Obsidian 플러그인 스코어 논쟁 — 오픈 에코시스템 거버넌스 점검

본 글은 2026년 5월 19일 GeekNews에 공유된 옵시디언 최다 다운로드 Excalidraw 개발자 vs 새 커뮤니티 사이트 스코어 논쟁을 출발점으로, 한국 백엔드·플랫폼 개발자가 오픈 에코시스템 거버넌스 관점에서 어떤 시사점을 얻을 수 있는지 정리합니다.

대상 독자는 사내 플러그인 마켓플레이스·확장 생태계를 운영하거나 오픈소스 도구의 도입 거버넌스를 책임지는 개발자입니다. 분석 시점은 2026년 5월 기준이며, 일차 출처는 GeekNews 한국어 정리와 Obsidian 공식 발표 The Future of Plugins입니다.

1. 사건 요약 — 자동 스코어카드와 개발자 반발

GeekNews 정리에 따르면 Obsidian은 새 커뮤니티 사이트에서 플러그인의 품질(quality)·유지보수(maintenance)·보안/코드 품질(security)을 자동 스코어카드 형태로 공개했습니다. 같은 GeekNews 정리 기준 Obsidian 생태계는 플러그인 약 4,000개, 누적 다운로드 약 1억 2천만 규모입니다.

같은 글에서 인용된 누적 다운로드 약 610만(전체의 약 5%)을 기록한 Excalidraw 플러그인의 개발자 Zsolt(zsviczian)는 초기 점수 약 38~40%로 “high risk” 표시를 받았다고 밝혔습니다. 같은 GeekNews 정리에 따르면 그는 27분짜리 영상으로 개발자 입장을 정리했고, 본인 작업 4일 뒤 점수를 약 78%까지 끌어올렸다고 합니다.

2. Zsolt 측 주장 정리

GeekNews에 정리된 Zsolt 측 주장의 핵심은 “스캐너 점수 vs 현실”의 간극입니다. 같은 정리 기준 외부 링크 약 100개가 위험으로 분류됐지만, 실제로는 OCR·AI 옵트인, 도움말 영상, 스크립트 스토어 링크 등으로 악성 의도가 없다는 것이 그의 설명입니다.

• Obsidian API 한계로 PDF 인쇄용 Electron API·MathJax SVG export·폰트 배포 등에서 우회 구현이 불가피했고, 이 우회가 곧바로 “high risk”로 잡힌다고 같은 글이 정리합니다.
• 풀타임이 아닌 0.1인 프로젝트에 엔터프라이즈급 품질 기대치가 부여됐다는 주장도 함께 인용됩니다.
• 같은 글 기준 정기 사용자 약 110,000명 중 후원자는 약 100명, 비율로는 약 0.09%로 알려져 있어 유료 플러그인 프레임워크 부재가 본질적 문제라고 그는 지적합니다.
• 스캔을 피하려 비공개 전환하는 인센티브가 생긴다는 우려도 같은 정리에서 함께 인용됩니다.

3. Obsidian CEO 답변과 정책 보호 장치

같은 GeekNews 정리에 따르면 Obsidian CEO Steph Ango(kepano)는 Reddit 장문 답글로 응답했고, 해당 답변은 GeekNews 인용 기준 약 292 likes를 받았습니다. 출시 1개월 전 알파 테스터(Zsolt 포함)에게 신규 사이트·대시보드·공지를 공유했고, 개발자 피드백 수백 건을 반영했다고 같은 정리는 인용합니다.

• 기존 인기 플러그인(Excalidraw 포함)은 “grandfathered” 처리되어 신규보다 느슨한 규칙이 적용된다고 같은 글이 정리합니다.
• 클로즈드 소스 신규 플러그인은 당분간 미승인, 기존 클로즈드는 유지된다는 정책도 함께 소개됩니다.
• 유료 플러그인 정책·라벨·필터링은 신설됐지만, iOS·Android 정책 때문에 인앱 결제 강제는 불가하다는 한계가 같은 정리에 명시됩니다.
• 같은 글에 따르면 Obsidian 자체의 유료 Sync·Publish 사용자도 약 1% 수준으로, 무료 소프트웨어 인식에 따른 구조적 문제라고 CEO가 직접 언급했습니다.

4. 한국 IT 관점의 교차 검토

4-1. 작은 코어팀 + 거대 플러그인 생태계의 비대칭

GeekNews 정리는 이 사건을 “100만 사용자 × 4,000 플러그인 × 7명 코어팀” 비대칭 구조의 사례로 설명합니다. 같은 정리에 따르면 VSCode·Raycast·Logseq처럼 작은 팀이 운영하는 모든 오픈 에코시스템의 거버넌스 딜레마를 그대로 보여 줍니다.

