10억 명 이상 이용자를 보유한 플랫폼인 링크드인이 해당 데이터를 활용할 경우, 종교적·정치적 성향까지 추론할 수 있는 개인식별정보에 접근할 수 있다는 지적이 제기됐다. 다만 링크드인이 이처럼 수집한 데이터를 실제로 어떻게 활용하는지는 명확히 확인되지 않았다.

이 주장은 ‘브라우저게이트(BrowserGate)’라는 이름의 캠페인을 통해 공개됐다. 해당 사이트는 링크드인이 “이용자 컴퓨터를 불법적으로 검색하고 있다”라며 “현대 역사상 가장 큰 규모의 기업 스파이 활동 중 하나를 벌이고 있다”고 비판했다. 이 사이트를 운영하는 주체는 유럽 기반 기업 페어링크드(Fairlinked)로, 링크드인 데이터의 다양한 요소를 활용하는 브라우저 확장 프로그램을 판매하고 있다.

해당 기업은 “링크드인 10억 이용자 중 누구든 linkedin.com을 방문할 때마다 숨겨진 코드가 컴퓨터에 설치된 소프트웨어를 검색하고, 그 결과를 수집해 링크드인 서버와 미국·이스라엘계 사이버보안 기업을 포함한 제3자 기업에 전송한다”고 주장했다.

브라우저게이트 웹사이트는 “이용자에게 동의를 구한 적도 없고, 관련 사실을 알린 적도 없다. 링크드인 개인정보 보호정책에도 이에 대한 언급은 없다”고 밝혔다. 이어 “링크드인은 이용자의 실명과 고용주, 직책을 알고 있기 때문에 익명 방문자를 검색하는 것이 아니라, 특정 기업에 소속된 특정 인물을 대상으로 검색을 수행하는 것”이라고 설명했다.

링크드인은 일부 의혹에 대해서는 부인했으며, 나머지 주장에 대해서는 구체적인 답변을 내놓지 않았다.

링크드인은 CIO닷컴에 이메일로 전달한 입장문에서 “이번 주장은 전적으로 날조에 기반한 허구”라며 “남용 행위를 탐지하고 사이트 안정성을 방어하기 위해 브라우저 확장 프로그램을 스캔한다는 사실은 개인정보 보호정책에 명시하고 있다”라고 전했다.

해당 데이터가 오직 그 목적에만 사용되는지에 대한 질의에는 답하지 않았다.

오남용 가능성

이번 의혹을 제기한 핵심 인물은 스티븐 모렐이라는 이름을 사용하고 있다. 이는 법적 실명이 아니며, 모렐은 CIO닷컴에 실명 공개를 원하지 않는다고 요청했다. 모렐이 이끌고 있다고 밝힌 회사는 팀플루언스(Teamfluence), 페어링크드등 여러 이름으로 불리고 있다.

모렐은 링크드인이 종교적·정치적 성향을 추론하는 데 활용될 수 있는 정보를 포함해 민감한 세부 데이터를 수집하고 있다고 주장했다. 모렐은 이 같은 데이터 수집이 유럽의 개인정보 보호 규정을 위반할 소지가 있다고 설명했다.

다만 모렐은 링크드인이 실제로 해당 데이터를 이용해 이용자의 성향을 판단하고 있다고 단정하지는 않았다. 그런 방식으로 활용할 수 있는 가능성이 있다는 점을 지적한 것이다. 이는 대부분의 대형 기업에도 유사하게 적용될 수 있는 문제라는 해석이 가능하다.

그러나 모렐이 완전히 중립적인 입장에 있다고 보기는 어렵다. 모렐과 링크드인은 독일에서 법적 분쟁을 벌이고 있다. 모렐은 링크드인이 유럽연합(EU) 규정을 위반했으며, 자신과 다른 이용자들을 부당하게 서비스에서 배제했다고 주장했다.

이에 대해 링크드인은 모렐과 다른 원고들이 플러그인을 통해 서비스 이용약관을 위반했다고 반박했다. 지난달 뮌헨 법원은 링크드인의 손을 들어주며 가처분 신청을 기각했다.

규제 준수 이슈로 번질 가능성

컨설팅 기업 인포테크 리서치 그룹(Info-Tech Research Group)의 리서치 총괄 사파얏 모아마드는 유럽연합과 영국 전반의 규제 준수 체계가 이처럼 심층적인 데이터 수집 방식에 대해 문제를 제기할 가능성이 있다고 진단했다.

모아마드는 “조직 차원의 정책 집행 조치가 소비자 보호와 규제 준수와 합리적으로 연결된다고 판단될 경우, 유럽 법원은 자동화된 데이터 수집을 제한하는 플랫폼의 조치를 지지할 가능성이 높다”고 분석했다.

CIO를 위한 조언

미국의 사이버보안 컨설팅 기업 포머고브(FormerGov)의 이사인 브라이언 레빈은 이번 의혹이 사실이 아닐 가능성이 있더라도, 기업 CIO는 이를 계기로 2026년을 대비한 데이터 전략과 개인정보 보호정책을 점검할 필요가 있다고 조언했다.

