- Published on
2026년 떠오르는 오픈소스 지도 — OpenClaw, n8n, Langflow, Dify, Ollama 실전 서베이
- Authors
- Name
- Youngju Kim
- @fjvbn20031
스타 수가 많은 프로젝트와 실제로 쓸 만한 프로젝트는 다르다. 2026년 GitHub 트렌딩 목록은 그 어느 때보다 시끄럽지만, 시끄러움과 신뢰도는 비례하지 않는다. 이 글은 올해 진짜로 떠오른 오픈소스 프로젝트들을 골라, 무엇이고 왜 뜨는지, 그리고 무엇보다 도입 전에 무엇을 의심해야 하는지를 실무자 관점에서 정리한다.
프롤로그 — 2026년 오픈소스 지형의 변화
2025년 GitHub Octoverse 보고서의 숫자부터 보자. 1초마다 1명 이상의 새 개발자가 GitHub에 합류했고, 누적 개발자는 1억 8천만 명을 넘었다. LLM SDK를 사용하는 공개 저장소는 110만 개를 넘었고, 그중 약 69만 개가 최근 12개월 안에 생성됐다. LLM 관련 프로젝트는 전년 대비 178퍼센트 증가했고, AI 관련 저장소는 430만 개를 넘었다. TypeScript가 Python과 JavaScript를 제치고 사용량 1위 언어가 됐는데, GitHub는 그 이유를 "LLM과 일할 때 필요한 타입 안전성"으로 설명한다.
이 숫자들이 말하는 것은 단순하다. 오픈소스의 무게 중심이 AI 인프라와 에이전트 도구로 옮겨갔다. 2010년대의 트렌딩이 프론트엔드 프레임워크와 빌드 도구였다면, 2026년의 트렌딩은 LLM 게이트웨이, 워크플로 자동화, 로컬 추론 런타임이다.
동시에 위험도 옮겨갔다. 프론트엔드 라이브러리는 잘못 써도 화면이 깨지는 정도였다. 그런데 자율 에이전트는 잘못 쓰면 셸을 실행하고, 파일을 지우고, 자격 증명을 외부로 보낸다. 트렌딩 목록을 읽는 방식 자체가 달라져야 한다는 뜻이다.
이 글의 전제: 스타 수는 "관심"의 지표이지 "채택"의 지표가 아니다. 우리는 관심을 채택으로 번역하는 작업을 한다.
1장 · "트렌딩"을 읽는 법 — 스타는 채택이 아니다
GitHub 스타는 북마크에 가깝다. "나중에 볼게"라는 신호이지 "프로덕션에 넣었다"는 신호가 아니다. 트렌딩 프로젝트를 평가할 때 스타 수만 보면 거의 항상 틀린다.
대신 봐야 할 신호들:
| 신호 | 무엇을 말하는가 | 어디서 보는가 |
|---|---|---|
| 스타 증가 곡선 | 관심의 속도 (도입 아님) | star-history 같은 도구 |
| 닫힌 이슈 대 열린 이슈 비율 | 유지보수 건강도 | Issues 탭 |
| PR 머지 빈도와 리뷰 깊이 | 코어 팀의 실제 활동 | Pull requests 탭 |
| 기여자 수 대 버스 팩터 | 한 사람에게 의존하는지 | Insights · Contributors |
| 릴리스 케이던스 | 릴리스 규율이 있는지 | Releases 탭 |
| 다운로드 추이 | 진짜 사용량 (npm, PyPI, Docker) | 패키지 레지스트리 통계 |
| 의존하는 프로젝트 수 | 생태계 신뢰 | Used by 카운트 |
스타가 한 주 만에 10만 개 늘었다면 그것은 바이럴 이벤트지 성숙도 신호가 아니다. 바이럴은 빠르게 식기도 한다. 반대로 스타가 천천히 늘지만 닫힌 이슈 비율이 높고 다운로드가 꾸준히 우상향하면, 그 프로젝트는 조용히 인프라가 되고 있는 중이다.
