LinkedIn은 사용자 기기에 설치된 소프트웨어 제품에 대한 정보를 비밀리에 수집합니다

독일의 Fairlinked e.V. 조직이 LinkedIn의 비밀 “검증”을 폭로했습니다

> 누구인가요?
> *Fairlinked e.V.* – 독일에서 상업용 LinkedIn 사용자들을 위한 협회이며, “BrowserGate”라는 이름으로 조사를 시작했습니다.

> 무엇을 발견했나요?
> Microsoft가 소유한 LinkedIn은 Chromium 기반 브라우저(Chrome, Edge, Brave, Opera, Arc)의 확장 프로그램을 은밀히 스캔하여 각 사용자가 설치한 플러그인을 파악합니다. 페이지를 열 때마다 *isUserAgentChrome()* 기능이 실행되어 확장 프로그램이 접근 가능한 파일을 여는 시도를 합니다. 파일이 존재하면 해당 확장이 설치된 것으로 간주하고, 없으면 설치되지 않은 것으로 판단합니다. 이 과정은 밀리초 단위로 진행되며 사용자는 인지하지 못합니다.

> 어떤 데이터를 수집하나요?
> 1. 설치된 확장 프로그램 목록(6,167개 이상).
> 2. 해당 확장과 실제 이름, 고용주 및 직책을 연결한 데이터.
> 3. 기업 직원들이 사용하는 도구에 대한 정보.

> 어떻게 진행되나요?
> * LinkedIn은 결과를 자체 서버와 제3자 회사에 전송합니다.
> * 조사 과정에서 HUMAN Security(전 PerimeterX)의 “보이지 않는” 트래커 컴포넌트가 발견되었습니다 – 사용자 모르게 쿠키를 설정하는 넓이 0인 요소입니다.

> 왜 중요한가요?
> LinkedIn은 10억 명이 넘는 사용자를 보유하고 있으며 실제 이름과 연결된 데이터를 저장합니다. 이는 각 확장을 특정 개인 및 전체 기업 활동(예: 직원들이 사용하는 리크루팅 서비스)과 연관시킬 수 있음을 의미합니다.

> 연구자들이 찾은 내용
> * 509개의 구직 검색 도구 (Indeed, Glassdoor, Monster).
> * 종교적 소속, 정치적 견해, 장애 및 신경 발달 특성을 나타내는 확장 프로그램.
> * 200개가 넘는 경쟁 서비스 (Apollo, Lusha, ZoomInfo, Hunter.io).

> 법적 위험
> * GDPR은 종교, 정치, 건강에 관한 데이터를 “특수 범주”로 분류하며 명시적 동의 없이는 처리할 수 없습니다. Fairlinked e.V.에 따르면 LinkedIn은 해당 동의를 받지 않았으며 사용자에게도 알리지 않았습니다.
> * ePrivacy Directive 및 Digital Markets Act(DMA) 관련 청구가 발생할 가능성이 있습니다.

> 실행 규모
> 추적되는 확장 프로그램 목록이 2024년 461개에서 2026년 2월에 6,000개 이상으로 증가했으며, 이는 1,252% 상승입니다.
> * LinkedIn은 “BrowserGate”가 한 사용자의 계정 차단과 관련된 활동이라고 주장합니다.
> * 독립 소스는 최소 2017년에 스캔이 시작되었음을 시사하며(38개 확장), 현재 약 4억 5천만 명의 LinkedIn 사용자가 추적 가능한 확장을 설치하고 있다고 평가합니다.

> 규제 과정 현황
> EU 규제 기관은 이미 통보받았으며, 법적 절차가 진행 중입니다. Chromium 기반 브라우저를 사용하는 사용자들은 매일 숨겨진 검증 대상이 됩니다.

> 사용자가 할 수 있는 일

1. Firefox 또는 Safari로 전환 – 이 브라우저는 Chrome 확장 아키텍처를 사용하지 않으므로 LinkedIn 스캔 대상에서 제외됩니다.
2. 가능하다면 브라우저 설정에서 자동 실행 확장을 비활성화합니다.
3. 파일 접근을 제어할 수 있는 오픈소스 확장을 사용합니다.
4. 설치된 플러그인의 권한을 확인하고 필요 없는 것을 삭제합니다.

> 결론
> LinkedIn은 Chromium 기반 브라우저에서 사용자 확장 프로그램을 은밀히 감지하고, 이를 개인 데이터와 연결해 제3자에게 전달합니다. 이는 개인정보 보호 및 GDPR 준수에 심각한 의문을 제기하며 EU 규제 조사 대상이 될 수 있습니다. 사용자는 대체 브라우저로 전환하거나 확장 접근을 제한함으로써 자신을 보호할 수 있습니다