총 상금 400만 달러 이상의 해커톤 12곳을 조사했다. 제출물을 보호하는 곳은 단 한 곳도 없었다.
12개 행사 감사 완료. 6가지 인프라 공백 확인. 표절, 지적 재산권 탈취, 불공정 심사 등 실제 사례 8건 기록 — 모두 공개 출처에서 확인 가능하며 독립적으로 검증됨.
작년 한 해커톤에서 어떤 팀이 1차 라운드에서 아이디어를 발표했다. 2주 후, 같은 심사위원단에 접근 가능한 다른 팀이 의심스러울 정도로 유사한 컨셉을 제출했다. 감사 추적 기록은 없었다. 접근 로그도 없었다. 누가 무엇을 언제 보았는지 증명할 방법이 전혀 없었다.
원래 아이디어를 만든 팀은 아무런 구제 수단이 없었다. 복제했을 가능성이 있는 팀은 어떤 조사도 받지 않았다. 그리고 주최 측은 원한다 하더라도 조사할 도구 자체가 없었다.
우리는 이것이 예외적인 사례라고 생각했다. 그런데 4개 대륙의 해커톤 12곳을 조사한 결과 — 이것이 기본값이었다.
조사 방법론: 2026년 1월부터 2월까지, 12개 해커톤 행사의 공개 제출 절차, 행사 규정, 심사 구조, 소셜 미디어 보고를 검토했다. 또한 2025년부터 2026년 2월까지 발생한 제출물 보안 실패 사례 8건을 조사했다. 플랫폼 문서(DevPost, Devfolio, DoraHacks, TAIKAI), 행사별 규정 페이지, 공개 GitHub 저장소, 법원 기록, 참가자 직접 증언을 분석했다. 모든 조사 결과는 본 기사 전체에 링크된 출처를 통해 독립적으로 검증 가능하다.
코멘트 요청: 기사 게시 전 ETHGlobal, Avalanche Foundation, BNB Chain(DoraHacks 경유), Chainlink, Web3Privacy Now, TCS에 의견을 요청했다. ETHGlobal CEO Kartik Talwar는 기사 게시 후 응답하여 ETHGlobal이 내부 프로세스를 갖추고 있다고 밝혔다(아래 감사 카드에 주석 참조). 기타 조직은 응답하지 않았다. SuperteamIN과 CRED는 각각의 사건에 대해 공개적으로 대응했다(사례 2, 3에 기록).
이것은 예외가 아니다. 이것이 기본값이다.
모든 주요 해커톤 플랫폼 — DevPost, Devfolio, DoraHacks, TAIKAI — 은 행사 운영에만 집중한다. 제출된 작업물을 보호하는 플랫폼은 단 하나도 없다.
상금 너머의 문제
해커톤은 단순한 대회가 아니다 — Web3로 진입하는 가장 주요한 관문이다. 이 파이프라인은 잘 알려져 있다: 개발자가 해커톤에 참가하고, 첫 프로젝트를 만들고, 프로토콜 팀의 주목을 받고, 그랜트를 받고, 실제 인프라가 되는 것을 출시한다. Uniswap, Filecoin, ENS를 비롯한 수십 개의 주요 프로토콜이 해커톤 제출물에서 시작되었다.
제출물 보안이 실패하면 한 팀만 피해를 입는 것이 아니다 — 전체 파이프라인이 오염된다. 첫 해커톤에서 표절을 당한 개발자는 돌아오지 않는다. 복제된 프로젝트가 상을 받는 것을 본 빌더는 더 이상 만들지 않는다. 생태계는 차세대 기여자를 잃는다 — 경쟁자에게가 아니라 환멸에 의해서.
이것은 상금을 보호하는 문제가 아니다. 차세대 Web3 빌더를 배출하는 메커니즘 자체를 보호하는 문제다. 해커톤이 신뢰를 잃으면 전체 생태계의 인재 파이프라인이 무너진다.
문제의 규모
2025년에만 ETHGlobal — 최대 규모의 이더리움 해커톤 주최자 — 이 5개 대륙에서 행사를 운영하며 10,000명 이상의 개발자에게 총 200만 달러 이상의 상금을 수여했다. 단일 행사 상금 규모는 이제 100만 달러를 넘는다(ETHDenver, Avalanche Build Games, Hedera).
기업 해커톤은 그 규모가 더욱 크다 — TCS는 58개국 281,000명이 참가한 AI 해커톤을 운영했으며, 제출물은 상업적 통합을 위해 평가되었다.
