LinkedIn이 브라우저 확장 프로그램을 스캔 중 — 개발자가 알아야 할 핵심 정리

LinkedIn BrowserGate — 브라우저 확장 프로그램 스캔 논란

LinkedIn이 브라우저 확장 프로그램을 스캔 중 — 개발자가 알아야 할 핵심 정리

2026년 4월, LinkedIn을 둘러싼 충격적인 사실이 공개됐다. 마이크로소프트 산하적직업 SNS.LinkedIn이 사용자의 브라우저에 설치된 확장 프로그램을 비밀스럽게 스캔하고 있었다. 이번 글에서는 LinkedIn의 'BrowserGate'풍파의 배경, 기술적 원리, 법적 문제, 그리고 개발자와 사용자가 알아야 할 대응책까지 정리한다.

도입: BrowserGate는 무엇인가

'BrowserGate'라는 이름으로 공개된 이번풍파는 LinkedIn이 자사 웹사이트에서 사용자의 Chrome 브라우저에 설치된 확장 프로그램을 대규모로 스캔하고 있다는 사실에서 시작됐다. 보안 연구팀의 분석에 따르면, LinkedIn은 2024년 약 461개의 확장 프로그램을 목록으로 관리했으나, 2026년 2월까지 그 수가 6,222개로 급증했다. 1,252% 증가, 하루에 약 12개씩 새로운 확장 프로그램이 목록에 추가되고 있는 셈이다.

스캔 대상은 단순한 생산성 도구를 넘어 religious, political, job-hunting 관련 확장 프로그램까지 포함한다. 사용자의 동의 없이 진행되는 이 surveillance에 대해 캘리포니아에서 집단소송이 제기됐다.

기술적 원리: LinkedIn은 어떻게 확장 프로그램을 감지하는가

LinkedIn 웹사이트에 방문하면 숨겨진 JavaScript 코드가 실행된다. 이 코드는 브라우저의 chrome.runtime API를 활용하여 설치된 확장 프로그램을 식별한다. 각 확장 프로그램은 고유한 ID를 가지는데, LinkedIn은 이 ID 목록과 대조하여 사용자가 어떤 확장 프로그램을 사용하고 있는지 판단한다.

스캔 결과는 암호화되어 LinkedIn 서버로 전송된다. 연구진에 따르면 이 데이터에는 확장 프로그램 목록 외에도 디바이스 정보가 포함될 수 있다. 확장 프로그램의 고유 ID만으로도 사용자의 정치적 성향, 종교적 신념, 구직 활동 등을 추론할 수 있기 때문에 단순한 기술적 스캔이 아닌 심각한 프라이버시 침해로 평가된다.

두 건의 소송과 LinkedIn의 반박

소송 1: 캘리포니아 집단소송

캘리포니아주 연방 법원에 제출된 소송장은 LinkedIn의 이러한 행위가 미국 통신감청법(Wiretap Act) 위반에 해당한다고 주장한다. 사용자의 브라우저 활동을 동의 없이 모니터링한 것은 합법적 절차가 아니라는 것이다.

소송 2: LinkedIn의 반박

LinkedIn은 해당 주장을 일축하며, 데이터 수집 주장의 상당 부분이 데이터를 scraping한 확장 프로그램 제조업체에 의해 조작됐다고 밝혔다. 또한 해당 확장 프로그램 제조업체는 데이터 scraping 행위로 인해 계정이 정지됐다고 덧붙였다.

그러나 보안 커뮤니티에서는 LinkedIn의 설명이 기술적 증거와 맞지 않는다는 반응이다. 브라우저에 주입된 스캐닝 코드는 LinkedIn 자신의 서버에서 로드되고 있어, 확장 프로그램 제조업체의 조작이라는 설명과모순한다.

개발자에게 주는 시사점

확장 프로그램 개발자의책임

브라우저 확장 프로그램은 사용자의 브라우저 내부에서 작동하므로 엄청난량 정보에 접근할 수 있다. LinkedIn의 사례는 확장 프로그램이 단순한 기능을 제공히는 도구를 넘어, 사용자 행동 데이터를 수집히는Surfave으로도 활용될 수 있다는 점을 보여준다.

