‘브라우저게이트’ 휘말링크드인

인기 SNS 링크드인이 프라이버시 논란에 휘말렸다. 사용자 컴퓨터에 설치된 각종 소프트웨어와 도구를 염탐하고 있었다는 고발이 나온 것이다. 이를 위해 링크드인은 코드를 숨긴 채 사용해 왔다고 한다. 현재 이 논란은 브라우저게이트(BrowserGate)라는 이름으로 일파만파 퍼지는 중이다.

링크드인은 10억 명 사용자를 보유한 플랫폼으로, MS 소유다. 브라우저게이트가 사실이라면 사상 최대 자리를 놓고 다툴만한 규모의 사건이 된다. 조사를 실행한 후 결과를 발표한 민간 단체 페어링크드eV(Fairlinked e.V)는 이미 “디지털 역사상 가장 큰 기업 스파이 활동이자 데이터 유출 스캔들”이라고 브라우저게이트를 정의한다.

페어링크드, 뭘 발견했을까?

페어링크드 측의 주장부터 짚자. “링크드인 웹사이트를 분석했을 때 숨겨진 브라우저 스캔 코드를 먼저 발견했습니다. 접속한 사용자 브라우저 백그라운드에서 실행되는, 일종의 자바스크립트였습니다. 사용자 브라우저에 설치된 플러그인 존재 여부를 확인하는 기능을 가졌는데, 검사를 위해 미리 작성된 목록에는 6000개 이상의 플러그인이 망라돼 있었습니다.”

페어링크드는 2024년에만 해도 이 목록에 461개의 플러그인이 포함돼 있었다고 한다. “그것이 2년 만에 6000개 이상으로 늘어난 겁니다. 광범위한 데이터 수집이라는 목적성이 의심됩니다.” 주로 구인 구직 활동 지원, 생산성 향상 등을 주요 기능으로 내세우는 플러그인들이었으나, 특정 성향이나 경쟁 서비스와 관련된 플러그인들도 다수 포함됐음을 발견했다. 경쟁서 우휘를 점하고 동시에 사용자의 개인 성향까지 추정하려는 것으로 짐작한다.

페어링크드는 해당 자바스크립트가 생성하는 일부 요청이 보안 기업 휴먼시큐리티(HUMAN Security)와 연결됐다고도 주장한다. “눈에 띄지 않는 픽셀 트랙킹(pixel tracking) 기술이 동원됐습니다. 단순 스파잉을 넘어 외부로 데이터를 넘기려는 의도가 엿보입니다.”

API도 의심 대상으로 꼽는다. “링크드인은 공개 API를 2개 제공합니다. 정보 공개나 공정 경쟁 관련 규정을 준수하는 것처럼 보입니다. 그런데 이 API의 실제 사용량은 낮습니다. 초당 0.07 요청 수준으로, 아무도 안 쓰는 수준입니다. 규정상 만들어 공개했지만 실질적으로는 없는 거나 다름없는, 혹은 쓸모 없는 거나 다름없는 요소가 아닐까 합니다.” 반면 내부 API인 보야저(Voyager)는 초당 16만 회 이상의 요청을 기록한다.

이런 현상을 두고 페어링크드는 “규제 준수 위해 공개 API를 형식적으로 만들고, 실제로는 독점 체제를 강화하려는 것”이라 풀이한다. 규제 우회를 주장하는 이유다. “공개 API는 아무도 안 쓰도록 만들고, 내부 API는 폭발적으로 활용하면 공정 경쟁이 성립되지 않습니다. 내부적으로 데이터 통제도 할 수 있고, 시장 독점 장기화도 가능합니다.”

링크드인, 반박

아쉽게도 페어링크드는 이런 내용들을 어떻게 발견했는지, 어떤 조사 및 분석 기법을 활용했는지 밝히지 않고 있다. 링크드인 웹 트래픽을 분석했거나, 문제의 자바스크립트 코드를 역설계했거나, 실험 환경서 여러 플러그인을 설치 및 제거하며 링크드인 반응이 어떻게 달라지는지 관찰했을 것으로 추정된다.

링크드인은 이러한 논란을 인지, “사용자 브라우저에 설치된 플러그인을 확인하는 것은 맞다”고 인정했다. 단 “일부 브라우저 플러그인 존재 유무만 확인한다”고 하며, 그나마도 스팸과 봇, 데이터 스크래핑을 방지하기 위한 것이라 해명했다. 플랫폼 안정성을 위한 조치였다는 것. “누가 어떤 도구를 쓰고 있는지 파악하는 게 아니라, 악성 플러그인을 걸러내기 위한 것”이었다는 설명이다.

