YC 기업들이 GitHub 활동을 수집해 사용자에게 스팸 메일을 발송한다는 제보

 (news.ycombinator.com)
2P by GN⁺ 18시간전 | ★ favorite | 댓글 1개
  • 일부 Y Combinator(이하 YC) 지원 기업들이 GitHub 사용자 활동 데이터를 자동 수집해 마케팅 이메일을 발송한 사례가 보고됨
  • 게시자는 GitHub 프로필의 커밋·레포지토리 활동을 기반으로 한 비동의 이메일 수신을 문제로 지적
  • 이러한 이메일은 제품 홍보나 서비스 가입 유도 목적으로 발송된 것으로 언급됨
  • 커뮤니티에서는 개인정보 보호와 윤리적 마케팅 관행에 대한 비판이 제기됨
  • 스타트업 생태계에서 데이터 활용과 사용자 동의의 경계가 다시 논의되는 계기임

GitHub 활동 데이터 수집과 이메일 발송

  • YC 소속 일부 스타트업이 GitHub 사용자들의 공개 활동 데이터를 스크래핑해 이메일 주소를 확보한 사례 보고
    • 게시자는 자신이 GitHub 활동 후 특정 YC 기업으로부터 홍보 메일을 받았다고 설명
    • 이메일 내용은 제품 소개 및 사용 유도 중심으로 구성되어 있었음
  • 이러한 행위는 사용자 동의 없이 수집된 데이터 활용이라는 점에서 문제로 지적됨

커뮤니티 반응과 윤리적 논의

  • Hacker News 이용자들은 비동의 이메일 발송을 스팸 행위로 간주하며 비판적 반응을 보임
    • 일부는 공개 데이터라도 마케팅 목적의 자동 수집은 부적절하다고 주장
  • 논의는 스타트업의 성장 전략과 개인정보 보호 간의 균형 문제로 확산됨
    • 특히 YC 기업이라는 점에서 윤리적 기준에 대한 기대치가 높다는 의견이 제시됨

데이터 활용과 사용자 동의 문제

  • GitHub의 공개 데이터는 접근 가능하지만, 상업적 이용 시 명시적 동의가 필요하다는 인식이 강조됨
  • 커뮤니티는 개발자 생태계의 신뢰 유지를 위해 투명한 데이터 활용 정책이 필요하다고 지적
  • 이번 사례는 스타트업의 마케팅 자동화 관행에 대한 경각심을 불러일으킨 사건으로 평가됨
GN⁺ 18시간전  [-]
Hacker News 의견들

  • GitHub의 Martin임. 이런 데이터 스크래핑 행위는 명백히 GitHub 서비스 약관 위반임
    발견 시 계정 정지 등 조치를 취하고 있음. 하지만 두더지 잡기 게임처럼 계속 반복되는 문제임
    Git의 구조상 오픈소스 저장소에서 데이터를 긁어오는 건 기술적으로 어렵지 않음. 커밋에는 이름과 이메일이 포함되기 때문임
    사용자들이 커밋 시 익명 이메일 주소를 쓰도록 no-reply 주소 기능을 제공하고 있음
    자세한 설정 방법은 공식 문서에 있음
    오픈소스의 개방성을 유지하면서도 스팸을 막는 건 균형 잡기가 어려운 일임. API 제한도 있지만 불만도 많음. 커뮤니티 의견을 듣고 싶음

    • 내 경험상 GitHub이 그런 계정을 실제로 차단하지 않음
      2025년 7월에 스패머를 신고했지만 응답이 없었고, 계정은 여전히 활동 중임
      내 이메일을 공개한 건 약관이 지켜질 거란 기대 때문이었음. GitHub이 스패머를 방치하면 공개 연락처를 유지하기 어렵게 됨
    • 나도 같은 스팸 시나리오로 다섯 번 넘게 신고했지만 아무 조치도 없었음
      YC 회사가 내 GitHub 이메일로 스팸을 보낸 사례를 내 블로그에 정리했음
    • 구체적인 제안은 없지만, 이메일 필드가 익명 주소가 아닐 경우 푸시를 차단하는 기능을 넣어줘서 고맙게 생각함
      대부분 사용자가 개인정보 보호에 신경 쓰지 않기 때문에 이런 보호 장치는 유용함
    • 내가 별표(star)를 누른 저장소를 보고 “비슷한 걸 하고 있다”며 연락 오는 스팸이 너무 많음
      그래서 이제는 아무 저장소에도 별표를 누르지 않음
    • 약관 위반인 건 알지만, 여러 조직을 신고해도 “플랫폼 외부 활동이라 조치 불가”라며 티켓이 닫힘

