바이브 코딩과 GDPR: AI가 만든 당신의 사이트가 법을 위반하고 있을지도 모르는 이유

앱을 코딩 에이전트에게 설명하면, 에이전트가 코드를 작성하고, 당신은 배포하고, 몇 시간 뒤에는 진짜 제품이 온라인에 올라가 있습니다. 이것이 바이브 코딩의 약속이고, 대부분의 경우 그 약속은 지켜집니다. 사이트는 잘 뜨고, 회원가입은 작동하고, 대시보드는 깔끔합니다. 눈에 보이는 모든 것이 멀쩡합니다.

문제는 눈에 보이지 않는 모든 것입니다. 기능을 연결하는 동안 에이전트는 쿠키, 추적, 데이터 저장, 사용자 권리에 관한 수십 개의 작은 결정도 함께 내렸습니다. 아무도 에이전트에게 법을 고려하라고 하지 않았으니, 에이전트는 고려하지 않았습니다. 배포하는 순간, 당신의 번쩍이는 새 사이트는 이미 GDPR(일반 데이터 보호 규정) 위반 더미 위에 앉아 있을지도 모르고, 당신은 그 존재조차 모릅니다.

이건 Claude만의 문제도, Codex만의 문제도 아닙니다. AI 코딩 에이전트가 작동하는 방식 자체에 내재된 구조적 속성이며, 모든 에이전트에 해당됩니다. 정확히 무엇이 잘못되는지, 그 대가는 얼마나 클 수 있는지, 그리고 규제 당국보다 먼저 이런 문제를 찾아 고쳐주는 무료 Claude Code 스킬을 차근차근 살펴봅시다.

AI 코딩 에이전트가 조용히 망치는 것들

코딩 에이전트는 단 한 가지를 최적화합니다. 바로 기능을 작동시키는 것이죠. 분석 기능을 요청하면 추적 스크립트를 끼워 넣습니다. 문의 양식을 요청하면 모든 제출 내용을 테이블에 저장합니다. 로그인을 요청하면 사용자 레코드를 무기한 보관합니다. 각각의 선택은 따로 떼어 놓고 보면 합리적입니다. 하지만 한데 모으면, 규제 당국이 가장 자주 제재하는 위반 사례의 교과서적 목록이 됩니다.

전형적인 바이브 코딩 사이트에서 그물망을 빠져나가는 것들은 다음과 같습니다.

• 쿠키와 추적기가 동의 전에 작동합니다. 분석 도구, 임베드된 지도, 폰트, 소셜 픽셀, 세션 도구가 페이지가 열리는 순간 로드됩니다. GDPR과 ePrivacy 규정에 따르면, 필수가 아닌 쿠키는 사전에, 그리고 자유로운 의사로 제공된 동의가 필요합니다. 첫 렌더링 시점에 쿠키를 심는 사이트는 이미 비준수 상태이며, 추적기가 이미 작동한 뒤에야 나타나는 쿠키 배너로는 이를 바로잡을 수 없습니다.
• 개인정보가 영원히 보관됩니다. 에이전트는 users 테이블, submissions 테이블, logs 테이블을 만들지만, 보관 정책은 결코 추가하지 않습니다. GDPR은 실제로 필요한 기간 동안만 개인정보를 보관하도록 요구합니다. "혹시 모르니 영원히"는 바로 이 법이 막으려고 만들어진 보관 기간 제한 위반의 전형입니다.
• 데이터를 삭제할 방법이 없습니다. 사용자에게는 삭제권, 이른바 잊힐 권리가 있습니다. 거의 모든 바이브 코딩 앱은 "내 계정 삭제" 흐름이나 삭제 요청을 처리하는 문서화된 절차 없이 출시됩니다. 데이터는 들어오기만 하고, 나가는 문은 어디에도 없습니다.
• 열람이나 이동 경로가 없습니다. 사람들은 당신이 보유한 자신의 모든 정보 사본을 요청할 수 있습니다. 당신의 유일한 답이 한 번도 테스트해 본 적 없는 수동 데이터베이스 쿼리라면, 당신은 열람권과 이동권 의무를 이행하지 못하는 것입니다.
• 제3자 데이터가 조용히 EU를 떠납니다. 2초 만에 추가한 그 분석 스크립트나 호스팅된 폰트가, 적법한 이전 메커니즘 하나 없이 IP 주소와 식별자를 EU 밖 서버로 전송하고 있을지도 모릅니다.
• 무엇을 수집하는지 기록이 없습니다. GDPR은 당신이 처리 활동을 알고 문서화하기를 기대합니다. 데이터 흐름이 에이전트의 잊힌 채팅 기록 속에만 존재하는 앱에는 처리 기록이 전혀 없습니다.

