# LinkedIn이 사용자의 브라우저 확장 프로그램을 검색하고 있음

> Clean Markdown view of GeekNews topic #28140. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=28140](https://news.hada.io/topic?id=28140)
- GeekNews Markdown: [https://news.hada.io/topic/28140.md](https://news.hada.io/topic/28140.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-04-03T09:41:13+09:00
- Updated: 2026-04-03T09:41:13+09:00
- Original source: [browsergate.eu](https://browsergate.eu/)
- Points: 2
- Comments: 1

## Topic Body

- LinkedIn이 사용자의 **브라우저 확장 프로그램을 비밀리에 스캔**하고, 결과를 자사 및 제3자 서버로 전송하는 행위가 확인됨
- 이 과정에서 **사용자 동의나 고지 없이 실행**되며, LinkedIn의 **개인정보 보호정책에도 명시되지 않음**
- 스캔 대상에는 **정치·종교·장애·구직 활동** 등 민감한 정보를 드러낼 수 있는 확장 프로그램이 포함됨
- LinkedIn은 이를 통해 **경쟁사 제품 사용 기업을 식별**하고, **제3자 도구 사용자에게 제재 위협을 가한 사례**가 있음
- Fairlinked e.V.는 이를 **대규모 개인정보 침해 및 기업 스파이 행위**로 규정하고, 법적 대응과 공공 제보를 추진 중임

---

### LinkedIn의 불법적 브라우저 확장 프로그램 검색 의혹
- **LinkedIn**이 사용자의 컴퓨터에 설치된 **브라우저 확장 프로그램을 비밀리에 검색**하고, 그 결과를 자사 및 제3자 서버로 전송한 사실이 확인됨
  - 이 코드는 **사용자 동의나 고지 없이 실행**되며, **LinkedIn의 개인정보 보호정책에는 관련 내용이 명시되어 있지 않음**
  - 수집된 데이터는 **HUMAN Security(구 PerimeterX)** 등 제3자 기업에도 전송됨
- LinkedIn은 사용자의 **실명, 직장, 직책** 정보를 보유하고 있어, 익명 방문자가 아닌 **식별 가능한 개인 및 기업 단위**로 스캔을 수행함
  - 이로 인해 전 세계 수백만 개 기업의 내부 정보가 매일 수집되는 구조임
  - 조사 결과, 이러한 행위는 **검토된 모든 관할권에서 불법이거나 형사 범죄에 해당할 가능성**이 있음

### 조사 주체와 목적
- **Fairlinked e.V.** 는 상업적 LinkedIn 사용자들의 협회로, 플랫폼에 의존하는 전문가, 기업, 도구 개발자들을 대표함
- **BrowserGate**는 이 단체가 수행한 조사 및 캠페인으로, **대규모 기업 스파이 행위와 개인정보 침해 사건**을 기록하고 공공 및 규제 기관에 알리며, 법적 대응을 위한 **증거 수집과 자금 모금**을 목표로 함