그럼에도 모든 주요 해커톤 플랫폼은 동일한 것에만 집중한다: 등록, 팀 구성, 심사 양식. 접근 로그 없음. 공유 자료에 대한 관리 연속성 없음. 공식 실격 절차에 대한 공개된 타임라인 없음. 감사 추적 없음.
1부: 인프라 공백 — 6대 해커톤 감사 결과
우리는 먼저 6개 주요 해커톤 프로그램의 제출물 보안을 감사했다 — 최대 규모 이더리움 행사부터 기업 대회까지. 분명히 말하지만, 이것은 비난이 아니다. 이것은 공개적으로 문서화된 프로세스에 대한 관찰이다. 아래 나열된 모든 주최자는 합법적이고 선의에 기반한 행사를 운영한다. 문제는 무능이 아니라 — 아직 존재하지 않는 인프라의 부재다.
주석: ETHGlobal CEO Kartik Talwar는 기사 게시 후 응답하여 ETHGlobal이 모든 사례를 조사하는 내부 프로세스와 심사 보호 장치를 갖추고 있다고 밝혔다. 아래 관찰 사항은 공개된 문서를 기반으로 하며, 각 결정 뒤의 구체적인 증거는 이벤트 페이지에 게시되지 않았다.
- 어떤 심사위원이 어떤 제출물을 열람했는지 독립적으로 검증 가능한 기록 없음
- 심사 기간 동안 제출물이 플랫폼에서 공개적으로 표시
- 분쟁 해결 절차 없음
- 제출물에 대한 블록체인 타임스탬프 없음
- 6주간 아이디어가 노출되지만 감사 추적 없음
- 제출물 접근 로그 없음
- “장기 비전” 평가에 대한 검증 절차 없음
- 심사위원의 제출물 접근에 대한 감사 추적 없음
- 커뮤니티 투표가 고래 조작에 취약
- 분쟁 해결 절차 없음
- 공개 GitHub 저장소 — 심사 전에 모두에게 노출
- 프라이버시 트랙이지만 제출물 프라이버시 없음
- Airtable 폼을 통한 제출
- 상업 제품에 대한 IP 관리 연속성 없음
- 엔터프라이즈 기준의 감사 추적 없음
- AI 평가 제출물에 대한 규제 리스크
- 공개 PR로 평가 전 모든 아이디어 노출
- 프라이버시 중심 행사이지만 제출물 프라이버시 전무
- 접근 로그나 감사 추적 없음
공백의 요약
| 보호 항목 | DevPost | Devfolio | DoraHacks | TAIKAI | 있는가? |
|---|---|---|---|---|---|
| 제출물 업로드 | 있음 | 있음 | 있음 | 있음 | 있음 |
| 접근 로그 | 없음 | 없음 | 없음 | 없음 | 없음 |
| 블록체인 타임스탬프 | 없음 | 없음 | 부분적 | 부분적 | 없음 |
| 심사위원 감사 추적 | 없음 | 없음 | 없음 | 없음 | 없음 |
| 분쟁 해결 | 없음 | 없음 | 없음 | 없음 | 없음 |
| IP 보호 | 없음 | 없음 | 없음 | 없음 | 없음 |
모든 플랫폼은 운영을 담당한다. 무결성을 담당하는 플랫폼은 없다.
2부: 이미 일어나고 있다 — 6건의 기록된 사례 (2025–2026)
위의 공백은 이론적인 문제가 아니다. 우리는 제출물 보안의 부재가 실질적 피해로 이어진 6개 해커톤 사례를 조사했다 — 표절, 지적 재산권 탈취, 부당 실격, 편향 심사, 검열. 모든 사례는 2025–2026년에 발생했으며 공개 출처로 문서화되어 있다.
한 팀이 2025년 9월 ETHGlobal 뉴델리에서 KagamiAI를 개발했고, 616개 프로젝트 중 10개 파이널리스트에 선정되었다. 팀은 주말 내내 작업하며 실제 사용자 피드백을 수집했다.
얼마 후, 다른 참가자가 프로젝트 전체를 복제했다 — 코드, 애플리케이션, 심지어 원래 팀원의 목소리가 포함된 데모 영상까지 — 다른 해커톤(HackQuest)에 제출했다.
원래 팀은 모든 것을 공개적으로 문서화하고 표절자의 차단을 요구했다. 원래 팀은 복제된 제출물의 제거를 요구했다.
개발자 Shubh는 getblink.fun을 개발했다 — Solana Blinks 생성을 위한 노코드 플랫폼(193개 커밋, 2024년 8월 생성). SuperteamIN 그랜트에 두 번 지원했으나 모두 거절당한 후, 비용 문제로 프로젝트를 종료했다.
