LinkedIn이 비밀리에 6,000개 이상의 Chrome extensions를 스캔하고 데이터를 수집합니다
Source: Bleeping Computer
LinkedIn이 브라우저를 스캔해 확장 프로그램을 확인하고 디바이스 데이터를 수집합니다
LinkedIn은 사이트에 숨겨진 JavaScript를 사용해 방문자의 브라우저에 설치된 확장 프로그램을 스캔하고 디바이스 데이터를 수집하고 있다고, 상업용 LinkedIn 사용자 협회인 Fairlinked e.V.의 BrowserGate 보고서가 밝혔습니다.
주입된 스크립트:
- 수천 개의 브라우저 확장 프로그램을 확인합니다.
- 결과를 식별 가능한 사용자 프로필에 연결합니다.
보고서는 이 행동이 LinkedIn 계정이 실제 신원, 고용주 및 직무 역할과 연결되어 있기 때문에 민감한 개인 및 기업 정보를 수집하는 데 사용된다고 주장합니다.
“LinkedIn은 자체 영업 도구와 직접 경쟁하는 200개 이상의 제품, 예를 들어 Apollo, Lusha, ZoomInfo 등을 스캔합니다. LinkedIn은 각 사용자의 고용주를 알고 있기 때문에 어떤 기업이 어떤 경쟁 제품을 사용하는지 매핑할 수 있습니다. 이는 누구도 모르는 사이에 사용자의 브라우저에서 수천 개 소프트웨어 기업의 고객 목록을 추출하는 것입니다.”라고 보고서는 말합니다.
“그런 다음 찾은 정보를 활용합니다. LinkedIn은 이미 제3자 도구 사용자를 대상으로 강제 조치를 위협했으며, 은밀한 스캔을 통해 얻은 데이터를 사용해 목표 대상을 식별했습니다.”
BleepingComputer는 이러한 주장 중 일부를 독립적으로 확인했습니다:
- 테스트 중 LinkedIn 웹사이트가 무작위 파일명을 가진 JavaScript 파일을 로드하는 것을 관찰했습니다.
- 해당 스크립트는 6,236개의 브라우저 확장 프로그램을 확인했으며, 각 확장 프로그램 ID와 연관된 리소스에 접근하려는 알려진 탐지 기법(BrowserLeaks)을 사용했습니다.
이 피핑거프린팅 스크립트는 2025년에 처음 보고되었으며, 당시 약 2,000개의 확장 프로그램을 탐지했습니다. 두 달 전 GitHub 저장소에서는 3,000개의 확장 프로그램이 탐지되고 있음을 보여주며, 목록이 지속적으로 확장되고 있음을 나타냅니다.
확장 프로그램 목록 예시
Source: BleepingComputer
많은 확장 프로그램이 LinkedIn과 관련되어 있지만, 스크립트는 다음과 같은 항목도 검색합니다:
- 언어 및 문법 확장 프로그램
- 세무 전문가용 도구
- 기타 겉보기에 관련 없는 유틸리티
Device Data Collected
스크립트는 또한 다음과 같은 다양한 브라우저 및 기기 정보를 수집합니다:
- CPU 코어 수
- 사용 가능한 메모리
- 화면 해상도
- 시간대 및 언어 설정
- 배터리 상태
- 오디오 정보
- 스토리지 기능
출처: BleepingComputer
현재 상황
- BleepingComputer는 BrowserGate 보고서가 LinkedIn이 수집된 데이터를 어떻게 사용하는지, 혹은 제3자와 공유하는지에 대한 주장을 확인할 수 없었습니다.
- 유사한 지문 기술은 과거에 고유한 브라우저 프로필을 구축하는 데 사용되어, 사이트 간 추적을 가능하게 했습니다.
참고 자료
- BrowserGate Report (browsergate.eu)
- BrowserLeaks – Detecting Chrome Extensions
- GitHub – LinkedIn Extension Fingerprinting (CSV)
- Jeremy Hyde’s 2025 Gist on LinkedIn Fingerprinting
LinkedIn, 데이터 사용 주장 부인
LinkedIn은 특정 브라우저 확장 프로그램을 감지할 수 있다는 점을 부인하지 않으며, 이 정보는 플랫폼과 사용자를 보호하기 위해 사용된다고 BleepingComputer에 밝혔습니다. 회사는 이 보고서가 LinkedIn 콘텐츠를 스크래핑하고 사이트 이용 약관을 위반한 계정이 차단된 사용자를 통해 나온 것이라고 설명합니다.
