스페인, Palantir 전면 차단 — 259번의 신뢰가 하루아침에 무너지다

스페인, Palantir 전면 차단 — 259번의 신뢰가 하루아침에 무너지다

tech-policyprivacyeudigital-sovereigntypalantirdata-transfer

데이터 소스:web research + HN + Lobsters · HN

7월 1일, 스페인 총리실은 주요 국영 기업들에 한 가지 지침을 내렸다. 미국 데이터 분석 기업 Palantir와 더 이상 신규 계약을 체결하지 말라는 것이다. 같은 주, 미국 대법원은 Trump v. Slaughter 사건에서 6대 3으로 연방거래위원회(FTC)의 「독립성」이 위헌이라고 판결했다. 그리고 빈에 본부를 둔 프라이버시 단체 noyb는 즉시 성명을 발표했다. EU와 미국 사이에서 23년간 이어져 온 데이터 전송 협정의 「법적 근거가 사망했다」는 내용이었다.

두 사건은 대서양 양쪽에서 각각 발생했고, 표면적으로는 아무런 연관이 없어 보인다. 하지만 이 둘을 나란히 놓고 보면, 한 줄기의 선명한 내러티브가 떠오른다. 유럽은 더 이상 법안을 쓰고, 성명을 발표하고, 「우려」를 표명하는 데 그치지 않는다. 이제 직접 움직이기 시작했다.

스페인 총리실의 Palantir 차단 명령, 다보스에 위치한 Palantir 사무실 사진: 미국 소프트웨어 기업 Palantir의 다보스 사무소, 2022년 5월. 출처: AFP / Clash Report

금지 명령 한 장: 스페인은 왜 Palantir에 「안 된다」고 말했나

먼저 스페인부터 보자. 스페인 매체 El Confidencial의 단독 보도에 따르면, 총리실(Moncloa)은 국가 산업 지주 회사 SEPI를 통해 Telefónica, Indra, Navantia 등 핵심 국영 기업들에 명확한 지침을 내렸다. Palantir와의 향후 협력을 중단하라는 것이다.

이 회사들은 평범한 기업이 아니다. Telefónica는 스페인 최대 통신사로 국가 통신 인프라를 쥐고 있다. Indra는 방산 기술 기업으로 군사 지휘 체계를 다룬다. Navantia는 군함과 잠수함을 건조하는 국영 조선소다. 쉽게 말해 이들은 스페인 국가 안보의 「수도관」이고, Palantir는 방대한 데이터에서 패턴과 연관성, 예측을 추출해 내는 것을 사업으로 하는 회사다. 미국 기업이 이 「수도관」에 접속한다는 것이 무엇을 의미하는지, 스페인 정부는 분명히 계산을 끝낸 듯하다.

이 금지 조치는 이미 실질적인 타격을 가하고 있다. Navantia와 Palantir 사이에서 마무리 단계에 있던 협력 프로젝트가 중단되었다. 스페인 국가경찰(Guardia Civil)과 Palantir의 협력 협정은 내무부 장관이 직접 거부했다. 프랑스의 전 총리 르코르누(Sébastien Lecornu)도 6월 10일 프랑스가 Palantir와의 협력을 중단할 것이라고 공개적으로 밝혔다. 독일 내부에서는 프랑스의 경쟁 제품인 ChaosVision 구매 쪽으로 점점 더 기울고 있다.

스페인 군부는 이에 불만을 품고 있다. Palantir는 현재도 스페인 군사정보센터(CIFAS)와 1,650만 유로 규모의 계약을 보유하고 있으며, 올해 11월 만료 예정이다. 육군과 해군 참모총장 모두 국방부 장관에게 계약 연장을 로비하고 있다. 이유는 단순하다. 이 시스템이 실제로 뛰어나다는 것이다. 그러나 총리실은 아직까지 고개를 끄덕이지 않고 있다.

