2026년 첫번째 해커톤 - 패스트빌더톤 with 앤트로픽, 엔비디아, 패스트캠퍼스.. 그리고 우승

2026년 새해, 해커톤에 다녀왔다.

바로 2026 패스트 빌더톤 - Fast Builderthon

패스트캠퍼스 주최에
앤트로픽(내사랑), 엔비디아, 레플릿, STT/TTS의 일레븐랩스까지

2026년 첫 포문을 연 초대형 해커톤이라 지원 팀 규모도 많고 쟁쟁했었다.

27개팀(약 100명)이 본선에 진출했는데,
27개 팀이 전부 18시간만에 '출시'를 했다고?
이런 대회는 처음봤다. 그만큼 참가자 분들 수준이 역대급이었다.

나이대도 20대 초반 대학생부터 취준생, 대학원생, 직장인, 40대까지.
정말 다양한 분들께서 대회에 참여하셨고 그만큼 '해커톤'다웠다.

심사위원(Judge) 또한 굉장했다.
오랜만에 진짜 굉장한 분들에게 심사를 받을 수 있었다.

벌써 18번째 해커톤, AI 해커톤만 8번째이지만
이번에는 또 다른 의미로 기쁨과 많은 것을 경험했던 2026 Fast Builderthon.
지난 18시간을 회고해본다.

---

시작하기에 앞서
우리에게 대상, 1위를 안겨준 서비스는 바로

바이브 코더의, 바이브 코더에 의한, 바이브 코더를 위한
단 5분, 원클릭 보안 스캐너

트러스트 TRUST

Trust - Sercure your Vibe

(원클릭 보안 스캔 체험해보기)

---

#2. 대회를 시작하다.

간만에 내가 먼저 제안을 했다.
역시 우리 스톤즈랩,
이번에도 흔쾌히 함께 참여해주셨다.

---

예선

예선은 포트폴리오 제출로 심사가 진행됐다.

우리 팀의 작년 대상작이었던
Gemini 멀티 모달 기반 세이프가드로 무사히 합격할 수 있었다.

AI는 어떻게 당신의 약점을 알아낼까? - Gemini 2.5 적응 훈련 시스템 설계 비법 대공개 #safeguard.ai

당시에 거의 2주를 공들인 것을 주최 측에서 좋게 보셨는지
본선에 진출할 수 있었다.

사전 준비

본선에 진출하고
이번엔 무슨 아이디어를 해야할까 싶은 와중에
최근 본업에서 그랜드 오픈을 앞두고 나를 스트레스 받게 했던
'취약점 검사 & 모의해킹'이 떠올랐다.

지금 프로젝트가
초대형/재무 관련 '시스템' (ERP 유사)이다보니,
그룹사 차원에서 취약점 점검과 모의해킹 같은
보안성 검토 프로세스를 밟게 된다.

이 보안성 검토 프로세스를 개인도 진행하나?
출시된 서비스 중에 몇개나 이걸 받았을까?

---

#3. 아이디어를 떠올리다.

그 와중에 나는 그런 생각이 들었다.

1

지금 쿠팡, 통신사들 해킹/개인정보 이슈에

2

몰트봇/슈퍼 에이전트가 등장해서 앱을 보안 검수 없이 찍어내고

3

비개발 바이브 코더들이
보안 검토 없이 Supabase/Vercel CI/CD 자동화로
'나만의 생산성 앱'을 무진장 배포하는 지금

우리에게 그 무엇보다 중요한게 '보안' 아닌가?

세이프가드로 이미 한번 금융 시장에서의 '보안'을 이야기하면서
지금 그 이슈에 사람들이 가장 경각심을 가질 때이지만서도

 

솔직히 보안 기업한테 비싼 돈 주고 검사받는건
돈을 소모하는 일이며 성과에 직결되지도 않아

보안은 계속 후순위로 미뤄지곤 한다.

그러면, 저렴하게 'AI'로 보안성 검토할 수는 없을까?

