LinkedIn이 내 브라우저 확장 프로그램을 스캔하고 있었다? 지금 당장 확인해야 할 이유

LinkedIn을 열 때마다 그냥 이력서 보고 인맥 관리만 한다고 생각하셨나요? 저도 그랬습니다. 그런데 최근 보안 연구자들이 밝혀낸 사실 하나가 꽤 충격이었습니다. LinkedIn이 접속하는 순간 사용자의 브라우저에 설치된 확장 프로그램 목록을 스캔하고 있었습니다.

이걸 처음 접했을 때 "설마 그게 가능해?" 했는데, 실제로 작동 방식까지 분석된 내용이 공개됐습니다. 어떻게 이런 일이 벌어지고 있는지, 그리고 지금 당장 내 브라우저를 어떻게 보호할 수 있는지 하나씩 설명해 드리겠습니다.

LinkedIn은 왜 확장 프로그램을 스캔할까?

이 이야기의 시작은 브라우저 핑거프린팅(Browser Fingerprinting)이라는 기술입니다. 핑거프린팅이란 IP 주소나 쿠키 없이도 브라우저의 고유한 특성들을 조합해 사용자를 식별하는 방법입니다. 화면 해상도, 폰트 목록, 그래픽카드 렌더링 방식 등을 조합하면 사실상 사람마다 다른 '지문'이 만들어집니다.

확장 프로그램 목록도 이 지문의 일부가 됩니다. Grammarly를 쓰는 사람, uBlock Origin을 쓰는 사람, LastPass를 쓰는 사람은 다 다른 조합을 갖고 있습니다. 이 조합을 알면 같은 기기에서 다른 계정으로 접속하더라도 "이건 아까 그 사람"이라는 걸 추측할 수 있습니다.

LinkedIn 입장에서는 사기 계정 방지, 자동화 봇 탐지 등을 명목으로 이런 데이터를 수집할 수 있다고 주장할 것입니다. 하지만 문제는 사용자 동의 없이, 아무런 고지도 없이 이루어진다는 점입니다. 이력서를 올리러 들어갔다가 내 도구 목록까지 넘겨주고 오는 셈입니다.

실제로 어떻게 스캔하는가? — 기술적 원리 3가지

첫째, 확장 프로그램 리소스 URL 탐색. 크롬 계열 브라우저에서는 확장 프로그램이 chrome-extension://[확장ID]/ 형태의 URL로 리소스를 제공합니다. 웹페이지의 JavaScript가 특정 확장 프로그램 ID 목록에 대해 이 URL에 접근을 시도하면, 응답 여부를 통해 해당 확장이 설치되어 있는지 파악할 수 있습니다.

둘째, 확장 프로그램이 주입하는 DOM 변경 감지. 많은 확장 프로그램은 웹페이지에 특정 HTML 요소나 클래스를 추가합니다. 예를 들어 다크 모드 확장은 body에 특정 속성을 붙이고, 광고 차단기는 특정 광고 요소를 제거합니다. 이 변화를 감지하면 어떤 확장이 활성화되어 있는지 역추적이 가능합니다.

셋째, 타이밍 공격(Timing Attack). 확장 프로그램이 설치된 경우와 그렇지 않은 경우, 특정 작업의 응답 시간이 미묘하게 다를 수 있습니다. 이 차이를 반복 측정하면 설치 여부를 높은 확률로 추정할 수 있습니다.

세 가지 방법 모두 기술적으로 이미 오랫동안 알려진 방식입니다. 새로운 해킹이 아니라, 대형 플랫폼이 이걸 일상적으로 쓰고 있다는 점이 문제입니다.

내 브라우저를 지금 당장 보호하는 방법

좋은 소식이 있습니다. 이미 이런 스캔을 막아주는 도구들이 있습니다. 그것도 완전 무료로요.

1단계: uBlock Origin 설치 (Chrome/Firefox/Edge)
단순한 광고 차단기라고 생각하실 수 있는데, uBlock Origin은 핑거프린팅 스크립트 차단에도 매우 효과적입니다. 크롬 웹스토어나 Firefox 애드온 페이지에서 "uBlock Origin"을 검색해 설치하면 됩니다. 설치 후 별도 설정 없이도 상당 부분의 추적 스크립트가 차단됩니다.