왜 스페인은 이 시점에 「돌변」한 것일까? 원문 보도는 두 가지 실마리를 제시한다. 첫째, Palantir의 공동 창업자 Peter Thiel과 CEO Alex Karp는 트럼프 행정부와 깊은 정치적·재정적 연계를 맺고 있으며, 스페인의 산체스 총리는 미국 신정부와 여러 의제에서 대립각을 세우고 있다. 둘째, 스페인 정부는 이미 자체 기술 대안에 속도를 내고 있다. 카탈루냐 반도체 기업 Openchip에 1억 1,500만 유로 투자를 승인했는데, 이는 50억 유로 규모 슈퍼 팹 프로젝트의 일부다. Palantir 차단은 고립된 제재가 아니라 「국산 대체」를 위한 공간을 마련하는 포석인 셈이다.

noyb가 제작한 EU-미국 데이터 전송 프레임워크를 카드 하우스에 비유한 그림 사진: noyb는 EU-미국 데이터 전송 협정을 「카드 하우스」에 비유했다. 출처: noyb.eu

판결 하나: 미국 대법원이 어떻게 유럽의 데이터 주권을 「오폭」했나

이제 시선을 워싱턴으로 돌려보자. 이 판결의 충격을 이해하려면 먼저 배경을 알아야 한다. 1995년부터 EU 법은 EU 시민의 개인 데이터를 「보호 수준이 미흡한」 제3국으로 무분별하게 전송하는 것을 금지해 왔다. 다시 말해, 당신이 파리에서 Gmail로 보낸 이메일, 밀라노에서 예약한 Airbnb, 베를린에서 사용한 Salesforce — 이 데이터를 미국 서버에 합법적으로 저장할 수 있는지는, EU가 미국의 데이터 보호 수준을 「쓸 만하다」고 인정하느냐에 달려 있다.

이 장벽을 넘기 위해 EU와 미국은 지금까지 세 개의 「다리」를 놓았다. 2000년의 「세이프 하버」(Safe Harbour), 2016년의 「프라이버시 실드」(Privacy Shield), 2023년의 「데이터 프라이버시 프레임워크」(Data Privacy Framework)다. 앞의 두 다리는 EU 사법재판소(CJEU)가 미국의 감시 법률이 지나치게 광범위하고 독립적인 사법 구제 수단이 부족하다는 이유로 무너뜨렸다. 세 번째 다리는 현재 가까스로 버티고 있지만, 여기에는 하나의 치명적인 지지점이 있다. 바로 FTC의 독립성이다.

현행 데이터 프라이버시 프레임워크 결정문에서 EU 집행위원회는 FTC를 「독립 감독 기관」으로 무려 259회나 원용했다. 놀라운 숫자다. EU 헌법급 법률(《EU 기능 조약》 제16조 제2항 및 《기본권 헌장》 제8조 제3항)은 데이터 보호 감독 기관이 반드시 독립적이어야 한다고 명시하고 있다. 미국에 포괄적인 프라이버시 법이 없는 상황에서, FTC의 독립성은 EU가 미국을 「합격점」으로 인정한 거의 유일한 근거였다.

그리고 미국 대법원이 칼을 뽑았다. 6월 29일, 보수 성향 다수의견은 Trump v. Slaughter 사건에서 이른바 「통합 행정 이론」(unitary executive theory)을 채택하여 FTC의 독립성이 위헌이라고 판결했다. 대통령은 언제든지 이유 없이 FTC 위원을 해임할 수 있다는 것이다. 이는 FTC가 더 이상 「독립」 기관이 아니라 대통령이 직접 지휘할 수 있는 행정 부서가 되었음을 의미한다. EU의 입장에서는, 그 259번의 의존이 순식간에 259개의 구멍으로 바뀐 셈이다.

noyb의 설립자 막스 슈렘스(Max Schrems) — 앞서 두 개의 「다리」를 각각 소송으로 무너뜨린 그 오스트리아인 — 는 판결 후 성명에서 이렇게 말했다. 「EU 집행위원회의 자체 논리에 따르더라도, 모든 EU-미국 데이터 전송 협정의 기반은 이미 죽었다. 우리는 위원회에 미국 클라우드 서비스의 질서 있는 철수 프로세스를 시작할 것을 촉구한다. 쉽지 않겠지만 피할 수 없는 일이다.」

