TL;DR
| 뉴스 | 한 줄 요약 | 관심도 |
|---|---|---|
| GlassWorm 공급망 공격 | 보이지 않는 Unicode 문자로 GitHub·npm 433개 저장소 감염 | ⭐⭐⭐⭐⭐ |
| AI 코딩, 왜 빨라지지 않나 | 코딩은 원래 병목이 아니었다 — Agoda의 분석 | ⭐⭐⭐⭐ |
| State of JavaScript 2025 | TypeScript 단독 사용 40% 돌파, 생태계 안정기 진입 | ⭐⭐⭐⭐ |
1. 🔥 보이지 않는 코드가 GitHub를 공격하고 있어요 — GlassWorm 공급망 공격
무슨 일이야?
3월 초부터 GlassWorm이라는 공급망 공격이 GitHub, npm, VS Code 마켓플레이스를 동시에 노렸어요. 3월 3일부터 9일 사이에 최소 151개 GitHub 저장소가 감염됐고, 이달 말 기준으로 npm과 Open VSX 확장까지 합치면 총 433개 컴포넌트가 영향을 받았어요.
공격 기법이 정말 교묘해요. Unicode 제어 문자를 이용해서 코드 에디터, 터미널, 코드 리뷰 화면 어디에서도 보이지 않는 페이로드를 삽입하는 거예요. 빈 문자열처럼 보이는 곳에 실제로는 악성 로더가 숨어 있는 거죠. 이 로더가 2차 스크립트를 다운받아서 실행하는 구조예요.
Aikido, Socket, Step Security, OpenSourceMalware 커뮤니티가 공동으로 탐지했는데요, JavaScript, TypeScript, Python 저장소 전반에 걸쳐 감염이 퍼져 있었어요. 최근에는 탈취한 GitHub 토큰으로 Python 저장소에 강제 푸시하는 ForceMemo 변종까지 등장했어요.
1인 개발자에게 왜 중요해?
npm 패키지나 VS Code 확장을 설치하시는 분들은 지금 바로 점검해보셔야 해요. 이번 공격은 암호화폐 지갑 데이터, 자격 증명, SSH 키, 개발 환경 정보를 노리거든요.
특히 무서운 건, 코드 리뷰로 잡아낼 수 없다는 거예요. 눈에 보이지 않으니까요. git diff로 봐도 빈 줄처럼 보이는데 실제로는 악성코드가 들어있는 거예요. 오픈소스 의존성이 많은 1인 개발자일수록 공격 표면이 넓어요.
지난주 GitHub Actions 공격(#36)에 이어서 또 공급망 공격이에요. 요즘 오픈소스 생태계를 노리는 공격이 정말 집중적으로 들어오고 있어요.
주의할 점
npm audit이나 socket CLI 같은 의존성 검사 도구를 CI에 넣어두세요. VS Code 확장도 설치 전에 퍼블리셔 인증 여부를 확인하시고, 알 수 없는 확장은 설치하지 마세요. GitHub 토큰이 노출됐을 가능성이 있다면 즉시 로테이션하세요. 그리고 lockfile을 반드시 커밋해서 의존성 버전을 고정하는 것도 기본이에요.
참고: Ars Technica | Aikido 분석
2. 📰 AI 코딩 어시스턴트, 왜 개발이 안 빨라질까? — 코딩은 원래 병목이 아니었어요
무슨 일이야?
Agoda의 소프트웨어 엔지니어 Leonardo Stern이 흥미로운 분석을 내놨어요. AI 코딩 도구가 개별 개발자의 코드 생산량은 확실히 늘렸지만, 프로젝트 레벨에서 딜리버리 속도는 별로 빨라지지 않았다는 거예요.
이유가 뭘까요? 코딩 자체가 원래 병목이 아니었거든요. Fred Brooks가 1986년 “No Silver Bullet"에서 했던 이야기랑 같아요 — 개발 생명주기의 한 부분만 빨라져도 전체 딜리버리에는 한계가 있다는 거죠.
Faros AI가 1만 명 이상의 개발자를 분석한 데이터가 이걸 뒷받침해요. AI 도입률이 높은 팀은 작업 완료량 21% 증가, PR 머지도 98% 더 많았지만, PR 리뷰 시간은 오히려 늘어났어요. 코드는 빨리 나오는데 리뷰할 사람은 그대로니까요.
Stern은 “grey box” 접근법을 제안해요. 사람이 책임져야 할 지점은 딱 두 곳 — 에이전트가 정확히 실행할 수 있을 만큼 정밀한 스펙 작성, 그리고 구현 코드를 한 줄씩 보는 대신 증거 기반으로 결과를 검증하는 것.
1인 개발자에게 왜 중요해?