이전에 Shubh에게 DM으로 도움을 요청하며 “학습용”으로 저장소 링크를 받았던 다른 개발자가, 전체 코드베이스를 한 줄 한 줄 복사하여 “Blinker”로 이름을 바꾸고 SuperteamEarn 그랜트를 수상했다.
코드 비교 증거를 들이밀자, 복제자는 원저자를 차단하고 계정, 웹사이트, 저장소를 모두 삭제했다. SuperteamIN은 표절 보고를 접수하고 조사를 개시했다.
인도 핀테크 기업 CRED(설립자 Kunal Shah)가 상금 ₹50 lakh(약 60,000달러)의 Rabbit Hole AI Hackathon을 발표했다. 원래 약관에는 제출물의 모든 지적 재산권이 “업무상 저작물로 간주”되며 CRED가 행사 중 제작된 모든 것을 소유한다고 명시되어 있었다.
반발은 즉각적이고 대규모였다. 개발자 Aditya Oberai의 “해커톤을 하지 말아야 할 방법의 교과서”라는 게시물은 1,100개 이상의 좋아요를 받았다. IP 변호사는 참가자들에게 약관이 사실상 “교묘하게 아이디어를 내놓게 하고, 대신 만들게 하고, 아무것도 주지 않는 것”과 같다고 경고했다.
추가 불만도 제기되었다: CRED는 등록 시 해커톤과 무관한 “Login with CRED”를 요구했고, 명확한 고지 없이 지원자의 신용 점수를 조회했다.
Kunal Shah는 24시간 내에 응답했다: “IP에 대한 정당한 지적. 처음부터 있어서는 안 됐다. 삭제한다.” 약관은 “참가자가 각자의 제출물에 대한 모든 권리를 소유한다”로 수정되었다.
2025년 11월 Devconnect Buenos Aires 해커톤에서 한 팀이 별도의 저장소에서 독립적인 커밋 이력을 가진 두 개의 프로젝트를 개발했다. ETHGlobal이 플랫폼 인프라(제출 시스템, 심사 도구)를 제공했고, Ethereum Argentina가 현지 조직을 담당했다. 한 팀원이 개인으로 시작한 후, 2~5명 팀 요건을 충족하기 위해 다른 한 명이 합류했다. 두 프로젝트 모두 승인되어 심사를 거쳤고, 하나가 수상했다.
2026년 2월 — 2개월 이상 지난 후 — 팀은 “파밍” 및 “공유 코드베이스”를 이유로 실격되었다 — 코드에 대한 어떠한 기술적 비교도 증거로 제시되지 않은 채. 실격은 ETHGlobal 플랫폼을 통해 전달되었다.
팀이 증거를 요청했을 때 — diff, 커밋 분석, 코드베이스가 공유되었다는 어떤 것이라도 — 아무것도 제공되지 않았다. 이후 팀은 연락마저 차단되었다. 실격 규정은 공식 행사 규정이 아닌 FAQ 페이지에만 존재했다. 이 사례는 ETHGlobal 인프라와 현지 주최자 간의 책임 경계가 불명확함을 보여준다.
Bolt 해커톤은 “세계 최대 해커톤”을 표방하며 130,000명 이상의 등록 빌더와 100만 달러 이상의 상금으로 진행되었지만, Hacker News에서 상세한 비판에 직면했다:
주요 상 20개 중 17개가 미국, 캐나다, EU 프로젝트에 돌아갔다 — 이들 지역이 전체 참가자의 약 25%에 불과함에도. 최소 한 명의 수상자는 작동하는 데모가 없는 프로젝트를 제출했다 — localhost 스크린샷과 비평가들이 “AI 생성 영상”이라고 묘사한 것만 있었다. 또 다른 수상자는 규정에서 명시적으로 요구하는 배포 URL을 제출하지 않은 것으로 알려졌다.
참가자들이 우려를 제기하자, Bolt는 Reddit과 Discord에서 이들을 삭제하고 비판자들의 게시를 차단했다.
다수의 참가자들이 독립적으로 이러한 불만을 확인하며, 완전히 작동하는 배포된 프로젝트가 작동하지 않는 데모에 밀렸다고 밝혔다.
2025년 3월 Geethanjali College of Engineering and Technology가 주최한 48시간 해커톤에서, 외부 참가자들은 1인당 ₹450를 내고 참가하여 완전히 작동하는 프로젝트를 개발했다.