또 하나의 함정: 트렌딩 페이지는 "오늘 가장 시끄러운 것"을 보여주지 "올해 가장 중요한 것"을 보여주지 않는다. 트렌딩에서 한 번도 못 본 프로젝트가 당신 회사 스택의 절반을 떠받치고 있을 수 있다.
실무 규칙 하나: 트렌딩에서 본 프로젝트는 "관심 목록"에 넣고 최소 한 분기를 관찰한다. 그 사이에 곡선이 무너지면 시간을 아낀 것이고, 곡선이 유지되면 그때 진지하게 검토한다.
2장 · OpenClaw — GitHub 역사상 가장 빠른 성장, 그리고 그 그림자
2026년 오픈소스 이야기는 OpenClaw 없이 할 수 없다.
PSPDFKit 창업자 Peter Steinberger가 만든 자율 AI 에이전트 프로젝트로, 2025년 11월 Clawdbot이라는 이름으로 처음 공개됐다가 2026년 1월 25일 OpenClaw로 정식 출시됐다. 출시 첫 24시간에 스타 9천 개, 2월 2일에 10만 개, 3월 초에는 25만 개를 넘기며 React가 10년에 걸쳐 쌓은 기록을 약 60일 만에 넘어섰다. GitHub 역사상 가장 빠르게 성장한 오픈소스 프로젝트다. (수치는 2026년 초 기준이며 이후 계속 변동 중이다.)
무엇인가
OpenClaw는 "로컬 우선" 자율 에이전트다. 핵심 구조는 이렇다.
사용자 / 외부 트리거
|
로컬 게이트웨이 (모든 요청이 여기를 통과)
|
+-----+------+-------------+
| | |
Skills ClawHub 외부 LLM
(능력) (레지스트리) (Claude / GPT / DeepSeek)
|
eBPF 기반 보안 샌드박스
|
로컬 OS · 파일 · 셸 · 네트워크
- 로컬 게이트웨이: 봇이 사용자 머신에서 직접 돌아간다. 모델 호출만 외부 LLM으로 나가고 실행은 로컬에서 이뤄진다.
- Skills와 ClawHub:
Skill은 에이전트의 능력 단위이고,ClawHub는 이 Skill들을 공유하는 레지스트리다. npm이나 VS Code 마켓플레이스의 에이전트 버전이라고 보면 된다. - eBPF 기반 보안 하드닝: 커널 레벨에서 에이전트의 시스템 콜을 관찰하고 제약하는 방식을 도입했다.
라이선스는 MIT다. 2026년 2월 Steinberger가 OpenAI 합류를 발표하면서 프로젝트는 독립 비영리 재단으로 이관됐고, 커뮤니티 거버넌스 체제로 운영된다.
왜 뜨는가
세 가지가 겹쳤다. 첫째, "로컬에서 도는 진짜 자율 에이전트"라는 서사가 클라우드 의존에 지친 개발자들에게 정확히 꽂혔다. 둘째, Steinberger라는 검증된 창업자의 이름값과 공개적인 빌드 과정. 셋째, 출시 타이밍 — 2026년 초는 에이전트 도구에 대한 시장의 굶주림이 최고조였다.
그림자 — 광범위 권한 문제
여기서부터 실무자는 멈춰야 한다.
OpenClaw의 강점인 "로컬에서 셸과 파일에 접근하는 자율 에이전트"는 그대로 약점이다. 에이전트가 잘못된 Skill을 실행하거나, 프롬프트 인젝션에 당하거나, ClawHub에서 검증 안 된 Skill을 끌어오면 — 그 결과는 화면 깨짐이 아니라 데이터 유출이다.
eBPF 샌드박스는 진지한 시도지만, 샌드박스는 "구성된 만큼만" 안전하다. 기본 설정이 넓으면 샌드박스가 있어도 의미가 약하다. 다음 사항을 반드시 확인하라.
- 기본 권한 범위. 설치 직후 에이전트가 무엇에 접근할 수 있는가?
- ClawHub Skill의 검증 절차. 누구나 올릴 수 있는가, 서명이 있는가?
