LinkedIn이 사용자의 브라우저 확장 프로그램을 검색하고 있음

 (browsergate.eu)
2P by GN⁺ 17시간전 | ★ favorite | 댓글 1개
  • LinkedIn이 사용자의 브라우저 확장 프로그램을 비밀리에 스캔하고, 결과를 자사 및 제3자 서버로 전송하는 행위가 확인됨
  • 이 과정에서 사용자 동의나 고지 없이 실행되며, LinkedIn의 개인정보 보호정책에도 명시되지 않음
  • 스캔 대상에는 정치·종교·장애·구직 활동 등 민감한 정보를 드러낼 수 있는 확장 프로그램이 포함됨
  • LinkedIn은 이를 통해 경쟁사 제품 사용 기업을 식별하고, 제3자 도구 사용자에게 제재 위협을 가한 사례가 있음
  • Fairlinked e.V.는 이를 대규모 개인정보 침해 및 기업 스파이 행위로 규정하고, 법적 대응과 공공 제보를 추진 중임

LinkedIn의 불법적 브라우저 확장 프로그램 검색 의혹

  • LinkedIn이 사용자의 컴퓨터에 설치된 브라우저 확장 프로그램을 비밀리에 검색하고, 그 결과를 자사 및 제3자 서버로 전송한 사실이 확인됨
    • 이 코드는 사용자 동의나 고지 없이 실행되며, LinkedIn의 개인정보 보호정책에는 관련 내용이 명시되어 있지 않음
    • 수집된 데이터는 HUMAN Security(구 PerimeterX) 등 제3자 기업에도 전송됨
  • LinkedIn은 사용자의 실명, 직장, 직책 정보를 보유하고 있어, 익명 방문자가 아닌 식별 가능한 개인 및 기업 단위로 스캔을 수행함
    • 이로 인해 전 세계 수백만 개 기업의 내부 정보가 매일 수집되는 구조임
    • 조사 결과, 이러한 행위는 검토된 모든 관할권에서 불법이거나 형사 범죄에 해당할 가능성이 있음

조사 주체와 목적

  • Fairlinked e.V. 는 상업적 LinkedIn 사용자들의 협회로, 플랫폼에 의존하는 전문가, 기업, 도구 개발자들을 대표함
  • BrowserGate는 이 단체가 수행한 조사 및 캠페인으로, 대규모 기업 스파이 행위와 개인정보 침해 사건을 기록하고 공공 및 규제 기관에 알리며, 법적 대응을 위한 증거 수집과 자금 모금을 목표로 함

주요 발견 사항

  • 대규모 개인정보 침해

    • LinkedIn의 스캔은 사용자의 종교, 정치 성향, 장애 여부, 구직 활동 등을 드러낼 수 있는 확장 프로그램을 탐지함
    • 예시로 무슬림 신앙자용 확장 프로그램, 정치 성향 관련 확장 프로그램, 신경다양성 사용자용 도구, 509개의 구직 관련 확장 프로그램 등이 포함됨
    • 이러한 데이터는 EU 법상 수집 자체가 금지된 범주에 해당하며, LinkedIn은 동의·공개·법적 근거 없이 이를 수행함

  • 기업 스파이 및 영업 비밀 탈취

    • LinkedIn은 Apollo, Lusha, ZoomInfo 등 자사 영업 도구와 경쟁하는 200개 이상의 제품을 스캔함
    • 사용자의 고용주 정보를 통해 어떤 기업이 어떤 경쟁 제품을 사용하는지를 파악할 수 있으며, 이는 수천 개 소프트웨어 기업의 고객 목록을 무단 추출하는 결과로 이어짐
    • LinkedIn은 이 데이터를 활용해 제3자 도구 사용자에게 제재 위협을 발송한 사례가 있음

  • EU 규제 회피

    • 2023년 EU는 LinkedIn을 Digital Markets Act(DMA) 에 따른 ‘게이트키퍼’로 지정하고, 제3자 도구 접근 허용을 명령함
    • LinkedIn은 이에 대응해 제한된 두 개의 API를 공개했으나, 이들은 초당 0.07회 호출 수준에 불과함
    • 반면 내부 API인 Voyager초당 163,000회 호출로 모든 웹·모바일 제품을 구동함
    • Microsoft의 249쪽 EU 보고서에는 “API”가 533회 등장하지만 “Voyager”는 단 한 번도 언급되지 않음
    • 동시에 LinkedIn은 감시 대상을 확대해, 2024년 약 461개 제품에서 2026년 2월 기준 6,000개 이상으로 스캔 목록을 확장함
    • EU가 제3자 도구 개방을 요구하자, LinkedIn은 이용자를 감시·처벌하는 시스템을 구축함

  • 제3자 데이터 전송

    • LinkedIn은 HUMAN Security보이지 않는 추적 요소(0픽셀 크기) 를 로드해, 사용자의 인지 없이 쿠키를 설정
    • LinkedIn 자체 서버에서 지문 인식 스크립트가 실행되며, Google의 스크립트도 모든 페이지 로드 시 동작함
    • 이 모든 데이터 전송은 암호화되어 있으며, 외부에 공개되지 않음