6개 상 전부 — 3개 부문(AI/ML, IoT, Open Innovation) 각 2개 — 가 주최 대학 팀에게만 돌아갔다. 참가자들은 여러 수상 프로젝트가 코드에 대한 이해 없이 “GPT 복붙”으로 만들어졌으며, IoT 부문 수상작 하나는 전혀 작동하지 않았다고 증언했다.
외부 팀들이 행사 그룹 채팅에서 불만을 제기하자, 주최 측은 게시 권한을 삭제하고 이후 모든 소통을 무시했다.
3부: 패턴의 반복 — 추가 사례 2건 (2025)
위 사례들은 엘리트 행사에만 국한되지 않는다. 동일한 구조적 결함이 모든 수준에서 반복된다 — 대학 해커톤에서 크로스 플랫폼 파밍까지.
2025년 11월 Chandigarh University가 주최한 HackWithUttarPradesh에서 외부 참가자 한 명이 보고한 내용:
• 약속했던 식사 미제공
• 참가자들이 복도에서 취침
• 내부 팀 우대 편향 심사
• 평가 과정에서 외부 팀 완전히 무시
• 전반적 경험이 “해커톤이 아니라 대학 홍보 행사”로 묘사됨
이 패턴은 사례 6(Geethanjali College)과 동일하다 — 주최 기관이 모든 상을 가져가고, 외부 참가자는 들러리 취급을 받는다.
2025년 12월, 한 커뮤니티 멤버가 저명한 크립토 커뮤니티 리더들이 “해커톤을 돌아다니며 같은 프로젝트를 조금도 부끄러움 없이 반복 제출하고 있다”고 문서화했다 — ETHIndia, Devfolio 등 여러 행사를 태그했다.
어떤 플랫폼도 제출물이 다른 곳에서 이미 수상했는지 확인하지 않는다. 크로스 플랫폼 검증은 존재하지 않는다. 같은 코드베이스, 같은 데모, 같은 피칭 — 다른 상금 풀.
패턴
이것들은 개별 사건이 아니다. 대학 행사부터 100만 달러 이상 대회까지, 동일한 구조적 공백에서 비롯된 8가지 증상이다:
주석: ETHGlobal은 위 감사 섹션에 포함되어 있으나(플랫폼 인프라 감사), 사례 4는 Ethereum Argentina(Devconnect Buenos Aires)가 현지 주최자로서 운영한 이벤트에 관한 것이므로 이 패턴 표에는 포함되지 않는다.
| 사례 | 유형 |
|---|---|
| KagamiAI (ETHGlobal → HackQuest) | 프로젝트 표절 |
| getblink.fun (SuperteamIN) | 코드 도용 |
| CRED Rabbit Hole | IP 권리 탈취 |
| Ethereum Argentina (Devconnect Buenos Aires) | 부당 실격 |
| Bolt Hackathon | 편향 심사 + 검열 |
| Geethanjali College | 이해 충돌 |
| HackWithUttarPradesh | 편향 심사 |
| 크로스 플랫폼 파밍 | 다중 행사 사기 |
모두가 문제를 외면하는 것은 아니다
우리 조사에서 두 조직은 무결성 실패에 구체적인 조치로 대응했다. SuperteamIN(사례 2)은 표절 보고를 접수하고 조사를 개시했다. CRED(사례 3)는 공개적 반발 후 24시간 내에 약탈적 IP 조항을 철회했다. 이러한 대응은 조직이 무결성을 진지하게 받아들일 때 시스템이 자정될 수 있음을 보여준다 — 다만 문제가 공개되었을 때만. 질문은 이것이다: 예방적 인프라가 존재하는데 왜 공개적 사건을 기다리는가?
법적 관점
IP 법률 전문가들은 이미 해커톤 제출물 보안을 증가하는 우려 사항으로 지적하고 있다. CRED Rabbit Hole 사례에서 IP 변호사는 해커톤 약관이 사실상 참가자가 주최자를 위해 무료로 작업하는 것과 같다고 공개적으로 경고했다 — 대부분의 참가자가 전혀 고려하지 않는 리스크다. 2025년 3월 마르세유 법원 판결은 블록체인 타임스탬프를 유효한 저작권 증거로 인정했으며, 법적 프레임워크를 확립했다: IP 보호 도구는 존재하며 법원도 이를 인정한다. 공백은 기술이 아니라 채택의 문제다.
왜 악화되고 있는가
2026년 2월, 창펑 자오(CZ)는 프라이버시의 부재가 “크립토 결제 도입의 빠진 고리일 수 있다”고 경고했다 — 온체인 거래가 누가 누구에게 얼마를 지불하는지 노출한다는 점을 지적하며. 같은 논리가 해커톤에도 적용된다: 제출물, 심사위원 배정, 점수가 접근 통제 없는 플랫폼에 놓여 있을 때, 그 프로세스는 최악의 의미로 투명하다 — 악용하려는 사람에게는 보이고, 감사하려는 사람에게는 보이지 않는다.
