며칠 전 해커뉴스에 옵시디언 커뮤니티 플러그인이 원격 제어 트로이목마(RAT) 배포에 악용됐다는 글이 올라왔다. 노트 빨리 쓰겠다고 깔았다가, 어느 날 누군가 그 노트북에서 셸을 따고 있었던 거다.

좁은 얘기처럼 들리지만 전혀 아니다.

요즘 업무의 모양

지식 노동자는 이제 그냥 소프트웨어를 쓰지 않는다. 스택을 굴린다. 누군가의 "워크플로우"가 브라우저 확장 15개, AI 도구 6개, 플러그인 12개 깔린 노트앱, 슬랙 봇 2개, 아무도 손대기 싫은 자피어 그래프 하나로 굴러간다. 그 목록 안의 모든 항목은 누군가 화요일 오후에 회의 반쯤 듣다가 내린 신뢰 결정이다.

그중 하나라도 적대적으로 바뀌는 순간 전체가 불난다.

5년 전쯤만 해도 미래의 업무 얘기는 원격이냐 하이브리드냐였다. 요즘 진짜 묻고 있는 건 매일 쓰는 도구의 공격 면적을 누가 관리하느냐다. 대부분 팀의 솔직한 답은 '아무도'다.

유지보수 청구서가 오기 시작했다

요즘 피드에 자주 보이는 글이 있다. AI 코딩 에이전트가 유지보수 비용은 안 줄여준다는 얘기. 동작하는 코드를 뽑아준다, 좋다. 근데 그 코드도 패치하고, 감사하고, 재배포하고, 다음 분기에 인수받는 사람한테 설명해야 한다.

직접 인프라를 띄우면 직접 유지보수해야 한다. 예전엔 개발자 문제였다. 이제는 프롬프트 한 줄로 앱이 나오니까, 모두의 문제다. 솔로 창업가, 마케팅 팀, 이런 거 하기 싫었던 운영 매니저까지.

대부분은 매니지드가 답이다

대부분의 팀은 플러그인을 더 끼울 필요도 없고, 백엔드를 직접 띄울 필요도 없다. 그냥 굴리기 싫은 인프라를 안 굴리면 된다.

DontCode가 거는 베팅이 이거다. AI는 앱 빌딩에 맞춰 파인튜닝돼 있다. 일반 챗봇을 UI에 감싼 게 아니다. 데이터베이스, 인증, 알림, 배포 다 사전 구성돼 있다. 카카오페이나 토스 붙이려고 플러그인 추가하지 않는다. 이미 있다. 인증 라이브러리 고르지 않는다. 이미 있다. 기능 하나 때문에 랜덤 npm 패키지를 감사하지 않는다. 그건 우리가 한다.

옵시디언 사건은 다음 달에 다른 이름으로 또 나올 거다. 플러그인 모델은 구조적으로 약하다. AI 어시스턴트 주변에 쌓고 있는 확장 스택도 같은 이유로 약하다.

비개발자에게 무엇이 달라지나

지금 사업을 만들고 있다면 길은 두 갈래다. 도구 50개를 붙여놓고 공급망 어디서도 사고가 안 나길 비는 길. 위험한 부분이 남의 책임인 플랫폼을 쓰는 길.

DontCoder는 두 번째를 고른다. 손맛은 충분히 누리되, 인증 라이브러리나 결제 게이트웨이로는 안 논다.

실제로 어떤 느낌인지 보고 싶으면 DontCode를 한번 써보시라. 노코드가 누가 빌드하는지를 어떻게 바꾸고 있는지 더 읽고 싶으면 블로그도 있다.