이 가운데 무엇도 데모에서는 드러나지 않습니다. 앱은 완벽하게 작동합니다. 법적 계층이 그저 빠져 있을 뿐이고, 누군가 항의하거나 규제 당국이 문을 두드릴 때까지 그 상태로 남아 있습니다.

에이전트는 왼쪽 열을 흠 하나 없이 채웁니다. 오른쪽 열은 아무도 만들라고 시키지 않은 부분이라, 비어 있는 채로 남습니다.

왜 Claude만이 아니라 모든 코딩 에이전트가 이렇게 하는가

한 가지 도구를 탓하고 싶어지지만, 원인은 더 깊은 곳에 있습니다. 코딩 에이전트는 공개된 코드로 학습하고, 대부분의 공개 코드는 애초에 GDPR을 염두에 두고 작성된 적이 없습니다. 모델이 스크립트를 곧장 <head> 안에 심어 버리는 "Google Analytics 추가하기" 예시를 만 개쯤 봤다면, 그게 바로 모델이 재현하는 패턴입니다. 학습 데이터에 나쁜 습관이 새겨져 있으니, 출력도 그 습관을 물려받습니다.

이 문제의 더 넓은 양상에 대해서는 확실한 데이터가 있습니다. Veracode의 2025 GenAI 코드 보안 리포트는 100개가 넘는 대규모 언어 모델의 출력을 수십 가지 코딩 작업에 걸쳐 테스트했고, AI 생성 코드의 45%가 보안 취약점을 만들어 냈다는 사실을 발견했습니다. 같은 연구는 AI가 작성한 코드가 사람이 작성한 코드보다 2.74배 많은 취약점을 안고 있다는 점, 그리고 의미심장하게도 더 새롭고 더 큰 모델이라고 해서 더 낫지 않았다는 점을 밝혀냈습니다. 이건 구조적인 것이지, 다음 릴리스가 패치로 없애줄 버그가 아닙니다.

프라이버시 준수는 보안과 본질적으로 같은 유형의 문제입니다. 둘 다 "그냥 작동하게 만들기"라는 목표가 그대로 지나쳐 버리는 보이지 않는 요구사항입니다. 그래서 Claude Code든 Codex든, Antigravity CLI, Cursor, 그 밖의 어떤 에이전트를 쓰든 당신은 똑같은 사각지대에 노출됩니다. 도구는 바뀌어도, 구멍은 그대로입니다.

GDPR 위반이 실제로 치를 수 있는 대가

여기서부터 추상적인 이야기가 끝납니다. GDPR 과징금은 2,000만 유로 또는 전 세계 연간 매출의 4% 중 더 높은 금액을 상한으로 하며, 규제 당국은 그 범위의 상단을 쓰기 시작했습니다.

2025년 한 해에만, 프랑스의 데이터 보호 당국인 CNIL은 4억 8,600만 유로의 과징금을 부과했는데, 이는 2024년 총액의 거의 열 배에 달합니다. 9월 어느 하루에 나온 두 건의 결정이 그 대부분을 차지했습니다. 쿠키 및 광고 투명성 미준수로 Google에 부과된 3억 2,500만 유로, 그리고 동의 없이 심은 추적기로 Shein에 부과된 1억 5,000만 유로입니다. AI 에이전트가 기본값으로 출시하는 바로 그 유형의 실수가, 9자리 수 과징금을 끌어내는 것과 똑같은 유형입니다.

이 숫자들을 보고 규제 당국이 거대 기업만 쫓는다고 짐작하기 쉽습니다. 그렇지 않습니다. CNIL은 작고 사실관계가 명확한 사건을 정조준한 간이 절차를 운영합니다. 비준수 쿠키 배너, 무시된 열람 요청, 허술한 비밀번호 정책 같은 것들 말이죠. 이런 것들은 소규모 사업체에서 흔하디흔한 적발 사항이고, 바이브 코딩 사이트가 정확히 망치는 부분입니다. 회사 규모는 과징금의 크기를 바꿀 뿐, 과징금을 맞을 수 있느냐 없느냐를 바꾸지는 않습니다.

헤드라인을 장식한 과징금은 대기업에 떨어졌지만, 그 뒤에 있는 위반인 동의 없는 쿠키와 투명성 누락은 코딩 에이전트가 작은 사이트에 기본값으로 출시하는 것과 똑같은 위반입니다.

GDPR이 실제로 요구하는 것 (쉬운 말로)

구멍 대부분을 메우기 위해 변호사가 될 필요는 없습니다. 일상적인 준수의 대부분은, 당신의 코드에 있느냐 없느냐로 갈리는 몇 가지 구체적인 동작으로 귀결됩니다.