더 치명적인 것은, 미국 대법원의 이 논리가 FTC에만 국한되지 않는다는 점이다. 만약 「독립 기관은 위헌」이라는 원칙이 보편적으로 적용된다면 — 이것이 바로 보수 성향 대법관들의 의도인데 — 그간 미국의 프라이버시 보호 약속으로 기능해 온 「데이터 보호 심사 법원」(Data Protection Review Court, 이름과 달리 법무부 산하 내부 기관)과 프라이버시 및 시민 자유 감독 위원회(PCLOB)도 동일한 합법성 문제에 직면한다. EU의 대미 데이터 보호 신뢰 구조 전체가 도미노인 셈이다.

EU 사법재판소(CJEU) 건물 — EU-미국 데이터 전송 협정을 두 번이나 뒤집은 핵심 기관 사진: 룩셈부르크에 위치한 EU 사법재판소(CJEU) 건물. EU-미국 데이터 전송 협정을 두 차례 폐기한 바 있다. 출처: noyb.eu

불안에서 행동으로: 대서양 디지털 냉전의 변곡점

이 두 사건을 겹쳐서 보면, 하나의 중요한 패턴 변화가 감지된다.

지난 10년간 디지털 주권 문제에 대한 유럽의 태도는 「입법 불안」으로 요약할 수 있었다. GDPR이 발효되고, 《디지털 시장법》이 통과되고, 《인공지능법》이 추진되었다. 법은 점점 두꺼워졌지만 집행은 항상 한 발 늦었다. 미국 테크 기업들은 여전히 유럽 시장을 지배했고, EU 시민들의 데이터는 여전히 대량으로 미국 서버로 흘러갔다. 이른바 「주권」은 대부분 문서상에 머물러 있었다.

그런데 2026년 7월 첫째 주, 그림이 달라졌다. 스페인은 「데이터 보안 우려」 성명을 발표하지 않았다. 미국의 핵심 테크 기업과의 거래를 직접 차단했다 — 그것도 정부 차원뿐 아니라, 국영 기업이 지배하는 민간 기업들까지 따르도록 했다. noyb는 EU 집행위원회에 공식 서한을 보내 탈퇴 절차 개시를 요구했다. 「프레임워크에 문제가 있다」는 분석 글을 쓰는 데 그치지 않은 것이다.

필자는 이것이 우연이라고 생각하지 않는다. 그 뒤에는 세 가지 힘이 동시에 작용하고 있다.

첫째, 트럼프 행정부의 「예측 불가능성」이 확실성으로 바뀌었다. 2016~2020년 사이에 유럽이 관망하고 있었다면, 2025년 트럼프의 백악관 복귀 이후 관망은 끝났다. 미국 대통령이 수사 기관장을 마음대로 해임할 수 있고, 행정 명령으로 전임자의 정치적 약속을 뒤집을 수 있으며, 대법원이 이 모든 것에 헌법적 보증을 제공하는 상황에서, 유럽의 정책 결정자들은 더 이상 「미국이 스스로 교정할 것」을 의사 결정의 전제로 삼을 수 없다.

둘째, 데이터 보안과 국방 보안의 경계가 사라지고 있다. Palantir 금지의 핵심 논리는 프라이버시 침해가 아니라 「국가 안보」다. 스페인이 우려하는 것은 군사 정보, 통신 데이터, 법 집행 정보의 흐름이다. 데이터 분석 능력 자체가 하나의 무기라면, 데이터 역량을 아웃소싱하는 것은 국방 역량의 일부를 아웃소싱하는 것과 같다. 이는 더 이상 GDPR 컴플라이언스 문제가 아니라 주권 문제다.