### 주요 발견 사항
- ## 대규모 개인정보 침해
  - LinkedIn의 스캔은 사용자의 **종교, 정치 성향, 장애 여부, 구직 활동** 등을 드러낼 수 있는 확장 프로그램을 탐지함
  - 예시로 **무슬림 신앙자용 확장 프로그램**, **정치 성향 관련 확장 프로그램**, **신경다양성 사용자용 도구**, **509개의 구직 관련 확장 프로그램** 등이 포함됨
  - 이러한 데이터는 **EU 법상 수집 자체가 금지된 범주**에 해당하며, LinkedIn은 **동의·공개·법적 근거 없이** 이를 수행함
- ## 기업 스파이 및 영업 비밀 탈취
  - LinkedIn은 **Apollo, Lusha, ZoomInfo** 등 자사 영업 도구와 경쟁하는 **200개 이상의 제품**을 스캔함
  - 사용자의 고용주 정보를 통해 **어떤 기업이 어떤 경쟁 제품을 사용하는지**를 파악할 수 있으며, 이는 **수천 개 소프트웨어 기업의 고객 목록을 무단 추출**하는 결과로 이어짐
  - LinkedIn은 이 데이터를 활용해 **제3자 도구 사용자에게 제재 위협을 발송한 사례**가 있음
- ## EU 규제 회피
  - 2023년 EU는 LinkedIn을 **Digital Markets Act(DMA)** 에 따른 ‘게이트키퍼’로 지정하고, **제3자 도구 접근 허용**을 명령함
  - LinkedIn은 이에 대응해 **제한된 두 개의 API**를 공개했으나, 이들은 **초당 0.07회 호출 수준**에 불과함
  - 반면 내부 API인 **Voyager**는 **초당 163,000회 호출**로 모든 웹·모바일 제품을 구동함
  - Microsoft의 249쪽 EU 보고서에는 “API”가 533회 등장하지만 “Voyager”는 단 한 번도 언급되지 않음
  - 동시에 LinkedIn은 감시 대상을 확대해, **2024년 약 461개 제품에서 2026년 2월 기준 6,000개 이상**으로 스캔 목록을 확장함
  - EU가 제3자 도구 개방을 요구하자, LinkedIn은 **이용자를 감시·처벌하는 시스템**을 구축함
- ## 제3자 데이터 전송
  - LinkedIn은 **HUMAN Security**의 **보이지 않는 추적 요소(0픽셀 크기)** 를 로드해, 사용자의 인지 없이 **쿠키를 설정**함
  - LinkedIn 자체 서버에서 **지문 인식 스크립트**가 실행되며, **Google의 스크립트**도 모든 페이지 로드 시 동작함
  - 이 모든 데이터 전송은 **암호화되어 있으며, 외부에 공개되지 않음**

### 지원 요청
- Microsoft는 **33,000명의 직원**과 **150억 달러 규모의 법무 예산**을 보유함
- Fairlinked는 **증거를 확보했으나**, **법적 대응을 위한 인력과 자금 지원**이 필요함
- 웹사이트를 통해 **참여·후원·언론 제보** 등의 행동을 촉구함

## Comments



### Comment 54520

- Author: neo
- Created: 2026-04-03T09:41:13+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47613981) 
- 제목이 다소 과장된 것 같음  
  실제로는 Chrome 기반 브라우저에서 LinkedIn을 열 때마다 자바스크립트가 설치된 **브라우저 확장 프로그램을 조용히 스캔**하고, 그 결과를 암호화해 서버로 전송하는 구조임  
  이런 행위는 침해적으로 보이지만, 요즘 광고 코드가 포함된 웹사이트에서 흔히 볼 수 있는 **브라우저 지문 채집(fingerprinting)** 의 일종으로 보임  
  다만, 특정 확장 ID를 하나하나 조회하는 방식은 API 제약 때문일 가능성이 높음  
  문제적이긴 하지만, 지나치게 공포를 조장하는 프레이밍에는 동의하지 않음  
  이런 이유로 나는 광고 차단기를 사용함
  - 브라우저 확장을 탐색하는 게 곧 **컴퓨터 스캔** 아닌가 하는 의문이 듦  
    Chrome이 V3에서 extensionId를 무작위화한 이유가 바로 이런 행위를 막기 위해서였음  
    LinkedIn이 특정 종교 관련 확장까지 목록에 넣었다면, 그건 단순한 기술적 이유가 아니라 **의도적 선택**으로 보임  
  - 이런 행위를 ‘기대’하는 태도 자체가 문제라고 생각함  
    광고 차단기는 완벽한 방어책이 아니고, **정보 추출과 행동 조작**은 계속 새로운 방식으로 등장함  
  - FBI조차 광고 차단기를 권장하는 세상이라는 게 놀라움  
    하지만 모두가 실제로 그렇게 하면 인터넷 경제의 상당 부분이 무너질 것임  
    FBI가 “세계 3위 기업의 비즈니스 방식으로부터 스스로를 보호하라”고 말하는 상황이 아이러니함  
  - LinkedIn이 내 확장 프로그램을 들여다볼 이유가 전혀 없다고 생각함  
    이런 행위에는 강하게 **반대해야 함**
  - 이미 여러 차례 리버스 엔지니어링된 내용임  
    LinkedIn이 확인하는 확장 목록은 대부분 **스팸·스크래핑용 도구**들이고, 일반적인 광고 차단기는 포함되지 않음  
    로그인된 사용자에게는 굳이 지문 채집이 필요 없으므로, 단순히 자동화 도구 탐지 목적일 가능성이 높음  

