가. 독일 연방헌법재판소의 위헌 판결(2023년 2월)

(1) 헤센(Hesse)과 함부르크(Hamburg) 주 경찰의 팔란티어 사용 위헌 결정

2023년 2월 16일 아침, 카를스루에에 위치한 독일 연방헌법재판소 청사에서 한 판결문이 낭독되었습니다. 재판장 슈테판 하르바르트는 차분하지만 단호한 목소리로 말했습니다. "헤센 주 공공안전질서법 제25a조 제1항과 함부르크 주 경찰데이터처리법 제49조 제1항은 위헌이다."

법정에 모인 11명의 청구인들은 숨을 죽였습니다. 그들은 시민권단체 '기본권협회(GFF)'의 도움을 받아 6년간 이 싸움을 이어왔습니다. 대상은 미국 실리콘밸리의 데이터 분석 기업 팔란티어가 개발한 소프트웨어였습니다.

헤센 주 경찰은 2017년부터 '헤센데이터(hessenDATA)'라는 이름으로 팔란티어의 고담 플랫폼을 운용해왔습니다. 2,000여 명의 경찰관이 이 시스템에 접속할 수 있었습니다. 공식적인 사용 목적은 테러리즘과 조직범죄 수사였습니다. 하지만 현실은 달랐습니다. 주거 침입, 현금자동인출기 폭파, 교통사고 목격자 추적까지 용도가 급속히 확대되었습니다. 헤센 주 내무부 자료에 따르면, 경찰은 이 소프트웨어를 연간 수천 회 사용했습니다.

함부르크는 아직 시스템을 가동하지 않은 상태였습니다. 법적 근거만 마련해둔 채 도입을 준비하고 있었습니다. 헌법재판소는 이 두 주의 법률 조항 모두에 대해 판단을 내렸습니다.

판결의 핵심은 명확했습니다. 재판소는 자동화된 데이터 분석이 기본법 제2조 제1항과 제1조 제1항이 보장하는 '정보 자기결정권'을 침해한다고 판시했습니다. 판결문에는 이렇게 적혀 있었습니다. "특히 광범위하게 규정된 권한의 문언에 비추어볼 때, 데이터와 방법 모두에 관하여 간섭의 근거가 헌법적으로 요구되는 식별 가능한 위험의 문턱에 훨씬 못 미친다."

쉽게 말하면 이런 뜻입니다. 경찰이 팔란티어 소프트웨어로 시민들의 데이터를 분석하려면, 구체적이고 명확한 위험이 존재해야 합니다. 막연한 범죄 예방이라는 명목만으로는 부족합니다. 테러를 막겠다는 추상적 목적이 개인의 프라이버시를 침해하는 정당한 근거가 될 수 없다는 것입니다.

재판소는 헤센 주에 2023년 9월 30일까지 법률을 개정하라고 명령했습니다. 함부르크의 경우, 아직 시행되지 않은 법률이었기에 즉시 무효화되었습니다.

(2) '정보 자기결정권(Informational Self-Determination)'의 침해

독일 연방헌법재판소가 언급한 '정보 자기결정권'은 독일 헌법사에서 기념비적인 개념입니다.

1983년, 헌법재판소는 인구조사 판결(Volkszählungsurteil)을 내렸습니다. 당시 독일 정부는 상세한 인구조사를 계획했습니다. 시민들은 반발했습니다. 재판소는 이 사건에서 새로운 기본권을 도출했습니다. 모든 개인은 자신에 관한 정보가 누구에게, 어떤 목적으로, 어떤 방식으로 사용되는지 결정할 권리가 있다는 것입니다.

이 권리가 탄생한 배경에는 독일의 어두운 역사가 있습니다. 나치 독일의 게슈타포는 시민들의 정보를 수집하고 분류하여 유대인, 동성애자, 정치적 반대자를 색출했습니다. 전후 동독의 국가보안부 슈타지는 더욱 정교한 감시 체계를 구축했습니다. 추정에 따르면, 동독 인구 1,600만 명 중 약 100만 명이 슈타지의 비공식 협력자로 활동했습니다. 이웃이 이웃을 감시하고, 가족이 가족을 밀고하는 사회였습니다.