같은 주, 비탈릭 부테린은 암호학적 검증을 기본 인프라로 만들겠다는 비전을 제시했다 — “온체인 분쟁 해결이 포함된 보증금,” “ZK 프라이버시 보존 결제 및 평판,” 그리고 그가 수년간 주장해온 원칙: “신뢰하지 말라; 모든 것을 검증하라.” 별도의 게시물에서 그는 신원을 스테이크로 대체하는 모델을 지지했다 — 참가자가 보증금을 예치하고, 익명으로 활동하며, 시스템을 남용하면 슬래싱을 당하는 구조.
두 최대 블록체인 생태계의 창립자들이 독립적으로 프라이버시 보존 검증이 인프라에 내장되어야 한다고 — 사후에 덧붙이는 것이 아니라 — 말하고 있을 때, 해커톤 제출물에 이러한 보호가 없다는 것은 덜 눈에 띄는 것이 아니라 더 눈에 띈다. 기술은 존재한다. 수요는 최고 수준에서 표명되고 있다. 공백은 채택의 문제다.
최선의 방어는 비밀이 아니다. 증거다.
모든 것을 기록하라. 타임스탬프를 신뢰하라. 블록체인은 거짓말하지 않는다.
문제는 기록되었다. 해결책은 알려져 있다. 부족한 것은 채택이다.
출처
- ETHGlobal 행사: ethglobal.com/events
- ETHGlobal 뉴델리 2025 파이널리스트 (KagamiAI): x.com/ETHGlobal/status/1972276802270925116
- KagamiAI 표절 스레드: x.com/kararsweta/status/1976620328832094629
- KagamiAI 증거 게시물: x.com/SoumikBaksi/status/1976615890042118231
- getblink.fun 원본 저장소: github.com/shubhiscoding/getblink.fun
- getblink.fun 코드 도용 스레드: x.com/LookWhatIbuild/status/1977478395022950907
- CRED Rabbit Hole IP 반발: x.com/adityaoberai1/status/1902613859023847892
- CRED Rabbit Hole — OfficeChai 보도 (Kunal Shah 응답 포함): officechai.com
- Ethereum Argentina (Devconnect Buenos Aires) 실격 스레드: x.com/CaptainCodeOnX/status/2021551261435429190
- Bolt 해커톤 공정성 논의 (Hacker News): news.ycombinator.com/item?id=44702465
- Bolt 해커톤 비판: x.com/0xPaulius/status/1949427171769934070
- Geethanjali College 해커톤 편향 스레드: x.com/mani_yadla_/status/1904515471430566362
- HackWithUttarPradesh — 편향 심사: x.com/AvAwasthi/status/1985223392015056964
- 크로스 플랫폼 프로젝트 파밍: x.com/_KxrMa_G/status/2002047507308982565
- 마르세유 법원 — 블록체인의 법적 증거력: euipo.europa.eu
- Goodwin Law — 프랑스 블록체인 타임스탬핑: goodwinlaw.com
- TCS AI 해커톤 (281,000명 참가): tcs.com
- Avalanche Build Games (100만 달러 상금): build.avax.network/build-games
- Web3Privacy Now — 베를린 해커톤 제출물: github.com/web3privacy/hackathon-2025-berlin-submissions
- CZ의 프라이버시와 크립토 도입에 관한 발언 (2026년 2월 15일): x.com/cz_binance/status/2023016538677371079
- 비탈릭 부테린 — AI + 이더리움: 보증금, 온체인 분쟁 해결, ZK 프라이버시 (2026년 2월 9일): x.com/VitalikButerin/status/2020963864175657102
- 비탈릭 부테린 — ZK 프라이버시 보존 평판 (2026년 2월 11일): x.com/VitalikButerin/status/2021594878162157948
- 비탈릭 부테린 / Davide Crapis — 신원을 스테이크로 대체 (2026년 2월 11일): x.com/VitalikButerin/status/2021586150973206827
프로젝트가 복제된 적이 있나요? 불공정한 심사를 경험하셨나요? 증거 없이 실격되셨나요?
당신의 이야기는 — 익명이라도 — 증거의 일부가 됩니다.
모든 제보는 리서치 팀의 검토를 거칩니다. 익명 제보자의 신원은 본인의 명시적 동의 없이 절대 공개되지 않습니다.