지원 요청

  • Microsoft는 33,000명의 직원150억 달러 규모의 법무 예산을 보유함
  • Fairlinked는 증거를 확보했으나, 법적 대응을 위한 인력과 자금 지원이 필요함
  • 웹사이트를 통해 참여·후원·언론 제보 등의 행동을 촉구함

함께 보면 좋은 글 β

GN⁺ 17시간전  [-]
Hacker News 의견들

  • 제목이 다소 과장된 것 같음
    실제로는 Chrome 기반 브라우저에서 LinkedIn을 열 때마다 자바스크립트가 설치된 브라우저 확장 프로그램을 조용히 스캔하고, 그 결과를 암호화해 서버로 전송하는 구조임
    이런 행위는 침해적으로 보이지만, 요즘 광고 코드가 포함된 웹사이트에서 흔히 볼 수 있는 브라우저 지문 채집(fingerprinting) 의 일종으로 보임
    다만, 특정 확장 ID를 하나하나 조회하는 방식은 API 제약 때문일 가능성이 높음
    문제적이긴 하지만, 지나치게 공포를 조장하는 프레이밍에는 동의하지 않음
    이런 이유로 나는 광고 차단기를 사용함

    • 브라우저 확장을 탐색하는 게 곧 컴퓨터 스캔 아닌가 하는 의문이 듦
      Chrome이 V3에서 extensionId를 무작위화한 이유가 바로 이런 행위를 막기 위해서였음
      LinkedIn이 특정 종교 관련 확장까지 목록에 넣었다면, 그건 단순한 기술적 이유가 아니라 의도적 선택으로 보임
    • 이런 행위를 ‘기대’하는 태도 자체가 문제라고 생각함
      광고 차단기는 완벽한 방어책이 아니고, 정보 추출과 행동 조작은 계속 새로운 방식으로 등장함
    • FBI조차 광고 차단기를 권장하는 세상이라는 게 놀라움
      하지만 모두가 실제로 그렇게 하면 인터넷 경제의 상당 부분이 무너질 것임
      FBI가 “세계 3위 기업의 비즈니스 방식으로부터 스스로를 보호하라”고 말하는 상황이 아이러니함
    • LinkedIn이 내 확장 프로그램을 들여다볼 이유가 전혀 없다고 생각함
      이런 행위에는 강하게 반대해야 함
    • 이미 여러 차례 리버스 엔지니어링된 내용임
      LinkedIn이 확인하는 확장 목록은 대부분 스팸·스크래핑용 도구들이고, 일반적인 광고 차단기는 포함되지 않음
      로그인된 사용자에게는 굳이 지문 채집이 필요 없으므로, 단순히 자동화 도구 탐지 목적일 가능성이 높음

  • LinkedIn 측의 공식 입장임
    문제 제기자의 계정은 스크래핑 및 약관 위반으로 제한된 상태이며, 그 보복으로 허위 주장을 퍼뜨리고 있다고 함
    LinkedIn은 회원 데이터 보호와 사이트 안정성을 위해, 무단 데이터 추출 확장을 탐지한다고 설명함
    확장은 고정된 리소스 URL을 노출하므로, 그 존재 여부를 확인할 수 있고 이는 개발자 콘솔에서도 보이는 수준
    이 데이터는 약관 위반 탐지와 기술적 방어 개선에만 사용되며, 민감한 정보 추론에는 쓰이지 않는다고 주장함
    독일 법원에서도 LinkedIn의 손을 들어줬다고 덧붙임

    • 어떤 목적이든 사생활 침해는 정당화될 수 없음
      사용자의 정치·종교·성적 성향이 노출될 위험이 있다면, 약관 집행보다 훨씬 심각한 문제임
      단순히 트래픽이 과도한 계정을 차단하면 될 일을, 왜 이런 침해적 방식을 쓰는지 이해할 수 없음
      LinkedIn이 처음 성장할 때조차 사용자 주소록을 무단으로 긁어 이메일을 보냈던 전력이 있음을 상기함
    • LinkedIn이 말하는 ‘악성 확장 목록’을 공개할 수 있는지 묻고 싶음
    • 증거 없이 주장만 늘어놓는다고 느껴서 신뢰하기 어렵다는 반응임
    • Microsoft와 LinkedIn은 과거에도 데이터 수집 관련 거짓말을 한 적이 있어 믿기 힘듦
    • OpenAI에 투자한 Microsoft가 지적재산권 침해를 비난할 자격이 있냐는 냉소적 반응도 있음

  • LinkedIn 계정이 없는데도 내 이름으로 가짜 프로필이 만들어져 있었음
    현재 컨설팅 중인 회사와 연결된 상태였고, 항의 메일을 보내자 LinkedIn이 삭제 확인 메일을 보냈음
    계정이 없어도 LinkedIn이 자동으로 프로필을 만들 수 있으니 주의가 필요함