  • 나도 같은 이메일을 받았음
    RunanywhereAI 팀이 보낸 메일이었는데, 온디바이스 LLM SDK를 소개하는 내용이었음
    실제로 팀과 대화해보니 피드백을 진지하게 받아들이고, Flutter SDK 개선도 빠르게 진행했음
    일주일 만에 RAG 구현도 추가했을 정도로 반응이 빨랐음. 공개적으로 비난하기보단 직접 써보는 것도 좋을 듯함

  • YC가 Flock에 투자한 건 알고 있는데, “YC 윤리 문제”라는 게 정확히 뭔지 궁금함

    • Optifye.ai의 감시 소프트웨어 데모도 떠오름
    • Cluely도 있음
    • Gecko Security도 있음

  • 개발자 대상 마케팅을 오래 해왔는데, GitHub 이메일로 스팸 보내는 건 최악의 마케팅 수단 중 하나임
    개발자에게 콜드 이메일을 보내는 건 거의 효과가 없고, 브랜드 신뢰를 해침

    • 하지만 누군가 내 GitHub 기여를 보고 관련된 맞춤 제안을 보낸다면 긍정적으로 검토할 것 같음
      단순한 자동화 스팸과는 완전히 다름
    • 나도 비슷한 생각임. 내 작업을 보고 직접 연락했다면 오히려 높은 관심과 노력의 표시로 느껴짐

  • YC가 지원서에서 “시스템을 해킹해 이득을 본 경험”을 묻는 이유가 있음
    법적 회색지대를 활용할 줄 아는 창업자를 선호하기 때문임
    Airbnb는 Craigslist 약관을 어기며 성장했고, Reddit은 Digg 콘텐츠를 훔쳤으며, OpenAI는 저작권 자료로 모델을 학습시켰음

  • 나도 YC 회사 Aden의 Vincent Jiang에게 원치 않는 스팸 메일을 받았음
    AI 에이전트 개발 커뮤니티에 초대한다는 내용이었음

    • Backdrop이라는 곳에서도 비슷한 메일을 여러 번 받았음
      첫 번째를 스팸 처리했는데도 다시 “마지막으로 확인”이라며 메일이 옴
      이런 회사들은 다시는 이용하지 않을 것임
    • 어떤 사람은 같은 발신자에게 “오픈소스 PR을 시간당 25~50달러에 해달라”는 제안을 받았다고 함
      답장을 보냈더니 자동응답만 돌아왔음

  • 오늘도 GitHub 이메일로 YC 관련 회사 Cactus Compute에서 스팸을 받았음
    온디바이스 음성 모델 엔진을 소개하며 GitHub 저장소 cactus-compute/cactus 링크를 보냈음

    • 그래도 별(star)을 요구하지 않은 건 다행임. 개발 속도는 꽤 빠른 듯함
    • “별 눌러주면 감사”라는 문구가 419 사기 메일처럼 느껴졌음

  • 이 문제는 예전에도 여러 번 논의됐던 주제임
    11년 전, 7년 전, 5년 전, 4년 전에도 같은 논의가 있었음
    반복되는 고질적 문제

  • 이 스레드를 읽는 중에 나도 GitHub 스크래퍼로부터 스팸 메일을 받았음
    발신자는 james@techglobal.website였고, 미국 기반 엔지니어 협업 제안을 가장한 메일이었음
    내 경험상 이런 유형은 북한발 사기 시도일 가능성이 높음

    • 나도 같은 발신자에게 거의 동일한 메일을 받았음. 제목과 서명만 살짝 다름
    • 왜 북한이라고 생각했는지 궁금함. 익명 팀이 미국인을 앞세운 위장 구조라서 그런가?

  • 참고로 이런 무단 광고 메일은 유럽에서는 불법임
    “몰랐다”는 변명은 통하지 않음. GitHub 프로필에 위치 정보가 명시된 경우가 많기 때문임
    불법으로 시작하는 스타트업은 신뢰성에서도 이미 마이너스임

답변달기