- 감사 로그. 에이전트가 무엇을 실행했는지 사후에 추적 가능한가?
- 모델 호출 시 어떤 데이터가 외부 LLM으로 나가는가?
OpenClaw는 흥미롭고, 빠르게 좋아지고 있다. 하지만 "GitHub 1위니까 안전하다"는 추론은 성립하지 않는다. 스타 25만 개와 보안 검증은 무관하다.
3장 · 워크플로 자동화 — n8n의 조용한 지배
화제성으로는 OpenClaw가 압도하지만, "조용히 인프라가 된" 사례는 n8n이다.
n8n은 워크플로 자동화 플랫폼이다. 노드를 시각적으로 연결해 자동화를 만들되, 필요하면 커스텀 코드를 끼워 넣을 수 있다. 400개 이상의 통합을 제공하고, 셀프 호스팅과 클라우드를 모두 지원한다. 스타 수는 2026년 들어 빠르게 늘어 (초기 10만 대에서) 18만 개를 넘겼고, 활성 사용자는 약 20만 명, 엔터프라이즈 고객은 3천 곳 이상이다.
fair-code 라이선스 — 오픈소스가 아니다, 정확히는
n8n에서 가장 자주 오해되는 지점이다. n8n은 OSI 승인 오픈소스 라이선스가 아니라 fair-code 모델, 구체적으로 Sustainable Use License를 쓴다.
| 항목 | fair-code (n8n) | 전통적 OSS (MIT 등) |
|---|---|---|
| 소스 공개 | 공개 | 공개 |
| 셀프 호스팅 | 가능 (비상업/소규모) | 제한 없음 |
| 상업적 재판매 | 제한 | 보통 허용 |
| 엔터프라이즈 기능 (SSO, 감사 로그) | 별도 상업 라이선스 | 해당 없음 |
| OSI 승인 | 아님 | 맞음 |
내부 자동화 도구로 셀프 호스팅하는 대부분의 경우 문제없다. 하지만 n8n을 제품에 임베드해 재판매하거나, SSO 같은 엔터프라이즈 기능이 필요하면 라이선스를 다시 읽어야 한다. "GitHub에 있으니 마음대로 써도 된다"가 통하지 않는 대표 사례다.
언제 쓰는가
- 여러 SaaS를 잇는 사내 자동화 (CRM, 슬랙, DB, 이메일).
- 코드로 짜기엔 과한데 노코드로는 부족한 중간 영역.
- 데이터를 내 인프라 안에 두고 싶을 때 (셀프 호스팅).
언제 피하는가
- 핵심 비즈니스 로직. 시각적 노드 그래프는 버전 관리와 코드 리뷰가 어렵다.
- 초저지연이 필요한 경로. n8n은 통합 편의가 강점이지 지연 시간 최적화 도구가 아니다.
- 라이선스 경계를 넘는 상업적 사용. 위 표 참고.
4장 · 비주얼 에이전트 빌더 — Langflow, Dify, Flowise
LLM 앱을 드래그앤드롭으로 만드는 범주가 2026년에 확고히 자리 잡았다. 세 프로젝트가 이 공간을 나눠 갖는다.
| 프로젝트 | 기반 | 강점 | 스타 (2026 초 기준) |
|---|---|---|---|
| Langflow | Python · LangChain 래핑 | 멀티 에이전트, RAG, 컴포넌트마다 Python 소스 노출 | 약 14만 6천 |
| Dify | 풀스택 LLM 앱 플랫폼 | 내장 RAG, 프롬프트 버전 관리, 앱 퍼블리싱 | 13만 이상 |
| Flowise | Node.js | 3가지 빌더 모드 (Assistant / Chatflow / Agentflow) | 약 5만 |
Langflow
DataStax(현재 IBM 산하)가 유지보수하는 Python 기반 비주얼 빌더로, LangChain을 드래그앤드롭 에디터로 감쌌다. 핵심 차별점은 모든 컴포넌트가 자기 Python 소스를 노출한다는 점이다. 시각적으로 시작하되 막히면 코드로 내려갈 수 있다. LangChain 생태계에 이미 발을 담갔다면 가장 자연스럽다.
