# LinkedIn 신원 인증을 하면 넘어가는 개인 정보들 > Clean Markdown view of GeekNews topic #26885. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=26885](https://news.hada.io/topic?id=26885) - GeekNews Markdown: [https://news.hada.io/topic/26885.md](https://news.hada.io/topic/26885.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-02-22T09:34:58+09:00 - Updated: 2026-02-22T09:34:58+09:00 - Original source: [thelocalstack.eu](https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/) - Points: 5 - Comments: 2 ## Topic Body - LinkedIn의 **신원 인증 절차**는 사용자가 여권과 얼굴 사진을 제출하면 완료되지만, 실제 데이터는 LinkedIn이 아닌 **미국 기업 Persona**로 전달됨 - Persona는 여권 사진, **얼굴 인식용 생체정보**, **NFC 칩 데이터**, **기기 정보 및 위치 정보** 등 방대한 개인 데이터를 수집함 - 이 데이터는 **AI 학습용으로 활용**되며, 법적 근거는 ‘정당한 이익(legitimate interest)’으로 명시되어 **명시적 동의 없이 처리**됨 - Persona의 **17개 하위 처리업체(subprocessor)** 중 16곳이 미국 기업으로, **OpenAI·Anthropic 등 AI 기업**이 여권 및 얼굴 데이터를 분석함 - 미국 **CLOUD Act**에 따라 유럽 서버에 저장된 데이터라도 미국 정부가 접근할 수 있어, **유럽 이용자의 개인정보 보호가 실질적으로 보장되지 않음** --- ### LinkedIn 인증 과정의 실제 구조 - LinkedIn의 ‘Verify’ 버튼을 누르면 사용자는 **Persona Identities, Inc.**(샌프란시스코 소재)로 리디렉션됨 - LinkedIn은 고객사이며, 사용자는 Persona의 데이터 처리 대상이 됨 - 대부분의 이용자는 Persona의 존재를 인지하지 못한 채 여권과 얼굴 사진을 제출함 ### Persona가 수집한 데이터 - 신원 확인 과정에서 Persona는 다음 정보를 수집함 - **이름, 여권 전체 이미지, 실시간 셀피, 얼굴 기하학(생체정보)** - **NFC 칩 데이터, 국가 ID 번호, 성별, 생년월일, 이메일, 전화번호, 주소** - **IP 주소, 기기·브라우저 정보, 언어, 위치 정보** - 추가적으로 **‘머뭇거림 감지’**, **‘복사·붙여넣기 감지’** 등 **행동 기반 생체정보(behavioral biometrics)** 도 추적함 ### 제3자 데이터 교차 조회 - Persona는 사용자가 제공한 정보 외에도 **정부 데이터베이스, 신용기관, 통신사, 공공요금사** 등과 교차 검증을 수행함 - 단순 신원 확인이 아닌 **배경조사 수준의 데이터 조회**가 이루어짐 ### AI 학습 데이터로의 활용 - 개인정보처리방침에 따르면, 업로드된 **여권 이미지와 셀피**는 **AI 모델 학습**에 사용됨 - 목적은 국가별 여권 인식 향상 및 서비스 개선 - 법적 근거는 **‘정당한 이익’** 으로, 이용자의 **명시적 동의 없이 처리 가능** - GDPR상 기본권 침해 여부는 불분명함 ### 데이터 공유 및 접근 주체 - LinkedIn이 받는 정보는 이름, 출생연도, 신분증 종류, 발급기관, 인증 결과, **블러 처리된 신분증 사본** - Persona는 다음과도 데이터를 공유함 - **서비스 제공업체 및 데이터 파트너**, **계열사**, **잠재적 인수자**, **법 집행기관** - **17개 하위 처리업체(subprocessor)** 목록에는 다음이 포함됨 - **Anthropic, OpenAI, Groqcloud**(데이터 추출·분석) - **AWS, Google