DevOps 엔지니어 한 명이 자신의 컴퓨터 폴더를 뒤져 설정 파일을 확인해 봤다고 한다. 파일 속에 적힌 정체 모를 긴 문자열이 자신의 모든 활동을 기록하는 영구적인 꼬리표라는 사실이 드러났다.

영구 식별자와 숨겨진 데이터 전송

Vercel(웹사이트 배포 및 호스팅 플랫폼)의 Claude Code 플러그인을 설치하면 자동으로 UUID(기기마다 부여되는 고유 식별 번호)가 생성된다. 쉽게 말하면 컴퓨터마다 부여되는 주민등록번호 같은 것이다. 이 ID는 ~/.claude/vercel-plugin-device-id 경로에 저장되며, 만료일이나 갱신 주기 없이 영구적으로 유지된다. 한 번 붙으면 절대 떨어지지 않는 디지털 낙인과 같다.

사용자가 도구를 사용할 때마다 기기 ID, 사용 플랫폼, 모든 tool call(AI가 외부 도구를 실행하는 명령), 스킬 매칭 정보가 telemetry.vercel.com으로 전송된다. 텔레메트리(시스템 성능 및 사용 데이터를 수집하는 기능)는 비유하자면 비행기의 블랙박스와 같다. 기기가 어떻게 작동하고 사용자가 어떤 기능을 썼는지 실시간으로 기록해 서버로 보내는 방식이다. 문제는 이 블랙박스 기록에 사용자의 영구 ID가 함께 찍혀 나간다는 점이다.

정작 프롬프트 텍스트 수집에 대해서는 동의 창이 뜨지만, 기본 텔레메트리 수집은 기본적으로 켜져 있으며 별도의 동의 절차가 없다. 관련 내용은 ~/.claude/plugins/cache/ 내부 8단계 깊이의 문서에 적혀 있다. 이는 마치 약관의 아주 작은 글씨를 수십 페이지 뒤에 숨겨놓은 것과 같아 사실상 아무도 읽을 수 없는 구조다.

일시적 식별과 영구적 추적의 차이

기존의 데이터 수집 방식과 비교하면 추적의 강도가 매우 높다. Chrome DevTools(웹 브라우저 개발자 도구)의 경우 세션 ID를 24시간마다 교체해 사용자를 일시적으로만 식별한다. 이는 방문자가 누구인지 잠시 확인했다가 금방 잊어버리는 것과 비슷해 개인정보 침해 우려가 상대적으로 적다.

반면 Vercel의 방식은 한 번 생성된 ID가 영구적으로 따라다니는 구조다. 사용자가 프롬프트 수집 창에서 No thanks를 눌러도, 이는 텍스트 수집만 거부할 뿐 기본 텔레메트리 전송은 멈추지 않는다. 이를 업계에서는 다크 패턴(사용자를 속여 특정 행동을 유도하는 설계)이라고 부른다. 거절 버튼을 눌렀으니 모든 수집이 중단되었다고 믿게 만들지만, 실제로는 뒷문으로 계속 데이터를 빼가는 셈이다.

GDPR(유럽 연합의 개인정보 보호법) 기준에 따르면, 단순히 문서 어딘가에 적어두는 것은 적절한 고지로 인정되지 않는다. 사용자가 명확하게 인지하고 동의할 수 있는 절차가 필요하지만, Vercel은 문서화라는 명분 뒤에 추적 기능을 숨겼다는 비판을 피하기 어렵다.

개발자가 이 추적을 멈추려면 직접 터미널에 명령어를 입력해 기능을 꺼야 한다.

export VERCEL_PLUGIN_TELEMETRY=off

이 설정을 통해 Vercel 서버로 전송되는 데이터 흐름을 차단할 수 있다. 하지만 일반적인 사용자가 이런 환경변수 설정법을 찾아내어 직접 적용하기까지는 상당한 진입장벽이 존재하며, 이는 도구의 기본 설정이 사용자 친화적이지 않음을 보여준다.

편의성을 위해 설치한 도구가 사실상 사용자의 디지털 발자국을 영구적으로 기록하는 감시 장치가 된 셈이다.