이것이 우리 주제로 가장 좋겠다고 결심했다.
바이브 코더를 위한 보안 서비스!

바로 Trust다.

팀원들과 아이디어 브리핑 회의를 준비하며 내용을 적다보니
지금 이만큼 시의적절한 아이템은 없다고 생각했다.

내가 본 시장 상황

실제로 IT산업 팽창(2.5배)에 따라
보안 이슈는 5배 이상 증가하는 추세이고

'보안성 검토를 하고 서비스를 출시했다'의 답변이 10%도 채 안되는
'개인/소규모'팀의 서비스 출시는 4.4배 증가했고, 시장에서 그들의 파이는 88%에 육박한다.

근데 서비스는?
보안 검토를 했고 안했고는 스토어/마켓에서 철저하게 검수되지 않는다.
(그랬다면 보안 서비스가 필요하지도 았았다.)

그 마켓에서 우리 개인들은
아이디어/마케팅에 매료되지,

보안이 철저하게 지켜졌는지는 알 길이 없다.

그래서 이 서비스로
이번에, 바이브 코더들만 모인 그곳에서
모두에게 보안의 중요성을 알리고 우리의 아이디어를 시작해보자 결심했다.

---

#4. 이제 진짜 해커톤

본선

장소는 드림플러스 강남, 한화생명 건물이다.
여기는 2023년 SKT & OpenAI 프롬프터데이 했던 그 건물.
당시에도 FE 우원님과 함께 했는데, 3년 지난 지금도 함께 이곳에 있었다.

그래서 감회가 더 새로웠다.
마음가짐도 더 단단해졌다. 당시엔 5위였는데
3년이 지난 지금, 나는 그때보다 얼마나 더 성장해있을까?
그걸 시험하는 무대였다.

본격적으로 대회가 시작됐고 본선 참가자 경품도 받고
인터뷰도 하며 킥오프, 본격적인 개발을 진행했다.

기존 모집 때 주제(Theme)는

패스트캠퍼스 주최라 '학습' 관련인 줄 알고
Trust 뿐만 아니라
학습, 교육 관련 아이디어 또한 준비했었는데

현장에서는 아래 내용으로 확정되었다.

다들 '교육'을 주 테마로 생각하시고 오신 것 같았다.
아이디어의 대부분이 교육 혁신 관련이었다.

우선 시작하자마자
나는 우리 팀에서 유일한 Replit 크레딧 보유자라서
감사하게도 내가 목업(프로토타입)을 구현해볼 수 있었다.

갈고 닦았던 Build Prompt 역량으로 결과물을
Trust 트러스트 서비스의 목업을 성공적으로 뽑아낼 수 있었다.
(도구가 좋은건가;)

이 프로토타입에서
디자이너 세지님과 FE 우원님이 UXUI 봐주시고
나와 BE 호윤님이 아키텍처 설계 및 구현을 진행했다.

---

#5. 기술 전략

첫번째 : Nuclei

Nuclei가 뭔데?

Nuclei는 전세계에서 가장 유명한
오픈소스 스캐너이다.
이름이 핵폭탄 비스무리하고 그래서 좀 그렇지,
보안 템플릿만 해도 13,000개이고, 패턴도 거의 600개에 육박한다.
(지금도 전세계 사람들이 각자 보안 케이스를 업로드하면서 기여하고 있다.)

GitHub - projectdiscovery/nuclei: Nuclei is a fast, customizable vulnerability scanner powered by the global security community

이 Nuclei 기반 보안 서비스 만든 것으로만 사실 블로그 하나 뚝딱이라,
이 내용은 나중에 더 디테일 하게 풀어보겠다.

웹 스캔 프로세스는 다음과 같이 구성해봤다.