한국의 사내 플러그인 마켓플레이스(예: 사내 IDE 플러그인, 사내 데이터 카탈로그 확장)도 동일한 비대칭이 흔합니다. 코어팀 N명이 수백 개 확장을 책임지면, 자동 스코어카드 도입은 시간문제이고, 그 결과 개별 확장 개발자의 부담은 즉시 늘어납니다.

4-2. 보안 투명성과 번아웃의 역설

GeekNews 정리가 강조하는 핵심 역설은 다음입니다. 보안 투명성을 높이려는 시도가 취미 개발자 번아웃 → 클로즈드 소스 회귀 → 생태계 폐쇄로 이어질 수 있다는 점입니다. 즉 스코어카드 자체가 잘못된 것이 아니라, 점수를 받은 후 개선할 수 있는 시간·자원·인센티브 구조가 함께 설계되지 않으면 역효과가 난다는 의미입니다.

4-3. “공짜 점심은 없다” — 비용 분담 모델

GeekNews 정리는 핵심 질문을 “공짜 점심은 없다. 누가 비용을 지불할 것인가”로 요약합니다. 같은 글에 인용된 후원자 비율 약 0.09%, 유료 Sync·Publish 사용자 약 1% 수치는 무료 소프트웨어 모델의 구조적 한계를 그대로 드러냅니다.

5. 사내 플러그인·확장 운영자가 점검할 항목

같은 사례에서 추출할 수 있는 운영 체크리스트를 한국 백엔드·플랫폼 팀 관점으로 정리합니다.

1. 자동 스코어카드를 도입할 때 grandfathered 정책과 유예 기간을 함께 설계하는가
2. 스코어가 낮게 나온 확장 개발자에게 개선 가이드·샘플 PR·전담 채널을 함께 제공하는가
3. 외부 링크·우회 코드·서드파티 의존성을 일률적으로 위험으로 분류하지 않고, 맥락(allowlist·purpose tag)을 함께 평가하는가
4. 유료화·후원·라이선스 정책을 마켓 운영자가 사전에 명시했는가 (인앱 결제 정책 포함)
5. 비공개 전환 인센티브를 줄이기 위한 투명성·신뢰 라벨 체계를 마련했는가
6. 코어팀 N명 대 플러그인 M개 비율을 정기 KPI로 측정하고, 비대칭이 임계치를 넘으면 신규 승인을 늦추는 정책이 있는가

6개 항목 중 3개 이상에서 “아니오”가 나오면, Obsidian 사례와 유사한 갈등이 사내 마켓에서도 1~2분기 이내 재현될 가능성이 높습니다. 정책 설계 초기에 점검하는 것이 사후 수습보다 훨씬 저렴합니다.

6. 정리

Obsidian의 새 커뮤니티 사이트와 Excalidraw 개발자의 반발은 단순한 개인 감정 문제로 보이기 쉽지만, 한 꺼풀 벗기면 작은 코어팀이 운영하는 모든 오픈 에코시스템에 똑같이 적용되는 거버넌스·비용 분담 문제입니다. GeekNews 정리가 던진 “누가 비용을 지불할 것인가”라는 질문에 대해, 사내 마켓 운영자도 같은 답변을 준비해 두어야 합니다.

7. 관련 글

오픈 에코시스템 보안과 개발자 역량 측면을 함께 읽으면 본 글의 맥락을 보완할 수 있습니다.

• BitLocker YellowKey 익스플로잇 — 백도어 의혹과 디스크 암호화 운영 점검 — 보안 사고가 외부 신뢰 모델에 어떤 충격을 주는지 다룬 사례로, 본 글의 거버넌스 논의를 보완합니다.
• AI 의존 시대, 시니어 개발자가 잃지 말아야 할 5가지 역량 — 개인 개발자의 부담 측면에서 본 사례와 짝을 이룹니다.
• Erlang/OTP 29.0 메이저 릴리즈 — 한국 백엔드 팀 도입 체크리스트 — 새 정책·도구 도입 시 체크리스트 패턴이 본 글과 동일합니다.

---

📌 함께 보시면 좋은 글

• 개발자 커리어 체크리스트 →
• 개발 커리어 결정 가이드 →

※ 본 글은 AI(Claude)의 초안을 기반으로 편집자 검수를 거쳐 발행되었습니다. (한국 AI기본법 대응 고지)