- LinkedIn 측의 공식 입장임  
  문제 제기자의 계정은 **스크래핑 및 약관 위반**으로 제한된 상태이며, 그 보복으로 허위 주장을 퍼뜨리고 있다고 함  
  LinkedIn은 회원 데이터 보호와 사이트 안정성을 위해, 무단 데이터 추출 확장을 탐지한다고 설명함  
  확장은 고정된 리소스 URL을 노출하므로, 그 존재 여부를 확인할 수 있고 이는 **개발자 콘솔에서도 보이는 수준**임  
  이 데이터는 약관 위반 탐지와 기술적 방어 개선에만 사용되며, 민감한 정보 추론에는 쓰이지 않는다고 주장함  
  독일 법원에서도 LinkedIn의 손을 들어줬다고 덧붙임
  - 어떤 **목적이든 사생활 침해는 정당화될 수 없음**  
    사용자의 정치·종교·성적 성향이 노출될 위험이 있다면, 약관 집행보다 훨씬 심각한 문제임  
    단순히 트래픽이 과도한 계정을 차단하면 될 일을, 왜 이런 침해적 방식을 쓰는지 이해할 수 없음  
    LinkedIn이 처음 성장할 때조차 **사용자 주소록을 무단으로 긁어 이메일을 보냈던 전력**이 있음을 상기함  
  - LinkedIn이 말하는 ‘악성 확장 목록’을 공개할 수 있는지 묻고 싶음  
  - 증거 없이 주장만 늘어놓는다고 느껴서 **신뢰하기 어렵다**는 반응임  
  - Microsoft와 LinkedIn은 과거에도 **데이터 수집 관련 거짓말**을 한 적이 있어 믿기 힘듦  
  - OpenAI에 투자한 Microsoft가 **지적재산권 침해를 비난할 자격이 있냐**는 냉소적 반응도 있음  

- LinkedIn 계정이 없는데도 내 이름으로 **가짜 프로필**이 만들어져 있었음  
  현재 컨설팅 중인 회사와 연결된 상태였고, 항의 메일을 보내자 LinkedIn이 삭제 확인 메일을 보냈음  
  계정이 없어도 LinkedIn이 자동으로 프로필을 만들 수 있으니 주의가 필요함
  - 이런 일이 어떻게 가능한지 궁금함  
    회사가 직원 명단을 업로드하는 건지, Microsoft 계정 연동 때문인지, 세부 경로가 불분명함  
    또한 본인이 그 프로필을 **인수하거나 삭제할 수 있는 절차**가 있는지도 알고 싶음  
  - 원래 인물인 척하는 **사기성 계정**일 가능성도 있음  
    원격 근무 확산 이후 이런 사례가 늘었고, 급여 몇 번만 받아도 이득이기 때문에 빈번하게 발생함  
  - 이 사례가 LinkedIn이 왜 이런 행동을 하는지 설명해주는 **유일한 단서**일 수도 있음  

- 몇 년 전만 해도 이런 **무단 지문 채집**은 스파이웨어로 간주됐음  
  지금 LinkedIn이 하는 ‘spectroscopy’는 확장 탐지와 DOM 잔여물 분석을 결합한 방식임  
  광고 차단기로는 막기 어렵고, Chrome을 벗어나도 완전한 방어는 불가능함  
  결국 **브라우저 제조사 차원의 진짜 프라이버시 모드**가 필요함
  - 사실 **reCAPTCHA** 같은 서비스도 15년 넘게 브라우저 지문을 활용해왔음  
    확장 탐지는 흔치 않지만, 지문 채집 자체는 이미 오래된 관행임  
    [fingerprint.com/demo](https://fingerprint.com/demo/)에서 내 브라우저의 취약성을 테스트해봄  
  - Microsoft는 항상 이런 식으로 **열등한 제품을 시장에 고착화**시켜왔음  
    Windows, Office, SharePoint, LinkedIn 모두 마찬가지임  