Cloud, Snowflake, MongoDB** 등 인프라 및 데이터베이스 서비스 - **Stripe, Twilio** 등 결제·통신 API 제공사 - 17개 중 **16개가 미국, 1개가 캐나다 소재**, **EU 내 기업은 없음** ### CLOUD Act와 데이터 주권 문제 - Persona는 **미국 및 독일 데이터센터**를 운영하지만, **미국 법인**이므로 **CLOUD Act** 적용 대상 - 미국 법원은 해외 서버에 저장된 데이터라도 **법적 명령으로 접근 가능** - Persona의 정책은 “법 집행·국가안보 목적의 요청 시 데이터 제공”을 명시 - **비밀유지 명령(gag order)** 이 포함될 수 있어, 이용자에게 통보되지 않을 수 있음 ### EU-US Data Privacy Framework의 한계 - Persona는 **EU-US Data Privacy Framework(DPF)** 인증을 보유 - 그러나 이는 **Privacy Shield**의 대체 제도로, **법적 효력은 행정명령(Executive Order)** 에 기반 - 향후 행정부 변경 시 **철회 가능성** 존재 - **noyb 등 프라이버시 단체**가 이미 법적 도전을 제기함 ### 생체정보의 위험성과 보존 예외 - Persona는 얼굴 기하학 데이터를 **인증 완료 후 또는 6개월 내 삭제**한다고 명시 - 단, **법적 요구 시 보존 예외**를 두어, **미국 법원 명령 시 무기한 보관 가능성** 존재 - 생체정보는 **변경 불가능한 고유 식별자**로, 유출 시 회복 불가 ### 법적 책임과 이용자 권리 - Persona의 **손해배상 한도는 50달러**로 제한 - 분쟁은 **미국 중재기관(AAA)** 을 통한 **개별 강제중재**로만 가능 - EU 이용자에게는 **아일랜드 법 적용**이 명시되지만, **CLOUD Act 우선 적용**으로 실질적 보호는 미약 ### 이용자에게 제시된 조치 - 이미 인증을 완료한 이용자는 다음을 수행할 수 있음 - **데이터 열람 요청**: idv-privacy@withpersona.com - **삭제 요청**: 인증 완료 후 불필요한 데이터 삭제 요구 - **DPO 연락**: dpo@withpersona.com으로 AI 학습 활용에 대한 이의 제기 가능 - **인증 재고**: 단순한 배지보다 **생체정보 보호의 중요성**을 고려할 필요 ### 결론 - LinkedIn의 신원 인증은 단 3분이면 끝나지만, **34쪽의 법적 문서**를 읽어야 실제 데이터 흐름을 이해할 수 있음 - 사용자는 **여권, 얼굴, 생체정보, 신용기록**을 미국 기업에 제공하며, **AI 학습·정부 접근·법적 예외 보존**의 가능성에 노출됨 - **유럽 이용자의 데이터가 사실상 미국 법 체계 아래에 놓여 있음** - 단순한 파란 배지를 얻기 위해 **개인 신원 전체를 넘기는 구조**임 ## Comments ### Comment 51573 - Author: cherrycoder - Created: 2026-02-22T13:23:32+09:00 - Points: 1 미국내 방첩활동에도 의외로 많이 활용되는듯 ### Comment 51567 - Author: neo - Created: 2026-02-22T09:34:58+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47098245) - Persona의 CEO가 [LinkedIn에서 직접 해명](https://www.linkedin.com/feed/update/urn:li:activity:7430615492442091520?commentUrn=urn%3Ali%3Acomment%3A%28activity%3A7430615492442091520%2C7430718965896761344%29&dashCommentUrn=urn%3Ali%3Afsd_comment%3A%287430718965896761344%2Curn%3Ali%3Aactivity%3A7430615492442091520%29)했음 개인 데이터는 **AI 학습에 사용되지 않으며**, 신원 확인 후 생체정보는 즉시 삭제되고, 나머지 데이터는 30일 내 자동 삭제된다고 함 실제로는 법무팀이 개입하면 문서가 과도하게 포괄적으로 작성되는 경우가 많음. 현실보다 훨씬 어둡게 보일 수 있으므로 이런 해명은 투명성을 확보하는 데 의미가 있음 - 이런 설명이 **법적 문서**에 반영되지 않으면 아무 의미가 없다고 생각함. CEO의 말만 믿기보단 문서로 확인되어야 함 - 정책상 “언제든 변경될 수 있다”고 명시되어 있는데, 그렇다면 CEO의 말이 무슨 소용인지 의문임. 실제로는 **soft delete**만 하고 데이터를 남겨둘 수도 있음 - “pointing out”보다는 “claiming that”이라고 해야 맞는 표현 같음. 공개적으로 **데이터를 불법 수집해 모델 학습에 사용한 기업들**과의 관계를 생각하면 신뢰하기 어려움 - 법무팀이 너무 포괄적인 문구를 쓰는 건, 내부적으로 뭔가 확실하지 않거나 **데이터 활용 여지를 남겨두려는 의도**일 수도 있음. 정말 사용자 프라이버시를 지킬 생각이라면 법적 문서에 명시해야 함 - 생체정보가 서버로 전송된다는 점이 이상함. 왜 **기기 내에서 처리(on-device processing)** 하지 않는지 궁금함. 비밀번호처럼 해시+솔트만 전송하는 구조가 더 안전하지 않을까 생각함 - 예전에 LinkedIn 전용 이메일 주소를 만들어 가입했는데, 계정을 삭제하자마자 그 주소로 **스팸 메일**이 쏟아졌음 실험을 해보고 싶지만, 이미 신뢰를 잃었음. LinkedIn이 데이터를 팔았다고 믿고 있음 - Mozilla가 CEO의 유일한 온라인 프로필이 LinkedIn인 사람을 고용하는 게 **아이러니**하다고 생각함. 반(反)감시를 외치는 조직이 왜 그런 선택을 하는지 의문임 - LinkedIn은 **해킹 이력**이 너무 많음. 탈퇴한 사용자의 데이터를 끝까지 짜내려는 듯한 느낌을 받음 - LinkedIn은 본질적으로 **정보 수집 플랫폼**이라고 생각함. Microsoft가 Skype처럼 인수한 것도 같은 맥락으로 보임 - 예전 LinkedIn은 이메일 스캔, 가짜 계정 생성 등 **문제적 과거**가 있었음 - LinkedIn은 기본적으로 **공개용 프로필 플랫폼**임. 비공개로 두고 싶은 정보는 올리지 않는 게 맞음. 스팸은 피할 수 없고, 이메일 필터링이 현실적 대안임 - 새 계정을 만들 때 **신원 인증을 강제**당했음. 여권으로 인증해야 했고, 이후 개인정보 내역을 확인했지만 거의 아무 정보도 제공되지 않았음 광고 설정은 기본적으로 켜져 있었고, 전체 과정이 매우 불편했음. 회사용 계정이라 어쩔 수 없이 진행했지만, **탈중앙화된 대안 서비스**가 절실하다고 느낌 - 기존 계정 접근에도 인증이 강제됨. 계정을 삭제하거나 AI 콘텐츠 활용을 거부하려면 오히려 더 많은 정보를 제출해야 하는 **모순된 구조**임 - AI 봇 문제로 인해 신원 인증이 필요하다는 건 이해하지만, **프라이버시를 지키면서 신뢰를 확보할 방법**이 필요함. Persona CEO의 [LinkedIn 답변](https://www.linkedin.com/posts/bkrebs_if-you-are-thinking-about-verifying-your-activity-7430615492442091520-2W3K?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAZalAYBOKyspIQsBkXPPS8ez7xFXhtPQ34)도 참고할 만함 - 이런 서비스들이 마음대로 할 수 있는 이유는 **네트워크 효과** 때문임. 사용자들이 묶여 있어서 떠나기 어렵고, 그게 곧 권력이 됨 - Persona가 **Peter Thiel과 연관**되어 있다는 점도 우려됨. 정부 감시와 결합될 위험이 있음 - Persona를 통한 신원 인증은 결국 **정부 데이터 보강(enrichment)** 에 기여하는 셈이라고 생각함 Coursera, Wealthsimple, Lime 등 주요 서비스들이 이미 의존하고 있어 피하기 어렵지만, **데이터 활용에 대한 법적 보장**이 필요함 캐나다나 유럽처럼 **디지털 주권**을 논의하는 지역은 지역 대안을 육성해야 함 - 실제로는 취업, 임대, 비자, 전자서명 등 **일상적 절차**에서도 피하기 어려움 - KYC 플랫폼의 자리는 “지옥”에나 어울린다고 냉소적으로 표현함 - Persona는 대규모 개인정보를 다루는 데 **신뢰할 만한 역량이 부족**해 보임 관련 블로그 글: [https://vmfunc.re/blog/persona](https://vmfunc.re/blog/persona) - CEO와 블로거의 [X(트위터) 대화](https://x.com/rickcsong/status/2025038040599810385)도 참고할 만함. 해킹은 아니고 **프론트엔드 소스맵 유출**로 내부 변수명이 노출된 사건이었다고 함 - 오래된 인터넷 감성을 느낄 수 있는 멋진 글이었다는 반응도 있었음 - 다만 사이트가 **Firefox 메모리 누수**를 일으킨다는 기술적 지적도 있었음 - “Continue” 버튼을 누르면 갑자기 음악이 재생된다는 경고도 있었음 - LinkedIn, Google, Facebook 같은 플랫폼의 **핵심 구조**는 사용자를 상품으로 파는 것임 누군가 당신을 타깃으로 삼기 위해 돈을 지불한다면, 결국 그 돈은 당신에게서 회수됨 이런 구조가 장기적으로 **경제적 불평등**을 심화시켰다고 생각함 - 이 글이 너무 인상적이라 **프라이버시의 중요성**을 설명할 때 인용하고 싶음. 나도 Google 서비스를 쓰지만 항상 그들의 비즈니스 모델을 의식함 - LinkedIn은 실제로 **유료 상품**을 판매하는 플랫폼이기도 함. 문제는 그걸로 충분하지 않아 데이터를 더 활용한다는 점임 - “멋지고 무료니까”라는 이유로 다들 쓰지만, 그 결과에 대해 **실질적 책임**을 지는 사람은 거의 없음 - LinkedIn은 사용자가 **타깃이 되는 걸 원해서 가입**하는 경우도 있음. 기업이 구직자를 찾는 구조 자체가 상호 이익일 수도 있음. 다만 인플레이션 같은 거시경제 문제를 소셜미디어 탓으로 돌리는 건 과도함 - 결국 “**당신이 곧 상품**”이라는 점을 잊지 말아야 함 - LinkedIn은 **Tiktok화된 허세 SNS**로 변했음. “산업 지식을 쌓는다”는 명분 아래 시간 낭비를 정당화하는 구조임 진짜 전문가가 아니라 **자기 브랜드로 먹고사는 사람들**이 넘침 - 대부분의 사용자는 피드를 거의 보지 않음. 연락처 관리나 메시징용으로만 씀. 피드는 그냥 **잡음**이므로 무시하는 게 답임 - 나는 LinkedIn을 **일방향(write-only)** 채널로 쓰는데, 실제로 오프라인에서 좋은 인연을 많이 만났음 - 실제로 만난 사람만 연결하는 **엄격한 네트워크 정책**을 유지하면 피드가 훨씬 깔끔해짐 - 기사에서 “유럽 여권을 스캔했는데 데이터가 전부 북미 기업으로 갔다”는 부분이 인상적이었음 LinkedIn이 유럽 기반 네트워크라고 보긴 어렵다고 생각함 - 작성자는 “유럽 내 자신의 네트워크”를 의미한 것 같음 - 유럽이라면 **Xing**을 쓰는 게 맞지만, 거기선 너무 외로울 듯함 - “Let that sink in” 같은 표현은 **GPT 생성글의 흔적**이라 신뢰하기 어렵다고 봄 - 유럽인들이 LinkedIn을 쓰는 건 **네트워크 효과** 때문임. 미국 중심의 기술 집중은 큰 실수였고, 중국처럼 **국내 대안을 육성**해야 한다고 생각함 - 이런 **프라이버시 행동주의**가 필요함. 나도 LinkedIn 인증을 했지만, 작성자가 제시한 **실행 가능한 대응 리스트**가 인상적이었음 - 최근 “이메일이 수신되지 않는다”는 오류 메시지를 계속 받음. 하지만 실제로는 잘 수신되고 있음 버튼을 누르면 “문제가 발생했습니다”만 뜨고, **유료 사용자임에도 해결되지 않음** 지원팀은 같은 주소로 이메일을 보내겠다고 해서 어이없었음. 이런 구조는 **탈중앙화의 필요성**을 다시 느끼게 함 - 콜센터 시스템이 일부러 이렇게 **복잡하게 설계된 것** 같음. 하위 직원은 권한이 없고, 티켓을 넘기거나 부서 이동만 반복됨. 전화 시스템도 **AI 음성 인식**이 오히려 더 불편함. decades 동안 누적된 **괴물 같은 구조적 복잡성**이 된 느낌임 - 혹시 **원격 이미지 로딩 차단**을 하고 있는지 확인하라는 제안도 있었음. 추적 픽셀로 이메일 수신 여부를 측정하는 경우가 많음