Tailwind CSS 수익 80% 급감, Vibe Coding이 오픈소스를 죽이고 있다
다운로드는 역대 최고인데 메인테이너는 빈털터리
Tailwind CSS를 아실 겁니다. 프론트엔드 개발자라면 한 번쯤 써봤을 유틸리티 CSS 프레임워크인데요. npm 다운로드 수는 2026년 들어서도 꾸준히 올라가고 있습니다. 근데 창시자 Adam Wathane이 공개한 숫자가 충격적이에요. 문서 사이트 트래픽이 2023년 초 대비 40% 감소했고, 수익은 무려 80% 급감했거든요.
사용자는 늘었는데 수익이 줄었다는 게 모순처럼 보이지만, 이유는 간단합니다. AI가 문서를 대신 읽기 시작한 거죠. 개발자가 Tailwind 클래스를 직접 찾아보는 대신 Claude나 Copilot에게 "이 레이아웃 Tailwind로 짜줘"라고 시키면, 문서 사이트 방문 자체가 사라집니다. 광고 수익, 프리미엄 튜토리얼 판매, 스폰서 트래픽 전부 문서 방문에 의존하는 구조였거든요.
논문 한 편이 업계를 뒤집은 이유
올해 1월 Central European University와 Kiel Institute 연구팀이 arXiv에 올린 'Vibe Coding Kills Open Source'라는 논문이 한 달 만에 업계 전체로 퍼졌습니다. 핵심 주장은 이겁니다. Vibe Coding이 개발 생산성을 높이는 건 맞지만, 오픈소스 메인테이너의 수익 메커니즘을 동시에 파괴한다는 거죠.
오픈소스 프로젝트 대부분은 직접적인 코드 판매가 아니라 사용자 참여로 수익을 만듭니다. 문서 방문, 버그 리포트, 커뮤니티 기여, 스폰서십이 전부 사람이 직접 와서 봐야 성립하는 구조인데요. AI 에이전트가 패키지 선택부터 사용까지 대신 처리하면 이 참여 루프가 끊깁니다. Stack Overflow도 ChatGPT 출시 6개월 만에 활동량이 25% 감소했거든요.
논문 저자들이 제시한 해법 중 하나가 흥미롭습니다. 'Spotify for Open Source' 모델인데요, AI 플랫폼이 구독 수익의 일부를 패키지 사용량 기반으로 메인테이너에게 분배하는 방식이에요. 근데 솔직히 말하면 이게 실현되려면 OpenAI, Anthropic, Google이 자발적으로 동의해야 하는데, 현재로선 누구도 먼저 움직일 인센티브가 없습니다.
AI가 만든 코드, 작동은 하는데 안전하지가 않다
오픈소스 생태계 위기만으로도 심각한데, 보안 쪽은 더 암울합니다. 보안 회사 Tenzai가 AI 코딩 도구 5개(Copilot, Cursor, Claude Code, Codeium, Windsurf)로 동일한 앱 3개씩 총 15개를 만들어 테스트했더니 69개의 보안 취약점이 발견됐습니다. 가장 충격적인 건 5개 도구 전부에서 SSRF(Server-Side Request Forgery) 취약점이 나왔다는 점이에요.
Carnegie Mellon 연구 결과는 이 문제의 본질을 보여줍니다. AI가 생성한 코드의 61%는 기능적으로 정상 작동하지만, 보안을 통과한 건 10.5%에 불과했거든요. '작동한다'와 '안전하다'는 완전히 다른 문제인 겁니다. Veracode 데이터에서도 AI 생성 코드의 보안 통과율이 55%에 머물러 있고, Snyk은 AI 도구 사용 후 개발자 1인당 실제 취약점이 2~10배 늘었다고 보고했습니다.
Moltbook 사건이 보여준 최악의 시나리오
이론적 경고가 현실이 된 사건이 올해 2월에 터졌습니다. AI 에이전트용 소셜네트워크 Moltbook에서 150만 개 인증 토큰, 3만 5천 개 이메일 주소, 에이전트 간 비공개 메시지가 통째로 유출됐거든요. 보안 회사 Wiz가 발견했는데, 잘못 설정된 데이터베이스가 읽기·쓰기 권한 모두 열려 있었습니다.