2023년 판결에서 재판소는 이 역사적 맥락을 환기했습니다. 판결문은 자동화된 데이터 분석이 기존 데이터 수집과 질적으로 다른 새로운 간섭을 구성한다고 설명했습니다. 개별적으로 수집된 정보들을 연결하면 '새로운 지식'이 생성됩니다. 경찰 기록, 통신 메타데이터, 소셜미디어 활동, 차량 위치 정보를 결합하면 개인의 행동 패턴, 사회적 관계망, 이동 경로를 재구성할 수 있습니다. 이것은 원래 정보 수집 목적을 넘어서는 것입니다.

재판소는 목적 구속 원칙과 비례 원칙을 강조했습니다. 특정 목적으로 수집된 데이터는 그 목적에만 사용되어야 합니다. 다른 목적으로 사용하려면 별도의 정당한 근거가 필요합니다. 또한 공권력의 간섭은 달성하려는 목적에 비례해야 합니다. 경미한 범죄를 예방하기 위해 광범위한 감시를 허용할 수는 없습니다.

(3) "클릭 한 번으로 프로파일링 가능"에 대한 경고

기본권협회(GFF) 소속 변호사 프란치스카 괴를리츠는 판결 직후 기자회견에서 말했습니다. "고소장을 제출한 사람, 범죄 피해자, 단지 잘못된 장소에 잘못된 시간에 있었던 사람 모두가 이 소프트웨어의 분석 대상이 될 수 있습니다."

그녀의 말은 과장이 아니었습니다. 헤센 주 경찰의 내부 문서에 따르면, 헤센데이터는 경찰 기록 시스템, 형사 수사 데이터베이스, 통신 메타데이터, 소셜미디어 정보를 통합할 수 있었습니다. 2022년 12월, 헤센 주 내무장관 페터 보이트는 의회에서 이 소프트웨어가 독일 정부 전복을 모의한 극우 지하조직 '라이히스뷔르거' 수사에 사용되었다고 밝혔습니다.

카오스 컴퓨터 클럽(CCC)의 대변인 콘스탄체 쿠르츠는 더 신랄했습니다. "이것은 팔란티어식 무차별 수사입니다. 경찰이 원래 목적과 다른 용도로 서로 다른 데이터 세트를 결합하고 있습니다. 자동화된 대량 분석이 법 집행의 일상이 되어서는 안 됩니다."

문제의 핵심은 알고리즘의 불투명성이었습니다. 팔란티어의 소프트웨어는 독점적 코드로 작성되어 있습니다. 외부 전문가는 물론 사용 기관 자체도 알고리즘이 어떤 방식으로 연결고리를 만들어내는지 완전히 이해하지 못합니다. 2023년 바이에른 주는 프라운호퍼 정보보안기술연구소에 소스코드 검토를 의뢰했습니다. 연구소는 '비밀 백도어'가 없다는 결론을 내렸습니다. 하지만 이 평가 보고서는 '보안상 우려'와 '팔란티어 영업비밀'을 이유로 기밀로 분류되었습니다.

판결문은 이 점을 정확히 지적했습니다. "무제한 데이터 분석 기술이 현재 가용하지 않다는 사실만으로 문제가 해결되지 않는다. 헌법적 요건은 법적으로 가능한 간섭에 기초해야 한다." 기술이 발전하면 더 광범위한 분석이 가능해집니다. 법적 허용 범위가 넓게 설정되어 있다면, 그 범위까지 감시가 확대될 수 있습니다.

(4) 헤센 주 2023년 9월 법률 개정 명령과 함부르크 법률 무효화

재판장 하르바르트는 판결 선고 후 기자들에게 한 가지를 강조했습니다. "각 주는 저장된 데이터 파일의 추가 처리를 위한 법적 근거를 합헌적 방식으로 형성할 선택지를 갖고 있습니다."

이 말은 양면적이었습니다. 헌법재판소는 팔란티어 소프트웨어 자체를 금지한 것이 아닙니다. 사용을 뒷받침하는 법률이 헌법적 요건을 충족하지 못한다고 판단한 것입니다. 더 엄격한 조건을 명시한 법률을 만들면 계속 사용할 수 있다는 뜻이기도 했습니다.