1. 사용자가 Frontend에서 URL 입력
   ↓
2. POST /api/scan 요청
   ↓
3. Backend가 Supabase에 scan 레코드 생성 (status: pending)
   ↓
4. Nuclei Scanner 실행

   - 명령어: nuclei -u <target_url> -json 
-severity critical,high,medium
   ↓
5. JSON 결과 파싱 (20+ 취약점 탐지)
   ↓
6. Supabase에 vulnerabilities 저장
   ↓
7. Claude API 호출 (각 취약점별 분석)
   ↓
8. AI 분석 결과 업데이트 (description, fix_steps)
   ↓
9. 보안 점수 계산 (100 - 취약점 가중치)
   ↓
10. Trust Badge 발급 (A~F 등급)
   ↓
11. Frontend로 결과 반환 (score, grade, vulnerabilities)
   ↓
12. Dashboard 렌더링 (차트 + 상세 리포트)

---

#6. 기술 전략 2

두번째 전략은 바로 MCP였다.

나도 어엿한 2년차 바이브코더로써, 가장 필요하다고 생각되는건 바로 MCP
바이브코더에게 가장 심리스한 경험을 주기 위해 MCP까지 구현했다.

MCP 연동/통합 프로세스

0. MCP 설치 (Claude Code, Desktop, Cursor)

claude mcp add --transport http trust-security "https://trust-mcp-knnd76vaqq-du.a.run.app/mcp"

{
  "mcpServers": {
    "trust-security": {
      "type": "http",
      "url": "https://trust-mcp-knnd76vaqq-du.a.run.app/mcp"
    }
  }
}

   ↓

1. 개발자가 Claude Code에서 "이 코드 보안 문제 있어?" 질문
   ↓
2. MCP Client가 trust-security.check_secrets(code) 호출
   ↓
3. MCP Server에서 정규식 패턴 매칭 (20+ secret types)
   - AWS Key, GitHub Token, API Key 등 탐지
   ↓
4. trust-security.analyze_code_security(code) 호출
   - SQL Injection, XSS, eval() 등 분석
   ↓
5. 결과 반환 (line number, severity, message)
   ↓
6. Claude Code가 개발자에게 실시간 피드백 제공

상세 구현과 기술에 대한 것은

다음 게시글에서 조금 더 깊이 있게 다뤄보는 것으로 하겠다.

---

그리고 역시 해커톤하면 챌린지 -> 스트레스 -> 발암 사이클 아니겠는가?
서비스 빌드 과정에서 머리 다 빠질 것 같은 기술적 챌린지, 여러가지가 또 있었다.

#7. 기술적 챌린지

1. Cloud Run 메모리 지옥

Nuclei 보안 스캔 돌리는데 갑자기 서버가 터져버렸다.
"Container memory exceeded" 에러를 보고 멘붕.
돈 아끼려고 2GB로 설정해뒀는데, Nuclei가 템플릿 13,000개
전부를 로드하면서 메모리를 순식간에 3GB까지 잡아먹었다.

급하게 Cloud Run 설정 들어가서 4GB로 올렸다. (돈 좀 더 나가는건 나중에 생각하자...)
그제서야 스캔이 정상 동작. 이게 새벽 2시.

2. MCP 서버가 응답을 안한다

분명히 로컬에선 잘 됐는데, Cloud Run 배포하니까 MCP 연결이 계속 끊긴다.
알고보니 Streamable HTTP 방식이라 stateless=True 설정을 안 넣어서 세션이 꼬인거였다.
FastMCP 공식 문서를 뒤지고 뒤져서 겨우 한 줄 추가로 해결.

mcp = FastMCP(
    name="trust-security",
    stateless_http=True  # 이 한 줄 때문에 1시간 날림
)

3. Claude API 비용 폭탄

취약점 하나당 Claude API 호출 1번. 스캔 결과가 평균 20~30개씩 나오니까 한 번 스캔할 때마다 API 호출이 30번.
이대로 가면 크레딧이 순식간에 증발할 거 같아서 급하게 ai_cache 테이블 설계하고
동일한 template_id는 캐시된 분석 재사용하도록 구현.