레빈은 “브라우저게이트 주장이 사실이라는 전제하에, 링크드인 이용자는 브라우저가 노출하는 식별 가능 정보, 추적 가능 정보, 민감 정보를 줄이는 방안을 검토해야 한다”며 “기업 역시 사실이 확인되기 전까지는 링크드인을 잠재적으로 적대적인 웹 환경으로 간주해야 한다”고 말했다. 이어 “브라우저게이트 주장이 과장됐을 수 있더라도, 브라우저 지문 수집은 웹 전반에서 실제로 광범위하게 이뤄지는 관행”이라며 “링크드인을 다른 제3자 데이터 수집자와 동일하게 취급해야 한다. 링크드인은 그동안 안전한 플랫폼으로 인식돼 왔지만, 그 전제가 재검토될 필요가 있다”고 설명했다.

레빈은 IT 경영진이 “링크드인이 기업의 기술 스택을 파악할 수 있다고 가정해야 한다”고 밝혔다. 이어 “주장이 사실이라면 링크드인은 직원이 사용하는 SaaS 도구, 의존하는 경쟁사 솔루션, 구직 활동에 활용하는 도구, 조직 내부에서 사용되는 정치·종교 관련 확장 프로그램까지 추론할 수 있다”고 전했다.

레빈은 IT 부서가 민감한 네트워크에서 링크드인 접속을 차단하거나, 가상 데스크톱 인프라(VDI)를 통해서만 접근하도록 제한하는 방안을 검토해야 한다고 밝혔다. 또한 브라우저 격리 기술을 도입하는 것도 고려할 필요가 있다고 설명했다.

일부 기업은 링크드인 전용으로 별도의 격리 브라우저를 운영하는 방안도 선택할 수 있다. 레빈은 “브라우저링(Browserling)과 같은 클라우드 기반 격리 브라우저를 활용해 샌드박스 환경의 브라우저 세션을 사용하는 방법도 있다”고 조언했다.
dl-ciokorea@foundryco.com

*이 기사는 CIO닷컴 자매 매체인 CSO온라인에 게재된 글을 번역한 내용입니다.

Through LinkedIn’s more than one billion business users, the Microsoft unit has access to a vast array of personally-identifiable information, including data that could identify religious and political positions. What is less clear is what LinkedIn does with all of that data.

A small European company that sells a browser extension to leverage different aspects of LinkedIn data is running a campaign, which it calls BrowserGate, that accuses LinkedIn of “illegally searching your computer” and “running one of the largest corporate espionage operations in modern history.” 

“Every time any of LinkedIn’s one billion users visits linkedin.com, hidden code searches their computer for installed software, collects the results, and transmits them to LinkedIn’s servers and to third-party companies including an American-Israeli cybersecurity firm,” the company claimed.

“The user is never asked. Never told. LinkedIn’s privacy policy does not mention it,” the BrowserGate site said. “Because LinkedIn knows each user’s real name, employer, and job title, it is not searching for anonymous visitors. It is searching identified people at identified companies.”

LinkedIn denies some of those accusations, and avoids addressing the remainder. 

“This [accusation] is a house of cards built entirely upon a fabrication,” said a LinkedIn statement emailed to CIO.com. “We do disclose that we scan for browser extensions in our privacy policy, in order to detect abuse and provide defense for site stability.” 

When asked whether it uses that data solely to do those things, LinkedIn did not reply.

Possible misuse

The key person behind the allegations calls himself Steven Morrell (not his legal name, which he asked CIO.com to not publish). The company he represents also has different names, including Teamfluence and Fairlinked. 

Morrell said that LinkedIn is gathering data that includes sensitive details, including information that he argued could be used to determine religious and political leanings. Gathering such data, Morrell said, could violate European privacy rules.

But Morrell is not saying that LinkedIn is in fact using the data to determine those preferences, but merely that they could. Much the same could be said for almost all large companies.

Morell isn’t exactly unbiased, however. He and LinkedIn are also involved in a legal dispute in Germany, in which Morrell said that LinkedIn violated EU rules and that it improperly kicked him, and others, off the service.

LinkedIn countered that Morell and the other plaintiffs had violated its terms of service with their plugins. Last month, a judge in Munich sided with LinkedIn, dismissing the motion for a preliminary injunction.

Might cause compliance issues

Safayat Moahamad, research director at Info-Tech Research Group, said that compliance approaches throughout the European Union and the UK could indeed have some issues with this deep a level of data collection. 

“European courts are likely to support platforms that restrict automated data harvesting, when they can plausibly link organization-level policy enforcement actions to consumer protection and regulatory compliance,” Moahamad said.

Advice for CIOs

Cybersecurity consultant Brian Levine, executive director of FormerGov, said enterprise CIOs should use these allegations, even if they prove to be untrue, to help them tweak their data strategy and privacy policies for 2026.

“Assuming the BrowserGate allegations are true, LinkedIn users should consider reducing the amount of identifiable, trackable, or sensitive data their browser exposes, and organizations should treat LinkedIn as a potentially hostile web environment until facts are verified,” Levine said. “Even if BrowserGate is exaggerated, browser fingerprinting is a real, widespread practice across the web. Treat LinkedIn like any other third-party data collector. LinkedIn has historically been treated as safe, [but] that assumption may need to be revisited.”

Levine said IT executives should “assume that LinkedIn can map your tech stack” and that, if the claims are accurate, LinkedIn could infer “which SaaS tools your employees use, which competitors you rely on, which job search tools your staff is using and which political/religious extensions appear inside your workforce.”

He added that IT should consider blocking LinkedIn on sensitive networks, or require it to only be accessed through VDI, as well as employing browser isolation techniques. Some companies might even want to use a separate isolated browser solely for LinkedIn, or, he said, “use a sandboxed browser session, such as Browserling or other cloud-isolated browsers.”

This article originally appeared on CSOonline.