아무리 그런 목적이라 해도 6000개나 스캔한다는 건 지나친 것 아니냐는 의문이 제기될 수 있다. 이에 대해 링크드인은 “악성 도구는 계속 변하기에 탐지 대상이 시간 흐름에 따라 점점 많아지는 건 당연한 일”이라 답했다. 

이번 프라이버시 논란 중 가장 민감한 내용은 “링크드인이 개인 성향까지 추정하려는 것으로 짐작한다”는 주장에 담겼다. 종교, 정치 성향, 신경 다양성 등 개인이 숨기고 싶어할 수 있는 내용을 링크드인이 굳이 알아낸다는 게 사실로 밝혀질 경우 논란은 폭발적으로 커질 전망이다. 하지만 링크드인은 “그런 민감 정보를 추론한 적 없다”고 부인했다. 

반격도 가했다. 조사 동기에 의문을 제기한 것이다. “문제를 처음 제기한 인물은 팀플루언스(Teamfluence)라는 도구의 개발자입니다. 그런데 팀플루언스는 링크드인 정책 위반 이유로 제재됐습니다. 저희를 고발한 개발자는, 앙심을 품고 논란을 터트린 것 아닐까요?” 브라우저게이트 공개 전 이 인물이 독일에서 가처분을 신청했지만 기각된 것도 짚는다. “독일 법원이 보기에도 저희가 지나친 조치를 취한 건 아니라는 의미죠.”

지금 시점, 확실한 팩트는?

확인된 내용만 요약하면 다음과 같다.
1) 사용자가 설치한 플러그인이 무엇인지 확인하는 로직이 링크드인에 존재한다
2) 링크드인은 그러한 로직이 보안상 꼭 필요하다고 주장한다
3) 누군가는 이것을 ‘스파잉’이라 간주했고, 적잖은 이들이 동의한다

확인되지 않은 것은 다음과 같다.
1) 정말 6000개나 되는 플러그인을 스캔하는가? 스캔할 때 얼마나 깊숙하게 침투하나?
2) 수집한 데이터를 어떻게 활용하나? 외부로 빼돌리나?
3) 규제 회피용 API가 따로 존재하고, 실제 활용되는 API가 따로 존재하는 게 사실인가? 🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• BrowserGate 조사 결과를 바탕으로, LinkedIn이 방문자 브라우저에서 6,000개가 넘는 Chrome 확장 프로그램과 기기 지문 정보를 비밀리에 수집하며 이를 식별 가능한 프로필과 연결해 사용할 수 있다고 보도한 기사 「LinkedIn is spying on you, according to a new 'BrowserGate' security report」 - Tom's Hardware , 2026년(2024~2026년 관측 내용 정리)
• LinkedIn이 숨은 JavaScript로 6,000개 이상 확장 프로그램과 기기 정보를 스캔하고, 이를 통해 사용자의 직장·직무·브라우저 환경을 조합해 식별한다는 BrowserGate 분석을 정리한 기사 「LinkedIn Hidden Code Secretly Searches Your Browser for Installed Extensions」 - Cyber Security News , 2026년(공개 보고서의 핵심 주장 요약)
• BrowserGate가 LinkedIn의 브라우저 확장 프로그램 스캔과 데이터 전송 구조를 세부적으로 설명하며, GDPR/CCPA 위반 가능성과 기업 스파이행위 논란까지 제기한 기사 「BrowserGate is a research project that claims that every time you access LinkedIn, your PC is being illegally searched」 - GIGAZINE , 2026년(공개된 조사자료의 상세 해설)
• Fairlinked e.V.의 BrowserGate 조사 내용을 바탕으로 LinkedIn의 브라우저 감시·확장 프로그램 스캔·제3자 데이터 공유 의혹을 다루는 기사 「LinkedIn Accused of Extensive Browser Surveillance In BrowserGate Report」 - LinkedIn Pulse , 2026년

속도 붙은 자동화, 보안 공백 뒤따른다

💡Editor’s Pick - 자동화 도입 서두르는 기업들, 보안은 한참 뒤 - 자동화 기술 만연하면서 ‘비인간 ID’ 급증 - 자동화 기술로 대응해야 하는데 아직 수동 프로세스 많아 ‘격차’ 혹은 ‘공백’이 항상 문제다. 사회적으로는 빈부 ‘격차’가, 직장에서는 담당자 ‘공백’이 결국 구성원 모두를 괴롭히는 짐덩어리가 되곤 한다. 보안도 마찬가지. 최근

더테크엣지(The Tech Edge)문가용 기자