LinkedIn이 당신의 컴퓨터를 불법적으로 뒤지고 있습니다

^{source https://browsergate.eu/executive-summary/}

LinkedIn 규제

• 2024년, Microsoft는 EU 디지털시장법(Digital Markets Act, DMA)에 따라 “게이트키퍼”로 지정됐다.

• 이때 규제 대상으로 지정된 제품은 Microsoft Windows와 Microsoft LinkedIn 두 가지다.

• 디지털시장법은 게이트키퍼에게, 사업자 사용자와 권한 있는 제3자가 LinkedIn 사용을 통해 생성된 모든 데이터에 무료로, 실효성 있게, 고품질로, 지속적이며 실시간으로 접근할 수 있도록 보장하라고 요구한다. 여기에는 개인 데이터도 포함된다.

LinkedIn 도구의 합법화

• 이 규제에 따르면, 제3자 도구가 LinkedIn상의 사용자 데이터에 접근하는 행위는 합법이다.

• 다시 말해 LinkedIn 이용약관 8.2.2조는 사실상 효력을 잃는다.

• 하지만 Microsoft는 이 규제를 준수하는 대신, 브뤼셀의 EU 규제 당국을 상대로 그야말로 “규제 준수 쇼”를 벌이기로 했다.

• 그 내용은 이렇다. 굳이 필요하지도 않고, 기능도 부족하며, 요건에도 한참 못 미치는 API 두 개를 내놓고, 공개 청문회에서는 오해를 부르는 발언을 하고, 정작 자사 웹과 모바일 서비스 전반을 구동하는 매우 효과적인 API Voyager가 이미 존재한다는 사실은 통째로 감췄다.

• 그와 동시에 LinkedIn은 LinkedIn 관련 도구를 제공하는 회사들을 조직적으로 시장에서 몰아냈다.

• 사업은 무너졌고, 계정은 정지됐고, 고객은 협박받았다.

• 법률전에 쏟아부을 자금이 사실상 무한한 거대 기업이 소규모 회사를 소송으로 초토화한 셈이다.

미준수가 범죄적 행위로 이어지다

• 디지털시장법을 실제로 활용할 수도 있는 참여자들을 시장에서 밀어내려는 캠페인의 일부로, LinkedIn은 사용자도 모르게, 동의도 받지 않은 채 그들의 브라우저에 악성 코드를 주입하기 시작했다.

• 작성 시점 기준으로 이 코드는 6,222개의 소프트웨어 제품 목록을 내려받고, 각각이 설치되어 있는지를 무차별 대입식으로 탐지한다.

• 이 스캔이 대상으로 삼는 확장 프로그램들의 합산 사용자 수는 약 4억 500만 명에 이른다.

더 큰 그림

• LinkedIn은 각 방문자의 이름, 고용주, 직함을 알고 있기 때문에, 탐지된 모든 확장 프로그램은 곧바로 신원이 특정된 개인과 연결된다.

• 그리고 사용자가 어느 조직에 속해 있는지도 알고 있기 때문에, 이런 개별 스캔 결과는 기업, 기관, 정부기관 단위의 상세한 프로필로 집계될 수 있다.

• 그 결과 각 조직의 인지나 동의 없이도, 직원들이 어떤 소프트웨어 도구를 쓰는지가 고스란히 드러난다.

민감 정보와 영업비밀의 대규모 유출

• Microsoft가 LinkedIn 웹사이트에 몰래 주입한 악성 JavaScript는 각 사용자의 브라우저를 뒤져, 설치된 소프트웨어 애플리케이션을 찾아낸다.

• 이 검색을 통해 드러나는 정보는 다음과 같다.

  • Anti-woke, Anti-Zionist Tag, No more Musk 같은 확장 프로그램을 통해 사용자의 정치적 성향이 드러난다.

  • PordaAI(하람 콘텐츠 흐림 처리), Deen Shield(하람 사이트 차단) 같은 확장 프로그램을 통해 종교적 신념이 드러난다.

  • simplify 같은 확장 프로그램을 통해 장애 여부나 신경다양성과 관련된 정보가 드러난다.

• 509개의 구직 관련 확장 프로그램을 통해 누가 이직이나 구직을 준비 중인지 드러난다. 문제는 그 정보가, 현재 고용주도 프로필을 볼 수 있는 바로 그 플랫폼 위에서 노출된다는 점이다.

• Apollo부터 ZoomInfo까지, 어느 조직이 어느 경쟁사 제품을 쓰는지를 매핑함으로써 수백만 개 기업의 영업비밀이 드러난다.

• LinkedIn은 이런 관행을 개인정보처리방침에 공개하지 않았다.

• 대외 공개 문서 어디에도 확장 프로그램 스캔에 대한 언급은 없다.