    • 이런 일이 어떻게 가능한지 궁금함
      회사가 직원 명단을 업로드하는 건지, Microsoft 계정 연동 때문인지, 세부 경로가 불분명함
      또한 본인이 그 프로필을 인수하거나 삭제할 수 있는 절차가 있는지도 알고 싶음
    • 원래 인물인 척하는 사기성 계정일 가능성도 있음
      원격 근무 확산 이후 이런 사례가 늘었고, 급여 몇 번만 받아도 이득이기 때문에 빈번하게 발생함
    • 이 사례가 LinkedIn이 왜 이런 행동을 하는지 설명해주는 유일한 단서일 수도 있음

  • 몇 년 전만 해도 이런 무단 지문 채집은 스파이웨어로 간주됐음
    지금 LinkedIn이 하는 ‘spectroscopy’는 확장 탐지와 DOM 잔여물 분석을 결합한 방식임
    광고 차단기로는 막기 어렵고, Chrome을 벗어나도 완전한 방어는 불가능함
    결국 브라우저 제조사 차원의 진짜 프라이버시 모드가 필요함

    • 사실 reCAPTCHA 같은 서비스도 15년 넘게 브라우저 지문을 활용해왔음
      확장 탐지는 흔치 않지만, 지문 채집 자체는 이미 오래된 관행임
      fingerprint.com/demo에서 내 브라우저의 취약성을 테스트해봄
    • Microsoft는 항상 이런 식으로 열등한 제품을 시장에 고착화시켜왔음
      Windows, Office, SharePoint, LinkedIn 모두 마찬가지임

  • LinkedIn이 이슬람 콘텐츠 필터, 반시온주의 태그, 신경다양성 보조 도구 같은 확장까지 탐지한다는 건 신뢰의 심각한 훼손임

    • 이런 확장 중 상당수는 실제로는 데이터 탈취용 악성 확장일 가능성이 높음
      겉보기엔 사회적 주제나 접근성 도구처럼 보이지만, 내부적으로는 사용자 데이터를 빼내는 경우가 많음
    • 이런 행위는 광고 타기팅이나 지문 채집의 일환일 뿐, Microsoft만의 문제는 아님
      인터넷 전반에서 신뢰 침식이 수십 년째 이어지고 있음
    • 이런 아이디어는 악의적인 임원이 아니라, 도덕보다 돈을 우선시한 직원들이 만든 결과라고 생각함
    • LinkedIn이 탐지한 확장 목록을 보면 ‘Anti-woke’, ‘Vote With Your Money’, ‘No more Musk’ 등 정치적 성향을 드러내는 확장이 다수 포함되어 있음

  • 웹사이트가 특정 확장을 탐지할 수 있다는 사실 자체가 문제라고 생각함
    합법적 필요가 있다면, 확장이 스스로 어떤 사이트에 자신을 노출할지 선택할 수 있어야 함

    • 실제로는 확장이 특정 사이트에서만 활성화되도록 설정되어 있고, 그때 노출되는 공개 리소스 파일을 통해 존재 여부를 확인할 수 있음
      LinkedIn은 이런 방식으로 6000개 이상의 확장을 스캔하고 있음
      예전엔 100개 정도였는데, 지금은 훨씬 공격적으로 확대된 상태임

  • 나는 개인용과 업무용 브라우저를 서로 다른 cgroup과 jail로 분리해 사용함
    설정이 번거롭지만, 사생활과 업무 데이터가 섞이지 않아 안심됨
    최소한 공개용과 비공개용 두 프로필을 분리하는 걸 추천함
    Microsoft가 내가 ‘Otaku Neko StarBlazers Tru-Fen Extendomatic’ 같은 확장을 설치했는지 아는 건 싫음

    • 나도 별도의 성인용 Firefox 프로필을 따로 두고 있음
    • 그 확장을 실제로 검색해봤다는 사람도 있음
    • 이런 분리 환경에는 Qubes OS가 아주 잘 맞음. 일상용으로 쓰는데 강력히 추천함

  • 이번 사태는 결국 Chrome의 샌드박스 실패를 보여줌
    법적 규제보다 기술적 해결이 더 단순하고 효과적일 수 있음

    • Chrome 확장은 manifest.json의 web_accessible_resources를 통해 내부 파일을 노출함
      LinkedIn은 이 구조를 이용해 fetch 요청으로 설치 여부를 판별함
      의도된 설계인지 의문임
    • 관련 댓글에 따르면 그렇게 단순한 문제는 아님
    • Chrome 개발자들이 추적 방지에 큰 동기를 갖고 있지 않다는 점도 문제임
      기술적 방어와 윤리적 분노는 병행되어야 함

  • 대형 기술 기업은 신뢰할 이유가 없음
    프라이버시를 지키려면 브라우저 컨테이너 기능을 써야 함
    내가 만든 LinkedIn Container 확장은 Firefox에서 LinkedIn 활동을 격리시켜줌
    앞으로 이 확장이 LinkedIn의 스캔 시도를 차단하도록 개선할 예정임

  • 이런 사태가 끔찍하긴 하지만, 동시에 자바스크립트가 6000개 이상의 fetch를 병렬로 처리할 수 있다는 점은 기술적으로 놀라움
    네트워크 스택을 거치지 않아도 이 정도 효율이 나온다는 건 JS의 발전을 보여줌

답변달기