새벽 4시에 Supabase SQL 에디터 열고 테이블 추가하고, 백엔드 로직 수정하고...
덕분에 API 호출 80% 절감 성공.

4. Nuclei JSON 파싱 지옥

Nuclei 결과를 JSON으로 받는데, 템플릿마다 결과 구조가 제각각이었다.
어떤 건 matched-at 필드가 있고, 어떤 건 extracted-results 배열이 있고, 어떤 건 둘 다 없고...
결국 모든 필드를 Optional로 처리하고 Pydantic 모델에 default=None 를 도배했다. (MVP잖아 한잔해)

class VulnerabilityResult(BaseModel):
    matched_at: Optional[str] = None
    extracted_results: Optional[List[str]] = None
    # 이런 식으로 10개 넘게...

5. CORS 에러의 연속

프론트에서 백엔드 API 호출하는데 계속 CORS 에러.
로컬에선 localhost:3000 허용했는데 Vercel 배포하니까 도메인이 또 달라지고, Preview 배포마다 URL이 바뀌고...
결국 개발 중엔 origins=["*"] 로 때려박고 (프로덕션에선 당연히 수정해야 함) 일단 돌아가게 만들었다.

6. MCP 도구 설명 너무 길어서 짤림

Claude Code에서 MCP 도구 목록 보면 설명이 너무 길면 잘린다.....
사용자가 "이 도구가 뭐하는 건데?" 궁금해할 것 같아서 새벽 5시에 server.py 열고 모든 도구 설명을 한 줄로 압축.

@mcp.tool()
def scan_url(url: str):
    """웹사이트 보안 스캔 - Nuclei 기반 취약점 탐지"""
    # 원래 3줄짜리 설명을 1줄로 압축

7. 새벽 6시 Next.js 빌드 실패

Vercel 배포하는데 갑자기 빌드 실패.
'use client' 안 붙여서 서버 컴포넌트에서 useState 쓴 게 문제였다.
팀원들 다 기절 직전인데 나 혼자 VSCode 열고 30개 넘는 컴포넌트 파일 하나하나 체크.
7시 10분, 드디어 빌드 성공. 배포 완료 확인하고 나서 팀원들한테 "됐습니다!!!" ...

사실 이것 말고도
클로드 코드가 지 혼자 환경변수 다 지워버리고 배포했다던지
클로드 크레딧을 $100 넘게 써서 탕진하다가
팀원들한테 사죄했다던지

장난 아니었지만 우여곡절 끝에 배포는 성공적으로 마무리했다.
먹을 것 없었으면 이렇게 못했을게 분명하다. (예민해져서)

정신없이 에러 잡고, 배포하고, 또 에러 잡고...
근데 신기하게 좀 질릴 법 한데도 괜찮았다.
팀원들이 옆에서 다들 똑같이 밤새워 싸우는 모습 보니까 나도 더 힘이 났던 것 같다.

그리고 무엇보다도 이번 해커톤이 인상 깊었던건
오전 8시 제출까지 90% 이상 멤버들이 그 자리 그대로,
잠깐 졸지도 않으시고 끝까지 완주하는 모습이었다.

이건 Day 2 - 7시 10분에 촬영한 사진이다. 마감까지 1시간.

누구도 포기하지 않고 끝까지 완주하는 모습은
2023년 포텐데이 네이버클라우드 해커톤, 프롬프터데이 정도에서 밖에 못봤다.
(대부분 끝에 가면 책상은 텅텅, 어딘가에 누워계신다.)

그렇게 8시 딱 제출하고 나서 우리 팀원들도 기절
(마지막까지 디테일을 잡아주신 우리 팀원들한테 정말 감사)

---

#8. 배포 완료.. 그리고 PT

드디어 배포를 완료했다.

이제 다음은?
그래.. 여느 때처럼 발표로 유종의 미를 거둬보자.

이번엔 발표자료에 힘 좀 줬다.
결국 임팩트는 발표에서 나오니까.

발표에는 지난 11월의 Focus 이야기 또한 담았다.