Dify
세 개 중 "플랫폼"에 가장 가깝다. RAG, 프롬프트 버전 관리, 앱 퍼블리싱이 처음부터 내장돼 있다. 빌더라기보다 LLMOps 환경이다. 비개발자 팀원이 프롬프트를 관리하고, 개발자가 백엔드를 잡는 분업 구조에 잘 맞는다.
Flowise
Node.js 기반이고, 숙련도에 따라 세 가지 인터페이스를 제공한다. 초보용 Assistant 모드, 단일 에이전트용 Chatflow, 멀티 에이전트용 Agentflow. JavaScript/Node 스택에 정렬돼 있고 진입 장벽이 낮다.
공통 함정
비주얼 빌더 전체에 적용되는 경고. 데모는 빠르고 프로덕션은 느리다. 드래그앤드롭으로 5분 만에 만든 플로는 인상적이지만, 그 플로를 버전 관리하고, 테스트하고, 두 환경 사이에서 diff 하는 순간 마찰이 시작된다. 비주얼 그래프는 git diff에 친화적이지 않다.
도입 전 자문할 것: 이 플로를 6개월 뒤 다른 사람이 디버깅할 수 있는가? 답이 "아니오"면 프로토타입 도구로만 쓰고 핵심 경로는 코드로 옮겨라. 세 프로젝트 모두 Ollama 연결을 지원하니, 로컬 추론과 묶어 프라이빗 환경을 구성하는 것은 가능하다.
5장 · 로컬 AI 인프라 — Ollama와 친구들
클라우드 LLM 비용과 데이터 거버넌스 우려가 겹치면서, 로컬 추론 런타임이 2026년 트렌딩의 한 축이 됐다. 중심에 Ollama가 있다.
Ollama
Go로 작성된 경량 프레임워크로, 대규모 언어 모델을 자기 하드웨어에서 실행하고 관리한다. 핵심 가치는 "복잡한 추론 스택을 한 줄 명령으로 줄였다"는 점이다.
# 모델 받고 바로 실행
ollama run llama3
# 로컬 API 서버로 띄우기 (앱에서 호출)
ollama serve
이 단순함이 Ollama를 로컬 AI의 사실상 기본값으로 만들었다. 앞 장의 Langflow, Dify, Flowise가 모두 Ollama 연결을 지원하는 이유다 — 비주얼 빌더로 설계하고 추론은 로컬에서 돌리는 조합.
언제 로컬 추론을 택하는가
| 상황 | 로컬 (Ollama 등) | 클라우드 API |
|---|---|---|
| 민감 데이터, 외부 반출 불가 | 적합 | 부적합 |
| 예측 가능한 고정 비용 선호 | 적합 | 가변 비용 |
| 최고 성능 프런티어 모델 필요 | 한계 있음 | 적합 |
| 오프라인 / 에어갭 환경 | 적합 | 불가능 |
| 운영 부담 최소화 | 하드웨어 관리 필요 | 적합 |
함정
로컬 추론은 공짜가 아니다. GPU 메모리, 모델 양자화 트레이드오프, 처리량 한계가 모두 당신 책임이 된다. "API 키 대신 명령 한 줄"의 단순함 뒤에 하드웨어 운영이라는 비용이 숨어 있다. 그리고 로컬에서 돌릴 수 있는 모델은 보통 최상위 프런티어 모델보다 작다 — 품질 기대치를 조정해야 한다.
그래도 방향성은 분명하다. "추론을 어디서 돌릴지"가 더 이상 클라우드 한 가지 답이 아닌 시대다.
6장 · 명예의 전당 — 트렌딩 주변부의 프로젝트들
위 다섯 개만큼 화제는 아니지만 2026년 트렌딩 주변에서 반복적으로 보이는 범주들. 세부 이름보다 범주로 기억하는 게 실용적이다.
- RAG 파이프라인 도구: 검색 증강 생성을 프로덕션 수준으로 묶는 프레임워크들. Octoverse가 RAG를 핵심 성장 영역으로 짚었다.
