--- title: "LinkedIn이 당신 컴퓨터를 몰래 뒤지고 있었다 — 10억 명 대상 무단 소프트웨어 스캔 폭로" published: 2026-04-02T13:09:09.000Z canonical: https://jeff.news/article/1480 --- # LinkedIn이 당신 컴퓨터를 몰래 뒤지고 있었다 — 10억 명 대상 무단 소프트웨어 스캔 폭로 LinkedIn이 사용자가 사이트에 접속할 때마다 브라우저에 설치된 소프트웨어를 몰래 스캔하고, 그 결과를 LinkedIn 서버와 제3자 회사에 전송하고 있었다는 조사 결과가 공개됨. 종교, 정치 성향, 구직 활동 등 민감한 정보까지 노출되며, EU 규제도 회피하고 있었음. - **LinkedIn이 사용자 컴퓨터를 몰래 뒤지고 있었음** — 유저가 linkedin.com에 접속할 때마다 숨겨진 코드가 설치된 소프트웨어를 스캔하고, 그 결과를 LinkedIn 서버와 제3자 회사에 전송함 - 10억 명의 LinkedIn 유저 전원이 대상이고, 동의도 고지도 없음 - LinkedIn의 개인정보 처리방침에도 이 내용은 언급되지 않음 - LinkedIn은 사용자의 실명, 직장, 직함을 알고 있기 때문에 "익명 방문자 스캔"이 아니라 **"신원이 확인된 사람의 컴퓨터를 뒤지는 것"**임 > [!WARNING] > 이건 단순 데이터 수집이 아님. 조사 단체 Fairlinked에 따르면, 조사한 모든 관할권에서 불법이며 잠재적 형사 범죄에 해당한다고 함. ## 어떤 데이터가 털리나 - **종교, 정치 성향, 장애 정보까지 유출됨** — 브라우저 확장 프로그램 스캔을 통해 사용자의 민감한 개인정보가 드러남 - 무슬림 사용자를 식별하는 확장, 정치 성향을 드러내는 확장, 신경다양성(neurodivergent) 사용자용 확장까지 스캔 대상 - 509개의 구직 도구도 스캔해서, **몰래 이직 준비하는 사람이 현 직장 상사 눈에 보이는 플랫폼에서 노출될 수 있음** - EU 법상 이런 종류의 데이터는 규제 대상이 아니라 아예 **수집 자체가 금지**된 카테고리임 - **경쟁사 고객 목록을 사실상 훔치고 있음** — Apollo, Lusha, ZoomInfo 등 200개 이상의 경쟁 영업 도구를 스캔함 - 유저의 고용주 정보와 결합하면 "어느 회사가 어떤 경쟁 제품을 쓰는지" 지도를 그릴 수 있음 - 실제로 LinkedIn은 이렇게 수집한 데이터를 기반으로 서드파티 도구 사용자에게 이미 제재 위협을 보낸 바 있음 ## EU 규제까지 속이는 중 - **EU가 플랫폼 개방을 명령했는데, LinkedIn은 꼼수로 대응함** — 2023년 디지털 시장법(DMA)에 따라 게이트키퍼로 지정되어 서드파티 도구 접근을 허용해야 했음 - LinkedIn이 공개한 API 2개의 처리량은 합쳐서 초당 약 0.07건 - 반면 내부 API인 Voyager는 초당 163,000건을 처리함 — **230만 배 차이** - Microsoft가 EU에 제출한 249페이지 보고서에 "API"는 533번 나오지만, "Voyager"는 **0번** 등장 - EU가 보호하려 했던 서드파티 도구들의 스캔 목록은 오히려 확대됨: 2024년 ~461개 → 2026년 2월 **6,000개 이상** ## 제3자에게도 데이터 전송 중 - **HUMAN Security(구 PerimeterX)라는 미국-이스라엘 사이버보안 회사에 데이터가 흘러감** - 0픽셀 크기의 보이지 않는 트래킹 요소를 로드해서 유저 브라우저에 쿠키를 심음 - LinkedIn 자체 서버에서도 별도의 핑거프린팅 스크립트 실행 - Google 스크립트도 매 페이지 로드마다 조용히 실행됨 - 전부 암호화되어 있고, 어디에도 고지되지 않음 > [!IMPORTANT] > 이 조사를 수행한 Fairlinked는 LinkedIn 상업 사용자 연합으로, Microsoft의 $150억 법무 예산에 맞서 법적 대응을 위한 증거 수집과 펀딩을 진행 중임. ## 핵심 포인트 - LinkedIn 접속 시 숨겨진 코드가 설치된 소프트웨어를 무단 스캔하여 서버에 전송 - 종교, 정치 성향, 장애 관련 확장 프로그램과 509개 구직 도구까지 스캔 대상 - 경쟁사 200개 이상의 영업 도구를 스캔해 사실상 고객 목록 탈취 - EU DMA 대응으로 공개한 API는 초당 0.07건, 내부 Voyager API는 초당 163,000건 - HUMAN Security 등 제3자에게 유저 데이터를 무고지로 전송 ## 인사이트 LinkedIn을 쓰는 개발자라면 지금 당장 브라우저 확장 프로그램 목록을 점검해야 할 수준의 이슈. 특히 이직 준비 중이라면 구직 도구 확장이 현 직장에 노출될 수 있다는 점이 소름끼침.