2단계: Firefox + 컨테이너 탭 활용
Firefox는 "Multi-Account Containers" 기능을 공식 제공합니다. LinkedIn용 컨테이너를 따로 만들면, LinkedIn 탭 안에서의 활동이 다른 탭과 완전히 격리됩니다. LinkedIn이 수집하려는 브라우저 정보도 해당 컨테이너 범위 안에서만 보이게 됩니다. Firefox 애드온 페이지에서 "Firefox Multi-Account Containers"를 검색해 설치하세요.

3단계: CanvasBlocker 또는 Privacy Badger 추가
CanvasBlocker는 캔버스 핑거프린팅을 차단하고, Privacy Badger는 EFF(전자프론티어재단)가 만든 추적 차단 확장입니다. 둘 다 무료이며, uBlock Origin과 함께 쓰면 보호 범위가 넓어집니다.

4단계: LinkedIn은 별도 브라우저 프로필에서 사용
가장 확실한 방법 중 하나는 LinkedIn 전용 크롬 프로필을 만드는 것입니다. 크롬 오른쪽 상단의 프로필 아이콘을 클릭하고 "다른 프로필 추가"를 선택하면 됩니다. 이 프로필에는 LinkedIn 접속 외에 아무것도 설치하지 않으면, 수집할 수 있는 확장 프로그램 정보가 없습니다.

실제 사용해보니 — 체감 변화와 한계

위 방법들을 직접 써본 결과, 가장 간단하면서도 효과적인 조합은 Firefox + Multi-Account Containers + uBlock Origin이었습니다. LinkedIn 전용 컨테이너를 만들어두니 로그인 상태도 유지되고, 추적 격리도 자동으로 됩니다.

솔직히 말하면, 이걸 쓴다고 LinkedIn이 100% 아무것도 수집 못 하게 되는 건 아닙니다. 어떤 추적은 막히지만, 로그인된 상태에서 LinkedIn 서버에 전달되는 행동 데이터(클릭, 체류 시간 등)는 어차피 남습니다. 하지만 확장 프로그램 스캔이나 사이트 간 추적은 확실히 줄일 수 있습니다.

그리고 이게 LinkedIn만의 문제가 아니라는 점도 알아두셔야 합니다. Facebook, Google 등 대형 플랫폼들도 유사한 방식을 쓴다는 보고가 있습니다. 오늘 설치한 도구들은 LinkedIn이 아닌 다른 사이트에서도 그대로 작동합니다.

비슷한 대안들과 비교 — 어떤 선택이 맞을까?

프라이버시를 더 철저하게 지키고 싶은 분들을 위한 옵션도 있습니다.

Brave 브라우저: 크롬 기반이면서 핑거프린팅 차단이 기본으로 내장되어 있습니다. 별도 확장 없이도 상당 수준의 보호가 됩니다. 다만 크롬 확장 생태계를 그대로 쓰기 때문에, 확장 프로그램 스캔 완전 차단은 어렵습니다.

Tor 브라우저: 최고 수준의 익명성을 제공하지만, 속도가 느리고 LinkedIn 같은 사이트에서 봇으로 의심받아 접속이 막히는 경우가 있습니다. 일상적인 LinkedIn 사용에는 과한 선택입니다.

Firefox + 컨테이너 조합: 속도, 편의성, 보호 수준의 균형이 가장 좋습니다. LinkedIn을 계속 써야 하는 직장인이나 구직자라면 이 선택이 가장 현실적입니다.

결국 핵심은 이겁니다. LinkedIn을 쓰는 걸 당장 그만둘 수 없다면, 최소한 내 브라우저 환경 정보가 통째로 넘어가는 건 막아야 한다는 것입니다. 오늘 소개한 도구들은 그걸 가능하게 해줍니다. 그것도 전부 무료로요.

저도 처음엔 "그냥 이력서 보는 사이트인데 뭘 그렇게까지"라고 생각했습니다. 그런데 내가 어떤 도구를 쓰는지, 어떤 서비스를 구독하는지가 내 직업과 생활 습관을 그대로 드러낸다는 걸 생각해보면, 가볍게 넘길 문제가 아닌 것 같습니다.