• 필수가 아닌 쿠키 전에 동의를 받을 것. 추적하거나, 프로파일링하거나, 측정하는 그 무엇도 사용자가 능동적으로 동의하기 전에는 실행되어서는 안 됩니다. 엄격히 필요한 쿠키만이 유일한 예외입니다.
• 수집하는 데이터 하나하나에 대한 적법한 근거. 동의, 계약, 또는 정당한 이익 중 하나를, 무언가를 저장하기 전에 결정해야 합니다. 저장한 다음이 아니라요.
• 데이터 최소화. 기능이 진짜로 필요로 하는 것만 수집하십시오. 모든 것을 로깅하려는 에이전트의 본능은 이와 정반대입니다.
• 보관 기간 제한. 모든 범주의 개인정보에는 정해진 수명과, 그 기간이 끝났을 때 삭제할 수 있는 방법이 필요합니다.
• 정보주체의 권리. 열람, 정정, 삭제, 이동성 모두에 개인정보 처리방침 속 약속이 아니라 실제로 작동하는 경로가 필요합니다.
• 명확한 개인정보 처리방침과 처리 기록. 사람들은 당신이 무엇을 왜 수집하는지 볼 수 있어야 하고, 당신은 그것을 증명할 수 있어야 합니다.

이 목록을 에이전트가 망치는 것들에 관한 절과 나란히 놓고 다시 읽어 보면, 겹치는 부분이 거의 완벽합니다. 좋은 소식은, 이것들이 구체적이고 코드 수준의 동작이기 때문에 도구가 스캔할 수 있다는 점입니다.

해결책: 스캔하고 고쳐주는 무료 Claude Code 스킬

수동 체크리스트가 줄 수 없는 부분이 바로 이것입니다. 실제 코드베이스에 대한 자동화된 한 번의 점검 말이죠. Jeremy Longshore라는 개발자가 정확히 이 일을 하는 **scanning-for-gdpr-compliance**라는 무료 오픈소스 Claude Code 스킬(일부 마켓플레이스에는 GDPR Compliance Scanner로 등재)을 공개했습니다. 이 스킬은 claude-code-plugins-plus 저장소에 있으며 전적으로 Claude Code 안에서 실행되므로, 따로 가입해야 할 별도 서비스가 없습니다.

이 스킬은 프라이버시 감사관이 하듯 당신의 프로젝트를 읽습니다. 데이터 흐름, 저장 위치, 처리 활동, 동의 메커니즘, 보관 정책, 접근 제어, 그리고 정보주체의 권리를 어떻게 처리하는지를 살펴봅니다. 그런 다음 중요한 세 가지 일을 합니다.

1. 탐지합니다. 규칙 기반 검사가 앞서 말한 패턴들을 표시합니다: 동의 전에 작동하는 추적기, 보관 기간 제한이 없는 개인정보, 빠진 삭제 경로, 문서화되지 않은 처리.
2. 심각도별로 분류합니다. 발견 사항은 점수가 매겨지고 우선순위가 정해진 채로 돌아오므로, 식별자를 흘리는 추적기가 처리방침에서 빠진 한 줄보다 위에 옵니다. 우선순위 없는 목록 속에서 허우적대는 대신, 위험한 것부터 먼저 고치게 됩니다.
3. 당신의 코드에서 바로 고칩니다. 에이전트 안에서 실행되기 때문에, 나중에 당신이 손봐야 할 보고서만 내놓고 끝나지 않습니다. 권장 변경 사항을 직접 구현해, "여기 문제가 있습니다"를 같은 점검 안에서 실제 편집으로 바꿔 놓을 수 있습니다.

설치는 한 줄이면 됩니다. 플러그인 마켓플레이스로 소스를 추가하고 스킬을 설치합니다.

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

그런 다음 자연어로 스캔을 실행하면 됩니다. 이 스킬은 다음과 같은 문구에 반응합니다.

scan GDPR compliance
check data privacy
validate GDPR

스킬 폴더를 프로젝트의 .claude/skills/ 디렉터리에 넣어 설치할 수도 있는데, 이것이 Claude Code가 스킬을 발견하는 표준 방식입니다. 어느 쪽이든, 스캔은 추상적인 체크리스트가 아니라 당신의 실제 저장소를 대상으로 실행됩니다.

코드베이스가 들어가고, 가운데에서 우선순위가 매겨진 발견 사항이 나오고, 실제 코드 편집이 나옵니다. 이미 기능 개발에 쓰던 그 루프를, 컴플라이언스로 겨눈 것뿐입니다.

정직함이 신뢰의 일부이니 솔직한 주의 한마디를 덧붙이자면, 스캔은 법적 최종 승인이 아닙니다. 이 스킬은 일상적 위험의 대부분을 차지하는 기계적이고 코드 수준의 위반, 즉 쿠키, 보관, 빠진 삭제 흐름을 잡아내고, 몇 분 만에 준수 상태에 극적으로 가까워지게 해줍니다. 하지만 민감한 사안, 데이터 보호 영향 평가(DPIA), 건강 데이터 처리에 대해서는 데이터 보호 전문 변호사를 대체하지 못합니다. 명백한 위반을 걷어내는 기술적 1차 점검으로 여기고, 그다음 예외적인 경우에 대해서는 사람의 검토를 거치십시오.