개발자라면 다음을의식해야 한다:

• 권한 요청의투명도: 확장 프로그램이 요청하는 권한이 실제 기능과 관련이 있는지 항상 확인해야 한다

• 데이터 처리에 대한 설명: 사용자에게 어떤 데이터를 수집하고 어떻게 처리하는지 명시해야 한다

• 최소 권한 원칙: 기능에 필요한최저한의 권한만 요청해야 한다

기업 개발자를 위한 교훈

LinkedIn은 구직 활동 데이터를 활용하여 채용Matching에 사용하는 것이 아니냐는 의심도 받고 있다. 실제로 많은 구직자가 LinkedIn 프로필을 작성하면서 구직 활동 사실을 숨기려 하지만, 브라우저에 설치된 확장 프로그램만으로 구직 활동을 추론할 수 있다면 이는 큰 문제다.

기업 내부에서 사용하는 proprietary 확장 프로그램도 스캔 대상이 될 수 있다. 보안팀은 이러한 브라우저 기반 surveillance에 대한 인식을 높여야 한다.

사용자를 위한 대응책

immediate 대응

1. LinkedIn에서 로그아웃 후 브라우징: LinkedIn에 로그인한 상태에서만 스캐닝 코드가 작동하는지는 확인되지 않았지만, 최소한 예방 차원에서 로그아웃 상태에서열람하는 것이 좋다

2. 확장 프로그램 권한 검토: LinkedIn과 관련 없는 확장 프로그램 중 불필요한 권한이 있는 것은 비활성화한다

3. 광고블로커 활용: uBlock Origin, Privacy Badger 등 광고 차단 확장 프로그램이 일부 스크립트 실행을 차단할 수 있다

장기적대책

• 브라우저 프로파일 활용: Chrome의 멀티 프로파일 기능을 사용하여 LinkedIn 전용 프로파일을 만들고, 해당 프로파일에서는 필수적인 확장 프로그램만 활성화한다

• Firefox로 전환 고려: LinkedIn의 스캐닝 코드는 Chrome 기반에서 주로 작동하므로, Firefox 등 다른 브라우저 사용도 하나의 방법이다

결론: 개발자가 지켜야 할 원칙

LinkedIn BrowserGate는 기술 기업들이 얼마나상세한 사용자 정보를 수집할 수 있는지를 보여주는 사례다. 확장 프로그램은변리 도구인 동시에 강력한 surveillance 수단이 될 수 있다.

개발자로서 우리는 이러한كنولوجيا가 어떻게 악용될 수 있는지를인식해야 한다. 사용자 데이터를 취급할 때는 항상transparent하고, 수집하는 정보가 실제 필요한 범위를 넘지 않도록 해야 한다. 그래야만 사용자의 trust를 얻고, 장기적으로 더 나은 제품을 만들 수 있다.

---

핵심 요약:

• LinkedIn은 Chrome 사용자의 브라우저 확장 프로그램을 6,000개 이상비밀스럽게 스캔

• 스캔 대상 확장 프로그램은 2024년 461개에서 2026년 2월 6,222개로 급증

• 캘리포니아에서 집단소송 진행 중, LinkedIn은 확장 프로그램 제조업체를 책임으로 돌림

• 개발자는 확장 프로그램 권한의투명성과 최소 권한 원칙을 준수해야 한다

• 사용자는 로그아웃 상태데열람, 광고 бл로커 활용 등을 통한 대응 가능

---

📚 출처

• 제목: LinkedIn Is Secretly Scanning Your Browser for 6,000+ Extensions

• URL: https://news.hada.io/topic?id=29080

• LinkedIn browsing users' browser extensions sparks controversy and two lawsuits — Ars Technica

• URL: https://arstechnica.com/tech-policy/2026/04/linkedin-scanning-users-browser-extensions-sparks-controversy-and-two-lawsuits/

• LinkedIn secretly scans for 6,000+ Chrome extensions, collects data — Bleeping Computer

• URL: https://www.bleepingcomputer.com/news/security/linkedin-secretly-scans-for-6-000-plus-chrome-extensions-collects-data/