링크드인이 당신의 브라우저 확장 프로그램을 몰래 스캔하고 있다

당신이 LinkedIn에 접속할 때마다, LinkedIn은 당신의 프로필만 보는 게 아닙니다. 브라우저에 어떤 확장 프로그램이 설치되어 있는지까지 들여다보고 있습니다. 이 사실이 개발자 커뮤니티를 중심으로 알려지면서, 플랫폼이 사용자의 로컬 환경까지 감시하는 것이 정당한지에 대한 논쟁이 뜨겁습니다.

정확히 무슨 일이 벌어지고 있나

LinkedIn 웹사이트의 자바스크립트 코드를 분석한 개발자들이 흥미로운 사실을 발견했습니다. LinkedIn이 브라우저 확장 프로그램 목록을 스캔하는 코드를 포함하고 있다는 것입니다. 구체적으로는, 페이지 로드 시 설치된 확장 프로그램의 ID를 감지하고 이를 서버로 전송하는 방식입니다.

이 스캔 대상에는 광고 차단기, VPN 확장, 개발자 도구, 자동화 봇 탐지 도구 등이 포함됩니다. 사용자에게 별도의 알림이나 동의 요청은 없습니다. 그냥 조용히 일어나는 일입니다.

왜 LinkedIn은 이런 정보를 원할까

LinkedIn 측의 공식 입장은 명확하지 않지만, 몇 가지 가능한 이유가 있습니다.

첫째, 봇 탐지와 스크래핑 방지입니다. LinkedIn은 오래전부터 자동화된 데이터 수집에 민감했습니다. 셀레니움 기반 크롤러나 스크래핑 확장 프로그램을 탐지하려는 목적이 가장 유력합니다.

둘째, 광고 차단기 파악입니다. 어떤 사용자가 광고를 차단하고 있는지 알면, 광고 노출 전략을 조정할 수 있습니다. LinkedIn의 프리미엄 광고 매출이 계속 성장하고 있는 상황에서, 이 데이터는 상당한 가치를 가집니다.

셋째, 보안 명목입니다. 악성 확장 프로그램이 LinkedIn 세션을 탈취하는 것을 방지한다는 논리도 가능합니다. 하지만 이것이 사용자 전체의 확장 프로그램 목록을 수집할 근거가 되는지는 별개의 문제입니다.

기술적으로 어떻게 가능한가

브라우저 확장 프로그램 스캔은 생각보다 단순한 기술입니다. 크롬 기반 브라우저에서 확장 프로그램은 고유한 ID를 가지고 있고, 웹페이지의 자바스크립트가 특정 리소스 경로에 접근을 시도하면 해당 확장이 설치되어 있는지 확인할 수 있습니다.

예를 들어, chrome-extension://확장프로그램ID/manifest.json 경로로 요청을 보내 응답이 오면 설치되어 있다고 판단하는 방식입니다. 이 방법은 web accessible resources로 공개된 리소스가 있는 확장에만 작동하지만, 인기 있는 확장 대부분이 여기에 해당합니다.

구글은 Manifest V3로 전환하면서 이런 핑거프린팅을 줄이려 했지만, 완전히 차단하지는 못했습니다. 웹사이트가 의지만 있다면 여전히 상당수의 확장 프로그램을 탐지할 수 있습니다.

프라이버시 관점에서 왜 문제인가

브라우저 확장 프로그램 목록은 단순한 기술 정보가 아닙니다. 이것은 디지털 지문입니다.

어떤 사람이 비밀번호 관리자, 광고 차단기, 번역기, 특정 종교 관련 확장, 정신건강 관련 도구, 구직 활동 보조 확장을 사용하고 있다면, 이 목록만으로도 상당히 구체적인 프로필을 구성할 수 있습니다. LinkedIn은 이미 사용자의 직장, 학력, 인맥 정보를 보유하고 있습니다. 여기에 브라우저 확장 목록까지 더하면, 그 사람에 대해 알 수 있는 것이 한 단계 더 깊어집니다.

특히 LinkedIn은 구직 플랫폼이라는 점에서 더 민감합니다. 채용 담당자가 지원자의 확장 프로그램 정보에 접근할 수 있다면 어떨까요. 현재로서는 그런 기능이 확인되지 않았지만, 데이터가 수집되는 순간 활용 가능성은 항상 열려 있습니다.

더 큰 그림 — 플랫폼 감시의 경계선

이 문제는 LinkedIn만의 이야기가 아닙니다. 페이스북은 오래전부터 Onavo VPN을 통해 사용자의 앱 사용 패턴을 수집했고, 결국 앱스토어에서 퇴출당했습니다. 구글은 크롬 브라우저 자체가 데이터 수집 도구라는 비판을 받아왔습니다.

하지만 LinkedIn의 경우는 조금 다른 맥락이 있습니다. 이 플랫폼은 사실상 필수 인프라가 되었습니다. 구직, 네트워킹, 업계 소식 확인까지, 많은 직장인에게 LinkedIn을 안 쓴다는 선택지는 현실적이지 않습니다. 선택의 여지가 없는 곳에서의 감시는, 대안이 있는 곳에서의 감시와 무게가 다릅니다.

EU의 GDPR이나 한국의 개인정보보호법 관점에서도 이 수집 행위는 논란의 소지가 있습니다. 브라우저 확장 프로그램 목록이 서비스 제공에 필수적인 정보라고 보기 어렵기 때문입니다. 정보 수집의 최소성 원칙에 위배될 가능성이 높습니다.

사용자가 할 수 있는 것

당장 할 수 있는 조치가 몇 가지 있습니다. Firefox는 크롬보다 확장 프로그램 탐지에 대한 보호가 강합니다. 브라우저 프로필을 분리해서 LinkedIn 전용 프로필을 만드는 것도 방법입니다. 확장 프로그램의 web accessible resources 설정을 최소화하는 것도 탐지를 어렵게 만듭니다.

하지만 근본적인 해결은 사용자 개인의 몫이 아닙니다. 플랫폼이 어떤 데이터를 수집하는지 투명하게 공개하고, 사용자가 이를 통제할 수 있어야 합니다. 브라우저 벤더들도 이런 핑거프린팅 기법을 기술적으로 차단하는 방향으로 움직여야 합니다.

LinkedIn에 로그인할 때마다 당신의 브라우저 환경이 조용히 스캔되고 있다는 사실, 알고 나면 같은 화면이 다르게 보입니다. 플랫폼의 편리함과 프라이버시 사이의 거래에서, 우리는 정확히 무엇을 지불하고 있는 걸까요. 그리고 그 가격표를 제대로 본 적은 있나요.