셋째, 유럽이 진지하게 대안을 구축하고 있다. 스페인의 Openchip 투자, 독일의 ChaosVision 도입, 프랑스의 「자주 클라우드」 전략 — 유럽은 마침내 진짜 돈을 써서 「자기 것」을 만들기 시작했다. 더 이상 「미국 것은 싫다」고 입으로만 말하는 데 머물지 않는다. 대안 시장이 형태를 갖추기 시작하면서, 「차단」은 정치적 포즈에서 실행 가능한 비즈니스 선택으로 바뀌었다.

누가 빌런인가

이 디지털 냉전에는 단일한 악당은 없지만, 한 쌍의 명확한 대립 구도가 있다. 한쪽에는 미국의 「통합 행정 이론」 아래 대통령 권한의 확장이 있다. 대통령 한 사람이 모든 법 집행 및 규제 기관을 마음대로 통제할 수 있게 되었고, EU는 바로 그 기관들이 「독립적」이어야만 미국을 신뢰할 수 있다. 다른 한쪽에는 유럽이 수동적 컴플라이언스에서 능동적 차단으로 전환하는 흐름이 있다. 행정 명령과 정치적 결정으로 직접 의존 관계를 끊어 내고, 더 이상 법원 소송을 단계적으로 밟아 올라가는 옛 방식을 따르지 않는다.

스페인의 금지 명령에는 또 하나의 시사점이 숨어 있다. 이것은 「조용히」 내려졌다. 정부는 보도 자료를 내지 않았고 기자 회견도 열지 않았다. SEPI의 내부 채널을 통해 단계적으로 전달되었다. 바로 이 점이 말해 준다. 진지한 행동은 퍼포먼스를 필요로 하지 않는다는 것을.

앞으로 어떤 일이 벌어질까

단기적으로는 「인터넷 단절」식의 데이터 탈동조화는 일어나지 않을 것이다. noyb가 EU 집행위원회에 대미 데이터 보호 인정을 철회하라고 요구하더라도, 위원회는 시간을 끌고, 협상하고, 기술적인 임시 방편을 찾는 쪽을 택할 가능성이 높다. GDPR 제49조는 필요한 데이터 전송(호텔 예약, 국경 간 결제 등)을 허용하고 있어, 대부분의 일상적 비즈니스 활동이 하룻밤 사이에 중단되지는 않을 것이다.

그러나 중기적으로 — 1년에서 3년 사이 — 변화는 되돌릴 수 없게 될 것이다. EU 기업들은 이미 법률 자문을 받기 시작했다. 데이터 프라이버시 프레임워크가 아닌 「표준 계약 조항」(SCC)을 사용하고 있더라도, 데이터 국경 이전 「영향 평가」에는 대개 FTC와 PCLOB의 독립성 가정이 포함되어 있다. 이 평가들은 이제 다시 작성되어야 하며, 다시 작성한 결론은 아마도 다음과 같을 것이다. 안 된다.

막스 슈렘스는 못을 박았다. 「우리는 위원회에 미국 클라우드 서비스의 질서 있는 철수 프로세스를 시작할 것을 촉구한다.」 그가 말한 것은 「클라우드」다. 유럽 클라우드 시장의 70% 이상이 미국 기업의 손에 있다. 이 방향 전환은 결코 쉽지 않겠지만, 슈렘스의 말은 점점 더 주류가 되어 가는 유럽의 컨센서스를 대변한다. 신뢰할 수 없는 파트너를 덧대고 고쳐 가며 신뢰하는 척하기보다, 차라리 우리 것을 만들자는 것이다.

스페인의 Palantir 차단과 FTC 독립성 폐기는, 본질적으로 동일한 논리가 대서양 양쪽에서 서로 다른 모습으로 표출된 것이다. 디지털 인프라의 통제권은 이제 영토, 군사, 통화와 마찬가지로 양보할 수 없는 국가 주권의 일부다. 2026년 7월, 이 인식은 법 조문을 넘어 행정 명령 속으로 걸어 들어왔다.

참고 링크: