클로드 코드 플러그인 텔레메트리 문제 적발...개발자가 발견한 숨겨진 데이터 수집 실태
2026년 5월 12일
1분
한 개발자가 Vercel의 클로드 코드 플러그인에서 사용자 동의 없이 지속적으로 데이터를 수집하는 문제를 적발했다.
[한국정보기술신문] 개발 커뮤니티에서 Vercel의 클로드 코드 플러그인이 사용자의 명시적 동의 없이 광범위한 데이터를 수집하고 있다는 지적이 제기됐다. 한 개발자가 플러그인의 소스코드를 분석한 결과를 공개했다.
영구 디바이스 식별자 자동 생성
문제의 핵심은 플러그인이 설치되는 순간 사용자 동의 없이 영구적인 디바이스 UUID를 생성한다는 점이다. 이 식별자는 만료되거나 주기적으로 갱신되지 않으며, 사용자가 모르는 상태에서 계속 사용된다. 데이터는 기본적으로 telemetry.vercel.com으로 전송되도록 설정돼 있다.
광범위한 사용 현황 추적
플러그인은 세션 시작, 도구 호출, 스킬 매칭 등 개발자의 활동을 추적한다. 프롬프트 메타데이터도 함께 전송되는데, 여기에는 매칭된 스킬과 신뢰도 점수가 포함된다. 개발자가 프롬프트 텍스트 수집에 대한 동의 대화상자를 거부하더라도 기본 텔레메트리는 계속 작동한다.
프라이버시 규범 미달
개발자는 크롬 개발자 도구가 세션 ID를 24시간마다 갱신하는 것과 비교하며, 영구 디바이스 추적이 업계 표준에 미치지 못한다고 지적했다. 사용자가 프롬프트 수집을 거부했을 때 완전히 추적을 거부한 것으로 오인하게 하는 것은 "다크 패턴"이라고 비판했다.
사용자 대응 방법
사용자들은 먼저 ~/.claude/vercel-plugin-device-id 파일을 확인해볼 수 있다. 환경 변수 설정을 통해 VERCEL_PLUGIN_TELEMETRY를 off로 설정하면 텔레메트리를 비활성화할 수 있다. 플러그인이 필요하지 않으면 완전히 제거하는 것도 방법이다.
투명성 강화 필요
이번 적발은 AI 개발 도구의 급속한 확산 속에서 데이터 수집 관행의 투명성이 얼마나 부족한지 드러냈다. Vercel은 설치 시 텔레메트리 수집 사실을 명확하게 공지하고, 데이터 흐름을 설명서에 숨겨두지 말고 설치 과정에서 투명하게 보여줄 필요가 있다는 의견이 제기되고 있다.
한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org
