AI 요약
링크드인(LinkedIn)이 사용자의 브라우저에 설치된 확장 프로그램을 체계적으로 스캔하여 상세한 소프트웨어 목록을 수집하고 있다는 사실이 밝혀졌습니다. 이 행위는 2017년 38개의 확장 프로그램을 추적하던 것에서 시작되어, 2026년 4월 기준 6,278개로 그 규모가 대폭 확대되었습니다. 링크드인은 크롬 웹 스토어를 크롤링하여 자동화된 도구로 스캔 리스트를 관리하며, 이를 통해 사용자의 기기 프로필을 작성합니다. 특히 일반적인 익명 핑거프린팅과 달리, 링크드인은 이미 확보된 사용자의 실명, 직장, 연봉 등 검증된 전문 정보에 이 사생활 데이터를 결합한다는 점에서 위험성이 큽니다. 스캔 대상에는 수백 개의 구직 관련 도구는 물론 정치, 종교, 장애 지원 관련 확장 프로그램까지 포함되어 있어 사용자 모르게 민감한 개인 특성을 유추할 수 있게 합니다. 이는 단순한 기술적 보안 조치를 넘어 사용자의 명시적 동의 없는 광범위한 감시 체계로 작동하고 있습니다.
핵심 인사이트
- 스캔 규모의 급격한 팽창: 2017년 38개에 불과했던 스캔 대상 확장 프로그램 리스트가 2026년 4월 기준 6,278개로 약 165배 증가했습니다.
- 정교한 인프라 구축: 링크드인은 약 10년 전부터 크롬 웹 스토어를 크롤링하고 매니페스트 파일을 분석하여 스캔 대상을 식별하는 자동화된 인프라를 운영해 왔습니다.
- 실명 데이터와의 결합: 익명 방문자가 아닌 실명, 고용주, 직함, 위치 등 구체적인 개인 식별 정보가 포함된 프로필에 확장 프로그램 데이터를 직접 연결하여 저장합니다.
주요 디테일
- 기술적 확인 방법: 브라우저에서 링크드인 접속 후 개발자 도구(F12)의 콘솔 창을 확인하면, 설치되지 않은 6,278개의 확장 프로그램에 접근하려는 시도로 인해 발생하는 수많은 에러 메시지를 볼 수 있습니다.
- 구직 활동 감시: 스캔 리스트에는 수백 개의 구직 관련 확장 프로그램이 포함되어 있어, 사용자가 현 직장에 알리기 전 이직 준비 여부를 링크드인이 먼저 파악할 수 있습니다.
- 민감 정보 유추: 정치적 콘텐츠, 종교적 관습, 장애 숙박 시설, 신경다양성 관련 확장 프로그램까지 추적 대상에 포함되어 개인의 사생활 정보를 전문적 정체성에 귀속시킵니다.
- 위장된 명분 비판: 링크드인은 사기 방지나 사용자 경험 개선을 명분으로 내세우지만, 로그인하지 않은 상태에서도 사용자를 추적할 수 있는 데이터를 수집하는 것은 정당성이 부족하다는 지적입니다.
- 데이터 지속성: 수집된 데이터는 일회성 기기 인벤토리에 그치지 않고, 사용자의 검증된 이력 정보에 상세한 소프트웨어 인벤토리 형태로 추가됩니다.
향후 전망
- 규제 당국의 조사 가능성: 사용자 동의 없는 민감 정보 수집에 대해 프라이버시 보호 기구의 조사가 이루어질 가능성이 높습니다.
- 브라우저 보안 강화: 구글 등 브라우저 제조사가 '웹 접근 가능 리소스(web-accessible resources)'에 대한 접근 권한을 더욱 엄격하게 제한하는 업데이트를 실시할 것으로 예상됩니다.