- 에이전트 오케스트레이션 프레임워크: 여러 에이전트의 협업, 상태 관리, 도구 호출을 코드로 다루는 라이브러리들. 비주얼 빌더의 코드 우선 대안.
- 로컬 모델 서빙 대안: Ollama 외에도 추론 서버, 양자화 도구, 모델 게이트웨이가 활발하다.
- 개발자용 AI 코딩 에이전트: 터미널과 IDE에 붙는 코딩 보조 에이전트. 80퍼센트의 신규 개발자가 첫 주에 Copilot을 쓴다는 Octoverse 수치가 이 범주의 수요를 설명한다.
- MCP 생태계 도구: 모델-도구 연결 표준 주변의 서버, 레지스트리, 어댑터들.
공통점: 거의 전부가 LLM을 "감싸거나", "연결하거나", "로컬에서 돌리는" 일을 한다. 2026년 트렌딩의 문법은 이 세 동사로 거의 설명된다.
7장 · 보안 청구서 — 광범위 권한 에이전트와 검증 안 된 레지스트리
이 글에서 가장 중요한 장이다.
2026년 트렌딩 프로젝트의 상당수는 셸을 실행하고, 파일을 건드리고, 네트워크로 나간다. 자율 에이전트의 본질이 그렇다. 그리고 그 능력은 Skill 레지스트리, 플러그인 마켓플레이스, 커뮤니티 노드 형태로 확장된다 — 즉, 제3자가 작성한 코드가 당신 머신의 권한으로 실행된다.
이것을 공급망 보안 문제로 보지 않으면 안 된다.
위협 모델
| 위협 | 시나리오 | 영향 |
|---|---|---|
| 악성 Skill / 플러그인 | 레지스트리에 올라온 검증 안 된 코드 설치 | 임의 코드 실행 |
| 프롬프트 인젝션 | 처리하는 문서/웹페이지에 숨은 명령 | 에이전트가 의도치 않은 행동 |
| 과도한 기본 권한 | 설치 직후 광범위 접근 허용 | 사고 시 피해 범위 확대 |
| 데이터 반출 | 모델 호출에 민감 정보 포함 | 외부 LLM으로 유출 |
| 의존성 혼동 | Skill이 끌어오는 패키지의 변조 | 간접 침해 |
실무 방어선
- 기본 거부. 에이전트에게 필요한 최소 권한만 허용한다. 넓은 기본값을 그대로 두지 않는다.
- 레지스트리를 신뢰하지 않는다. ClawHub든 커뮤니티 노드든, 설치 전 코드를 읽거나 최소한 출처/서명을 확인한다.
- 격리 환경에서 먼저 돌린다. 컨테이너, 전용 VM, 별도 계정. 프로덕션 자격 증명이 없는 곳에서 검증한다.
- 감사 로그를 켠다. 에이전트가 무엇을 실행했는지 사후 추적 가능해야 한다. 불가능하면 도입 보류.
- 모델로 나가는 데이터를 통제한다. 무엇이 외부 LLM 호출에 포함되는지 명시적으로 안다.
- eBPF 샌드박스 같은 장치는 보너스이지 면죄부가 아니다. 구성 책임은 여전히 당신에게 있다.
핵심 문장 하나만 가져간다면: "인기 있다"와 "안전하다"는 독립 변수다. GitHub 1위 프로젝트도 당신 환경에서는 검증되지 않은 코드다.
8장 · 뜨거운 프로젝트를 도입 전에 검증하는 법
트렌딩에서 본 프로젝트를 진지하게 검토할 때의 체크 절차. 위 7개 장을 하나의 워크플로로 압축한 것이다.