요새 핫한 AI Agent로 게임을 만들어 보자. feat. Antigravity 후기, Claude Code 비교

발표 진행 중

발표는 5분 만에 순식간에 끝났고,
녹화한 영상 보니까 말도 많이 절고
피치도 높고 딜리버리는 아쉬웠다.

하지만 우리 팀원 분들께서 만들어주신 기똥찬 Trust,
그리고 최근 이슈(보안과 클로드봇 이슈)에
발표 자료 디자인(갓세지님)까지 작용했고
운도 따라주어....

대상 수상의 영광을 만끽할 수 있었다.

---

#9. 다른 팀 아이디어

1. 2위 : 이류인생의 패러렐

우리를 제외하고서 다른 팀도 정말 대단한 분들이 많았다.
일단 2위 팀이었던 이류인생 팀 분들은
작가들을 위한 시나리오 작성 AI 서비스를 만드셨는데
이게 상당히 물건이다. 굉장히 재미있다.

Parallel

이렇게 캐릭터를 등록하고 시나리오를 만들 수 있는데..

우리 스톤즈랩 팀은 여기에 갑자기 재미를 붙여서;;;;
서비스에 난리를 쳐놨다ㅋㅋㅋ

---

2. 3위 코사이언티스트의 오마카쌤

오마카쌤 이라는 아이디어였는데
이 제품 또한 기가 막혔다.

우리가 만들었던 Github 레포지토리 통합 스캐닝,
분석을 통해 소스코드 허점도 잡아주고
그리고 필요한 학습 커리큘럼을 제대로 잡아준다.

도메인도 사서 연결하시고 본격적이었다.
아니 근데 이분들 22살이다.

내가 만약 이 팀에서 발표했다?
진심으로 우승할 자신있다.

오마카쌤 | AI 맞춤형 개발자 교육 플랫폼

그 정도로 제품이 기가 막혔고 여기 팀원분들 능력치가 대단한 것 같다.
Github 직접 가보니까 최초 Commit도 새벽 늦게 하셨던 것 같은데
속도가 굉장하다.

---

내 생일 바로 다음 주말에 해커톤으로 불태웠다.
내 첫회사에서 만난, 내 인생에서 가장 좋아하는 박OO 팀장님의 최초 커리어였던
패스트캠퍼스 주최사라 나한텐 더욱 의미있었다.

패스트캠퍼스 해커톤 운영도 너무 마음에 들었다.
(해커토너를 많이 배려해주시는게 좋았다. 이게 진짜 해커톤이지)

그리고
2023년, 3년 전 5위였을 그때보다
이번 2026년 2월 1일의 나는 조금은 더 성장한 것 같다.

ChatGPT에서 Claude로,
나도 이제 어엿한 AI PM? ㅎㅎ

해커톤 종료되고 집에 가는데
마침 우리 팀장님께서 생일선물로 엔비디아 책을?

값진 시간.
한층 더 성장할 수 있던 좋은 시간.

---

이번에 배운 것들

1. 기술은 복잡하고 서비스는 간단해야한다.
2. 좋은 제품은 고객이 누구인지 명확하다.
3. 임팩트는 중요하다. 사람은 시각적으로 가장 먼저 끌린다.
4. TPO를 항상 고려해야한다.
5. 나 자신에게 떳떳하기 위한 가장 쉬운 길은 내가 가장 많이 갈아 넣는 것.
6. 최고의 스승은 과거의 나 자신이다.
7. 제안 배경에는 나의 이야기를 바탕으로 미시적으로 시작한다. -> 공감대를 만든다.
8. 그 다음 점차 거시적으로 나아가 시장 전체의 이슈라는 것으로 문제를 정의한다.
9. 솔루션은 절대 완벽할 수 없다. 우리 고객이 무엇을 원하는지, 그것을 충족하는 기능 딱 한 가지면 된다.
10. 생각보다 많은 바이브코더는 MCP를 모른다. 쓸 줄 모른다.