AI 코딩 도구에 투자하시는 분들한테 현실적인 기대치를 세우는 데 도움이 돼요. “Cursor 쓰면 10배 빨라진다"는 말만 듣고 시작하면 실망하기 쉬워요.
실제 병목은 “뭘 만들지 정하는 것"과 “만든 게 맞는지 확인하는 것"이에요. 1인 개발자는 이 두 가지를 혼자 다 해야 하니까, AI가 코딩을 대신해줘도 전체 시간이 크게 줄지 않을 수 있어요.
이전에 다뤘던 AI 코딩 번아웃 경험담(#13)에서도 비슷한 결론이 나왔죠. AI가 코드를 빠르게 만들어주니까 진전이 있는 것 같은데, 실제로는 기술 부채가 쌓이고 있었다는 거요.
주의할 점
AI 코딩 도구를 쓸 때 스펙 작성에 더 시간을 투자해보세요. 프롬프트가 곧 스펙이에요. “로그인 기능 만들어줘"보다 “JWT 기반 인증, 리프레시 토큰 7일, 실패 시 429 응답” 같은 구체적인 스펙을 주면 결과물 품질이 확 달라져요. 그리고 AI가 만든 코드는 테스트로 검증하세요 — 코드 리뷰보다 테스트가 더 효과적이에요.
참고: InfoQ - Agoda AI Code Bottleneck
3. 📢 State of JavaScript 2025 — TypeScript가 완전히 이겼어요
무슨 일이야?
2025년 11월에 실시된 연례 State of JavaScript 서베이 결과가 나왔어요. 가장 눈에 띄는 숫자는 TypeScript 단독 사용률 40%예요. 2022년 28%, 2024년 34%에서 꾸준히 올라온 거죠. 반대로 순수 JavaScript만 쓰는 개발자는 6%까지 떨어졌어요.
빌드 도구에서는 Vite가 만족도 98%로 압도적이에요. 번들러 전쟁은 사실상 Vite의 승리로 끝난 분위기예요.
프레임워크 쪽을 보면, React는 여전히 1위지만 만족도는 엇갈리고 있어요. 백엔드는 Node.js가 90%로 굳건하고, Bun이 21%로 3위까지 올라왔어요(전년 대비 +4%). Deno는 11%로 기대만큼은 아니에요.
전체적으로 개발자 행복도는 5점 만점에 3.8로 5년째 유지 중이에요. 생태계가 격변기를 지나 안정기에 접어들었다는 신호예요.
1인 개발자에게 왜 중요해?
새 프로젝트를 시작하신다면 TypeScript + Vite 조합이 사실상 표준이 됐어요. 이 조합으로 가면 생태계 지원, 커뮤니티 도움, 채용(나중에 팀을 키울 때) 전부 유리해요.
Bun의 성장세도 주목할 만해요. 특히 빠른 시작 시간이 중요한 서버리스 환경이나 CLI 도구를 만드시는 분들한테는 Node.js 대안으로 충분히 고려할 만해요. 다만 프로덕션 안정성 면에서는 아직 Node.js가 더 검증됐어요.
주의할 점
TypeScript를 도입하실 때 처음부터 strict: true로 시작하세요. 나중에 올리려면 마이그레이션 비용이 커요. 그리고 Vite로 갈아타실 계획이라면 플러그인 호환성을 먼저 확인해보세요 — 대부분의 주요 프레임워크(React, Vue, Svelte)는 이미 Vite를 공식 지원하고 있어요.
참고: InfoQ - State of JS Survey 2025 | 공식 결과
이전 글
- 1인 개발자 뉴스 #36 - GitHub Actions AI 봇 공격, Claude Opus 4.6
- 1인 개발자 뉴스 #13 - AI 코딩 에이전트 번아웃 경험담
📋 이번 주 스킵한 소식
| 소식 | 사유 |
|---|---|
| Stripe, Machine Payments Protocol 발표 | AI 에이전트 간 결제 프로토콜 — 아직 초기 단계, 실적용까지 시간 필요 |
| OpenAI, Python 도구 회사 Astral 인수 (uv/ruff) | 인수 후 방향성 불확실, 확정 소식 나오면 후속 보도 예정 |
| Trivy 스캐너 공급망 공격 피해 | 본문 GlassWorm과 유사한 공급망 공격 — 중복 주제 |
| Cloudflare AI 에이전트 샌드박싱 100배 빠르게 | 대규모 인프라 대상, 1인 개발자 직접 적용 어려움 |
| Vercel JSON-Render: 생성형 UI 프레임워크 | 초기 알파 단계, 프로덕션 사용 시기상조 |
1인 개발자 관점에서 기술 소식을 정리하고 있습니다.