이 사건이 특별한 이유가 있습니다. Moltbook 창업자가 공개적으로 "코드를 한 줄도 직접 작성하지 않았다"고 밝혔거든요. 전체 플랫폼이 Vibe Coding만으로 만들어진 건데, 사실 프로토타이핑까지는 문제가 아닙니다. 문제는 이걸 그대로 프로덕션에 올리고 사용자 데이터를 받기 시작한 시점이에요. 인증 토큰 관리, 데이터베이스 접근 제어, 네트워크 설정 같은 보안 기본기를 AI가 빠뜨렸고 사람이 검토하지 않은 겁니다.
근데 하버드는 왜 Vibe Coding을 가르치기 시작했을까
같은 시기에 하버드 교육대학원의 Karen Brennan 교수가 6주짜리 Vibe Coding 과정을 개설했습니다. 보안 재앙이 터지는 와중에 아이비리그가 이걸 가르친다니 모순처럼 보이는데요, 핵심 메시지가 달랐습니다. "코딩 없이 창작하는 법"이 아니라 "AI와 함께 만들 때 뭘 알아야 하는가"를 가르치는 과정이었거든요.
Brennan 교수의 핵심 포인트는 이겁니다. Vibe Coding은 소프트웨어 생산의 민주화인데, 그 민주화에는 책임이 따른다는 거죠. CS 지식이나 디자인 배경이 있는 학생은 AI가 만든 결과물을 더 멀리 발전시킬 수 있지만, 기초가 없으면 AI가 내놓은 결과를 검증할 수 없습니다. 결국 Vibe Coding 시대에 코딩 교육이 불필요해진 게 아니라, 교육의 초점이 '작성'에서 '검증'으로 옮겨간 겁니다.
2026년 하반기에 터질 수 있는 것들
Arcjet의 CEO David Mytton은 올해 안에 Vibe Coding으로 만든 프로덕션 서비스에서 "대형 폭발(big explosions)"이 일어날 것이라 경고했습니다. 이미 Moltbook 사건이 전조였는데요, 핵심은 프로토타이핑 도구를 프로덕션 도구로 착각하는 데 있습니다. AI 코딩 도구 시장이 올해 85억 달러(약 11.6조 원)로 성장하고 미국 개발자 92%가 사용 중인 상황에서, 보안 검토 없이 배포되는 코드의 양도 같이 늘고 있거든요.
제가 보기에 이건 Vibe Coding 자체의 문제가 아닙니다. 도구를 잘못 쓰는 방식의 문제예요. 전동 드릴이 위험한 게 아니라 안전교육 없이 쓰는 게 위험한 것처럼요. 근데 AI 코딩 도구들이 "누구나 개발자가 될 수 있다"는 마케팅을 하면서 동시에 보안 책임은 사용자에게 넘기는 구조가 문제입니다. 검증 능력이 없는 사람에게 검증 책임을 지우는 건 현실적이지 않거든요.
내일부터 적용할 수 있는 것
Vibe Coding을 업무에 쓰고 있다면 한 가지만 바꿔보세요. AI가 생성한 코드를 프로덕션에 올리기 전에 보안 스캔을 무조건 돌리는 겁니다. Snyk, Semgrep, GitHub Advanced Security 중 하나면 충분합니다. 10분도 안 걸리는데 SSRF, SQL Injection 같은 기본적인 취약점은 잡아줍니다. 이것만으로도 Moltbook 같은 사고의 80%는 예방할 수 있습니다.
오픈소스를 쓰는 입장이라면, 자주 쓰는 라이브러리의 GitHub에 가서 스타를 누르고 이슈를 한 번이라도 읽어보는 게 메인테이너에게는 큰 차이를 만듭니다. AI가 대신 써주는 시대에 사람이 직접 관심을 보이는 것 자체가 오픈소스 생태계를 지탱하는 마지막 고리거든요.