- LinkedIn이 **이슬람 콘텐츠 필터, 반시온주의 태그, 신경다양성 보조 도구** 같은 확장까지 탐지한다는 건 신뢰의 심각한 훼손임
  - 이런 확장 중 상당수는 실제로는 **데이터 탈취용 악성 확장**일 가능성이 높음  
    겉보기엔 사회적 주제나 접근성 도구처럼 보이지만, 내부적으로는 사용자 데이터를 빼내는 경우가 많음  
  - 이런 행위는 광고 타기팅이나 지문 채집의 일환일 뿐, Microsoft만의 문제는 아님  
    인터넷 전반에서 **신뢰 침식**이 수십 년째 이어지고 있음  
  - 이런 아이디어는 악의적인 임원이 아니라, **도덕보다 돈을 우선시한 직원들**이 만든 결과라고 생각함  
  - LinkedIn이 탐지한 확장 목록을 보면 ‘Anti-woke’, ‘Vote With Your Money’, ‘No more Musk’ 등 **정치적 성향을 드러내는 확장**이 다수 포함되어 있음  

- 웹사이트가 특정 확장을 탐지할 수 있다는 사실 자체가 문제라고 생각함  
  합법적 필요가 있다면, 확장이 스스로 어떤 사이트에 **자신을 노출할지 선택**할 수 있어야 함
  - 실제로는 확장이 특정 사이트에서만 활성화되도록 설정되어 있고, 그때 노출되는 **공개 리소스 파일**을 통해 존재 여부를 확인할 수 있음  
    LinkedIn은 이런 방식으로 6000개 이상의 확장을 스캔하고 있음  
    예전엔 100개 정도였는데, 지금은 훨씬 공격적으로 확대된 상태임  

- 나는 개인용과 업무용 브라우저를 **서로 다른 cgroup과 jail**로 분리해 사용함  
  설정이 번거롭지만, 사생활과 업무 데이터가 섞이지 않아 안심됨  
  최소한 공개용과 비공개용 두 프로필을 분리하는 걸 추천함  
  Microsoft가 내가 ‘Otaku Neko StarBlazers Tru-Fen Extendomatic’ 같은 확장을 설치했는지 아는 건 싫음
  - 나도 별도의 **성인용 Firefox 프로필**을 따로 두고 있음  
  - 그 확장을 실제로 검색해봤다는 사람도 있음  
  - 이런 분리 환경에는 **Qubes OS**가 아주 잘 맞음. 일상용으로 쓰는데 강력히 추천함  

- 이번 사태는 결국 **Chrome의 샌드박스 실패**를 보여줌  
  법적 규제보다 기술적 해결이 더 단순하고 효과적일 수 있음
  - Chrome 확장은 manifest.json의 web_accessible_resources를 통해 내부 파일을 노출함  
    LinkedIn은 이 구조를 이용해 fetch 요청으로 설치 여부를 판별함  
    의도된 설계인지 의문임  
  - [관련 댓글](https://news.ycombinator.com/item?id=47617972)에 따르면 그렇게 단순한 문제는 아님  
  - Chrome 개발자들이 추적 방지에 큰 동기를 갖고 있지 않다는 점도 문제임  
    기술적 방어와 **윤리적 분노**는 병행되어야 함  

- 대형 기술 기업은 **신뢰할 이유가 없음**  
  프라이버시를 지키려면 브라우저 **컨테이너 기능**을 써야 함  
  내가 만든 [LinkedIn Container 확장](https://addons.mozilla.org/en-US/firefox/addon/linkedin-cont...)은 Firefox에서 LinkedIn 활동을 격리시켜줌  
  앞으로 이 확장이 LinkedIn의 스캔 시도를 차단하도록 개선할 예정임  

- 이런 사태가 끔찍하긴 하지만, 동시에 **자바스크립트가 6000개 이상의 fetch를 병렬로 처리할 수 있다는 점**은 기술적으로 놀라움  
  네트워크 스택을 거치지 않아도 이 정도 효율이 나온다는 건 JS의 발전을 보여줌