에이전트 함대를 운영할 때 이 문제가 더 어려워지는 이유

에이전트 하나를 쓰는 개발자 한 명은 건전하게 관리해야 할 코드베이스가 하나뿐입니다. 여러 에이전트를 병렬로 돌리는 순간, 각각이 같은 제품에 기능을 출시하면서 조용한 위반의 표면적이 곱절로 늘어납니다. 한 에이전트는 분석 스크립트를 추가하고, 다른 에이전트는 로깅 테이블을 띄우고, 세 번째 에이전트는 제3자 위젯을 연결하는데, 그 누구도 전체의 프라이버시 함의를 검토한 사람은 없습니다.

이것이 바로 규모가 커질 때 맥락과 일관성이 어려워지는 것과 같은 이유이며, 코딩 에이전트를 병렬로 돌리기를 이야기하든 빠져 죽지 않고 바이브 코딩하기를 이야기하든 우리가 계속 되돌아오는 주제입니다. 해결책의 방향은 같습니다. 표준을 공유된 설정의 일부로 만드는 것이지, 마지막에 잊지 않고 점검해야 하는 무언가로 두는 것이 아닙니다.

멀티 에이전트 콕핏인 AgentsRoom에서는, 한 번 구성한 스킬과 규칙이 한곳에서 운영하는 Claude Code, Codex, 그 밖의 다른 제공자에 걸쳐 룸 안의 모든 에이전트에 적용됩니다. 컴플라이언스 점검을 워크플로에 한 번만 연결해 두면 모든 에이전트가 이를 물려받습니다. 각 에이전트가 아무도 가르치지 않은 규칙을 알아서 따로따로 기억해 주기를 바라는 대신에 말이죠. 단일 세션을 깨끗하게 유지하는 그 규율이, 함대 전체를 규제 문제에서 벗어나게 합니다.

AI로 만든 사이트를 위한 실용 컴플라이언스 체크리스트

AI로 만든 사이트를 완성됐다고 선언하기 전에, 이 목록에 비추어 점검하십시오. 대부분은 스캐너가 잡아내겠지만, 무엇을 찾고 있는지 알면 보고서가 읽기 쉬워집니다.

• 사용자가 동의하기 전에 작동하는 필수가 아닌 쿠키나 추적기가 없다.
• 모든 개인정보 저장소에 정해진 보관 기간과 삭제 메커니즘이 있다.
• 사용자가 자신의 데이터 사본을 요청하고 받을 수 있다.
• 사용자가 계정을 삭제하고 자신의 데이터를 지우게 할 수 있다.
• 개인정보 처리방침이 무엇을, 왜, 어떤 적법한 근거로 수집하는지 설명한다.
• 제3자 스크립트와 EU 밖으로의 데이터 이전에 적법한 메커니즘이 있다.
• 요청받으면 처리 활동 기록을 제출할 수 있다.

모든 칸에 체크할 수 없다면, 당신의 AI로 만든 사이트는 GDPR 위험을 안고 있는 것이며, 단 한 건의 항의만으로도 그것이 수면 위로 드러나기에 충분합니다.

핵심 요점

바이브 코딩은 정말로 빠르고, 그 속도가 바로 함정입니다. 에이전트는 당신이 볼 수 있는 모든 것을 채우고 볼 수 없는 모든 것을 건너뛰는데, 바로 거기에 GDPR이 살고 있습니다. 동의 전의 쿠키, 영원히 보관되는 데이터, 삭제할 방법이 없는 데이터. 이것들은 별난 예외 사례가 아니라 모든 코딩 에이전트의 기본 출력이며, 규제 당국이 2025년에 수억 유로 규모로 제재한 바로 그 결함들입니다.

해결책은 에이전트 사용을 멈추는 것이 아닙니다. 빠진 점검을 더하는 것입니다. 무료 scanning-for-gdpr-compliance 스킬을 당신의 프로젝트에 돌려, 명백한 위반을 분류하고 고치게 한 다음, 남은 것은 사람이 검토하게 하십시오. 몇 분의 스캔이, 규제 당국의 편지로 그 구멍을 발견하는 것보다 훨씬 쌉니다.

에이전트를 둘 이상 써서 개발하고 계신가요? AgentsRoom을 다운로드해 Claude Code, Codex, 그 외 여러 에이전트를 하나의 콕핏에서 운영하고, 제공자 호환성 표에서 각각이 무엇을 지원하는지 확인하고, 빠져 죽지 않고 바이브 코딩하기에서 속도를 유지하는 법을 읽어 보세요.