[발견] 트렌딩 / 추천 / 입소문
|
[관찰] 관심 목록에 넣고 1분기 — 곡선이 유지되는가
|
[건강] 닫힌 이슈 비율, PR 케이던스, 버스 팩터, 릴리스 규율
|
[라이선스] OSI? fair-code? 상업적 사용 경계는?
|
[보안] 기본 권한, 레지스트리 검증, 감사 로그, 데이터 반출
|
[격리 검증] 컨테이너/VM에서 실제 작업으로 테스트
|
[탈출 비용] 나중에 걷어낼 수 있는가 — 락인 정도
|
[결정] 핵심 경로 / 보조 도구 / 보류
각 단계의 한 줄 질문:
| 단계 | 핵심 질문 |
|---|---|
| 관찰 | 화제가 식어도 곡선이 버티는가? |
| 건강 | 한 사람이 사라지면 죽는 프로젝트인가? |
| 라이선스 | 우리 사용 방식이 라이선스 안에 있는가? |
| 보안 | 사고가 나면 피해 범위가 어디까지인가? |
| 격리 검증 | 데모가 아니라 우리 작업에서도 되는가? |
| 탈출 비용 | 6개월 뒤 후회하면 빠져나올 수 있는가? |
마지막 두 가지를 특히 강조한다. 격리 검증 없이 도입하면 데모의 인상에 속는다. 탈출 비용을 따지지 않으면 트렌딩에 올라탔다가 락인에 갇힌다. 뜨거운 프로젝트일수록 이 두 질문이 더 중요하다 — 화제성은 판단을 흐리기 때문이다.
에필로그 — 체크리스트, 안티패턴, 다음 글 예고
2026년의 오픈소스 트렌딩은 그 어느 때보다 빠르고 시끄럽다. 빠름과 시끄러움은 기회이자 함정이다. 신호를 노이즈에서 분리하는 규율이 핵심이다.
도입 전 체크리스트
- 스타 수가 아니라 건강 지표(닫힌 이슈, PR 케이던스, 버스 팩터)를 확인했다.
- 화제성을 한 분기 관찰한 뒤 곡선이 유지되는지 봤다.
- 라이선스를 직접 읽었고, 우리 사용 방식이 그 경계 안에 있다.
- 기본 권한 범위를 확인했고 최소 권한으로 좁혔다.
- Skill/플러그인/노드 레지스트리를 공급망 위협으로 다뤘다.
- 격리 환경(컨테이너/VM)에서 실제 작업으로 검증했다.
- 감사 로그가 켜져 있고 에이전트 행동을 추적할 수 있다.
- 탈출 비용을 추정했고 락인 정도를 받아들일 수 있다.
- 핵심 경로인지 보조 도구인지 명시적으로 분류했다.
안티패턴
- 스타 = 품질로 읽기. 스타는 관심 지표다. 25만 스타와 보안 검증은 무관하다.
- 트렌딩 = 채택으로 읽기. 트렌딩 페이지는 "오늘 가장 시끄러운 것"이지 "올해 가장 중요한 것"이 아니다.
- 라이선스 안 읽고 "GitHub에 있으니까" 쓰기. fair-code는 OSS가 아니다.
- 레지스트리를 신뢰하기. 검증 안 된 Skill/플러그인은 당신 권한으로 도는 제3자 코드다.
- 기본 권한을 그대로 두기. 넓은 기본값 + 자율 에이전트 = 사고 시 광범위 피해.
- 데모만 보고 도입하기. 비주얼 빌더는 데모가 빠르고 프로덕션이 느리다.
- 샌드박스를 면죄부로 여기기. eBPF 하드닝도 구성된 만큼만 안전하다.
- 탈출 비용 안 따지고 올라타기. 화제성이 식은 뒤 락인만 남는다.
다음 글 예고
다음 글에서는 이 글에서 "범주"로만 다룬 MCP 생태계를 깊이 판다. 모델-도구 연결 표준이 왜 2026년 에이전트 인프라의 중심이 됐는지, 서버를 직접 만들 때의 설계 원칙, 그리고 MCP 서버 레지스트리가 7장에서 말한 공급망 위협을 어떻게 재현하는지 — 보안 청구서를 한 단계 더 깊이 들여다본다.
스타 수는 누가 문을 두드렸는지 알려줄 뿐이다. 누구를 집에 들일지는 당신이 정한다.