다. Fiverr에는 현재 24개의 활성화된 스타 조작 서비스가 있으며, 기본 패키지 5달러부터 ‘유기적 홍보’ 상품 등 25달러 이상의 고급 옵션까지 다양하다.
가격은 세 단계로 나뉜다: 저가형(신규 일회성 계정)은 하나당 0.03~0.10달러, 중가형은 0.20~0.50달러, 고가형(오랜 기간 운영된 양성 계정)은 0.80~0.90달러이다. 고가형 서비스는 ‘스타 소멸 없음’과 30일 내 재보충 보장을 약속한다. SocialPlug은 누적 310만 개의 스타를 제공했으며, 5만 3,000명 이상의 고객에게 서비스를 제공했으며, 심지어 프로그래밍 방식의 대량 구매를 지원하는 API 인터페이스도 제공한다.
GithubStarMate.com 및 SafeStarExchange.com 같은 스타 교환 플랫폼은 적분제 기반의 상호 스타 교환 모델을 채택해, 사용자가 비용을 지불하지 않고도 스타를 교환할 수 있다. GitHub에는 fake-git-history, commit-bot 등 기여 이력 그래프를 위조하기 위한 오픈소스 도구가 최소 7개 존재한다. 5년간의 커밋 이력과 Arctic Code Vault 기여자 배지가 부여된 사전 제작 GitHub 계정은 텔레그램에서 약 5,000달러에 거래된다.
칭화대학이 2020년 수행한 연구는 중국 QQ 및 위챗 프로모션 그룹의 운영 방식을 기록했다: 1,020명 이상의 멤버가 속한 그룹이 하루 평균 약 20개 저장소의 스타 조작 작업을 처리하며, 연간 산업 수익은 340만~440만 달러로 추정된다.
VC가 스타를 투자 심사 기준으로 삼음: 200달러로 ‘시드 라운드 기준’ 달성 가능
스타 수와 투자 사이의 관계는 추측이 아니라, 벤처캐피탈 기관 스스로 공개적으로 인정한 사실이다.
레드포인트 벤처스(Redpoint Ventures) 파트너 조던 세걸(Jordan Segall)은 개발자 도구 기업 80곳을 분석한 결과, 시드 라운드 투자 시점의 GitHub 스타 수 중앙값이 2,850개, A 라운드 시점은 4,980개임을 밝혔다. 그는 명확히 “많은 VC가 스타 증가 속도가 빠른 GitHub 프로젝트를 찾기 위해 내부 크롤러 프로그램을 개발하며, 스타는 그들이 가장 자주 주목하는 지표”라고 언급했다.
이 숫자들은 스타트업에 정확한 ‘구매 목록’을 제시하는 셈이다. 저렴한 가짜 스타를 기준으로 계산하면, 85~285달러만으로도 2,850개의 스타를 조작해 시드 라운드 중앙값을 달성할 수 있고, 990~4,500달러를 투입하면 A 라운드 진입 기준을 충족시킬 수 있다. 일반적인 시드 라운드 투자 규모(100만~1,000만 달러)와 비교할 때, 투자 대비 수익률(ROI)은 3,500배에서 117,000배에 이른다.
루나 캐피털(Runa Capital)이 분기별로 발표하는 ROSS 지수(오픈소스 스타트업 순위)는 이러한 인센티브를 더욱 확대시킨다. TechCrunch 보도에 따르면, ROSS 지수 상위 기업 중 68%가 시드 라운드 단계에서 투자를 유치했으며, 추적된 총 투자금액은 1.69억 달러에 달한다. 조사 보고서의 독립 분석 결과, 2025년 2분기 ROSS 지수 1위를 차지한 유니온 랩스(Union Labs)(스타 수 54.2배 증가, 총 74,300개)는 심각한 스타 조작 혐의를 받고 있다: 32.7%의 스타는 저장소가 없는 계정에서, 52%는 팔로워가 없는 계정에서 발생했으며, StarScout은 전체 스타의 47.4%를 의심스러운 것으로 분류했다. 벤처캐피탈이 널리 인용하는 업계 순위의 정상에 오른 프로젝트의 거의 절반에 달하는 스타가 위조된 것이다.
실제 사례를 통해 스타 → 투자 전환 체인을 입증할 수도 있다: 로블(Lovable, 전 GPT Engineer)은 5만 개 이상의 스타를 기반으로 750만 달러 규모의 프리시드 라운드 투자를 유치했고, A 라운드 기업 가치는 18억 달러에 달했다. 브라우저-유즈(Browser-use)는 3개월 만에 5만 개의 스타를 확보한 후 1,700만 달러 규모의 시드 라운드 투자를 받았다. 판골린(Pangolin)은 단 1,000개의 스타로 Y 컴비네이터(Y Combinator)에 입주했으며, 8개월 만에 470만 달러 규모의 시드 라운드 투자를 완료했다.
GitHub의 집행 불균형: 저장소는 삭제하되 계정은 방치
GitHub의 ‘허용 가능한 사용 정책(Acceptable Use Policy)’은 명백히 ‘허위 상호작용’, ‘순위 조작’, 그리고 가짜 스타를 위한 2차 시장 형성을 금지하며, 특히 ‘암호화폐 에어드랍’을 유인 수단으로 한 스타 조작 행위도 특별히 금지하고 있다.
그러나 집행은 수동적이며 불균형적이다. GitHub은 StarScout이 표시한 저장소의 90.42%를 삭제했지만, 실행 계정은 57.07%만 정리했다. 가짜 스타 산업의 ‘노동력’ 대부분은 여전히 무사하다. 다그스터(Dagster)는 2023년 조사 보고서를 발표한 후 관련 가짜 스타 계정이 48시간 이내에 삭제되었으나, 이는 공개적으로 노출된 후의 반응일 뿐, 능동적 탐지에 의한 조치는 아니었다.
CMU 연구진은 GitHub이 원시 스타 수를 대체해 네트워크 중심성 기반의 가중 인기도 지표를 도입함으로써, 가짜 스타 경제를 구조적으로 해체할 것을 제안했다. 그러나 GitHub은 현재까지 이를 시행하지 않고 있다.
이는 자기 강화적 폐쇄 루프를 형성한다: VC가 스타를 신호로 활용 → 스타트업이 스타를 조작 → VC가 허위 열기를 관찰 → 더 많은 VC가 스타를 추적 기준으로 채택 → 더 많은 스타트업이 스타를 조작. 레드포인트가 공개한 기준치(시드 라운드 2,850개, A 라운드 4,980개)는 곧바로 스타트업에게 명확한 가격표가 된 셈이다.
조사 보고서의 한 논평자가 말한 대로: “스타 수는 위조할 수 있지만, 다른 사람의 주말을 구해주는 버그 수정은 위조할 수 없다.”
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