LinkedIn의 입장
“여기에 연결된 웹사이트에 제시된 주장은 전혀 사실이 아닙니다. 그 뒤에 있는 사람은 스크래핑 및 기타 LinkedIn 서비스 약관 위반으로 계정 제한을 받았습니다.
회원들의 개인정보와 데이터를 보호하고 사이트 안정성을 확보하기 위해, 우리는 회원의 동의 없이 데이터를 스크래핑하거나 LinkedIn 서비스 약관을 위반하는 확장 프로그램을 탐지합니다.
그 이유는 다음과 같습니다: 일부 확장 프로그램은 정적 리소스(이미지, JavaScript)를 웹페이지에 삽입할 수 있습니다. 우리는 해당 정적 리소스 URL이 존재하는지 확인함으로써 이러한 확장 프로그램의 존재를 감지할 수 있습니다. 이 탐지는 Chrome 개발자 콘솔에서도 확인할 수 있습니다. 우리는 이 데이터를 사용해 어떤 확장 프로그램이 약관을 위반하는지 판단하고, 기술 방어 체계를 개선하며, 회원 계정이 과도하게 다른 회원들의 데이터를 가져오는 경우를 파악합니다. 이는 규모가 커지면 사이트 안정성에 영향을 미칠 수 있습니다. 우리는 이 데이터를 회원의 민감한 정보를 추론하는 데 사용하지 않습니다.
추가적인 맥락을 제공하자면, 이 웹사이트 소유자의 계정 제한에 대한 보복으로 그들은 독일에서 금지 명령을 받으려 시도했으며, LinkedIn이 여러 법률을 위반했다고 주장했습니다. 법원은 그들의 주장이 근거가 없으며, 해당 개인의 데이터 관행 자체가 법에 위배된다고 판단해 그들의 청구를 기각했습니다.
안타깝게도, 이는 법정에서 패소했지만 정확성을 무시하고 여론의 법정에서 다시 소송을 제기하려는 개인의 사례입니다.”
BrowserGate 보고서에 대한 LinkedIn의 입장
- 이 보고서는 **“Teamfluence”**라는 LinkedIn 관련 브라우저 확장 프로그램 개발자와의 분쟁에서 비롯되었으며, LinkedIn은 해당 확장이 플랫폼 약관을 위반했다는 이유로 제한했다고 밝혔습니다.
- BleepingComputer에 제공된 문서에 따르면 독일 법원은 개발자의 임시 금지 신청을 기각했으며, LinkedIn의 조치가 불법적인 방해나 차별에 해당하지 않는다고 결론지었습니다.
- 법원은 자동 데이터 수집 자체만으로도 LinkedIn 이용 약관을 위반할 수 있으며, LinkedIn이 플랫폼을 보호하기 위해 계정을 차단할 권리가 있다고 판시했습니다.
- LinkedIn은 BrowserGate 보고서가 이 분쟁을 공개적으로 다시 소송하려는 시도라고 주장합니다.
논쟁의 여지가 없는 사실
LinkedIn 사이트는 Chromium 기반 브라우저에서 6,000개 이상의 확장 프로그램을 감지하는 지문 스크립트와 방문자의 시스템에 관한 기타 데이터를 사용합니다.
선례: 공격적인 지문 인식(Fingerprinting)을 사용하는 다른 기업들
| 연도 | 기업 | 수행 내용 | 출처 |
|---|---|---|---|
| 2021 | eBay | JavaScript를 사용해 방문자의 장치에서 자동 포트 스캔을 수행하여 원격 지원 소프트웨어를 감지함. | BleepingComputer – eBay port scans |
| — | 다양한 기업(Citibank, TD Bank, Ameriprise, Chick‑fil‑A, Lendup, BeachBody, Equifax IQ Connect, TIAA‑CREF, Sky, GumTree, WePay 등) | 동일한 지문 인식 스크립트를 사용해 방문자를 스캔함. | BleepingComputer – List of sites that port‑scan visitors |
이러한 사례들은 공격적인 지문 인식 스크립트가 LinkedIn에만 국한된 것이 아님을 보여줍니다.
자동화된 펜테스팅은 6가지 표면 중 1가지만 커버합니다
Automated Pentesting Covers Only 1 of 6 Surfaces
자동화된 펜테스팅은 경로가 존재함을 증명합니다. BAS는 귀하의 제어가 이를 차단하는지 여부를 증명합니다. 대부분의 팀은 둘 중 하나만 실행합니다.
이 백서:
- 6가지 검증 표면을 매핑합니다.
- 커버리지가 끝나는 지점을 보여줍니다.
- 실무자에게 모든 도구 평가를 위한 세 가지 진단 질문을 제공합니다.