헤센 주는 기한에 맞춰 법률을 개정했습니다. 새 법률은 데이터 분석의 요건을 구체화했습니다. 하지만 비판론자들은 개정이 충분하지 않다고 주장했습니다. 기본권협회는 2025년 현재 헤센 주 헌법재판소에 새로운 소송을 제기한 상태입니다.

함부르크는 다른 길을 택했습니다. 법률이 무효화된 후, 새로운 법률 제정을 추진하지 않았습니다. 함부르크 주 의회 내에서 팔란티어 도입에 대한 근본적인 회의론이 대두되었기 때문입니다.

판결의 여파는 독일 전역으로 퍼졌습니다. 바이에른 주와 노르트라인베스트팔렌 주 경찰도 각각 VeRA와 DAR이라는 이름으로 팔란티어 소프트웨어를 사용하고 있었습니다. 기본권협회와 카오스 컴퓨터 클럽은 이 두 주에 대해서도 헌법소원을 제기했습니다. 바이에른 주에 대한 소송은 2025년 현재 연방헌법재판소에 계류 중입니다.

나. GDPR과 데이터 주권 시대

(1) 유럽 확장 전략의 좌절과 재조정

알렉스 카프는 2024년 2월 어느 기업 투자 콘퍼런스 무대에 올랐습니다. 마이애미에서 열린 FII 인스티튜트 행사였습니다. 그는 특유의 빠른 말투로 청중에게 호소했습니다.

"유럽에서 무수한 테러 공격을 막았습니다. 솔직히 말해서, 그것들이 막히지 않았다면 서구에서 지금 전혀 다른 정치적 현실을 보고 계실 겁니다. 사실입니다." 그는 잠시 멈추었다가 덧붙였습니다. "유럽 도시들에서 제가 욕먹는 건 좋아요. 계속 욕하세요. 나와 여러분 사이에서 아무도 거위걸음을 걷지 않는 유일한 이유가 우리 제품입니다. 감사하다고 말씀하세요."

거위걸음. 20세기 독일과 이탈리아 파시스트들의 행진 방식을 가리키는 표현이었습니다. 카프는 팔란티어가 유럽을 파시즘의 부활로부터 구했다고 주장한 것입니다.

이 발언은 독일에서 큰 파문을 일으켰습니다. 팔란티어의 유럽 확장 전략이 마주한 장벽을 선명하게 드러냈기 때문입니다. 역설적이게도, 팔란티어가 막았다고 주장하는 바로 그 역사가 팔란티어 도입에 대한 저항의 원천이 되었습니다.

독일에서 국가 감시에 대한 불신은 뿌리가 깊습니다. 나치의 게슈타포, 동독의 슈타지 경험은 집단적 트라우마로 남아 있습니다. 기본권협회의 변호사들이 헌법소원에서 반복적으로 환기한 것도 이 역사였습니다.

유럽연합의 일반데이터보호규정(GDPR)은 이런 역사적 맥락에서 탄생했습니다. 2018년 발효된 GDPR은 세계에서 가장 엄격한 개인정보보호 규범으로 평가받습니다. 핵심 원칙들이 있습니다. 데이터 최소화: 목적 달성에 필요한 최소한의 데이터만 수집해야 합니다. 목적 구속: 수집 목적 외의 용도로 데이터를 사용할 수 없습니다. 잊힐 권리: 개인은 자신의 데이터 삭제를 요구할 수 있습니다.

팔란티어의 비즈니스 모델은 이 원칙들과 충돌합니다. 팔란티어 소프트웨어의 본질은 다양한 출처의 데이터를 통합하고 연결하여 새로운 패턴을 발견하는 것입니다. 데이터를 최소화하는 것이 아니라 최대화합니다. 원래 수집 목적을 넘어서는 용도로 활용합니다.

유럽연합 사법재판소의 2020년 슈렘스 II 판결은 상황을 더 복잡하게 만들었습니다. 재판소는 미국의 감시법, 특히 외국정보감시법(FISA) 702조가 EU 시민의 개인정보를 충분히 보호하지 못한다고 판단했습니다. 유럽연합-미국 프라이버시 실드 협정이 무효화되었습니다. 미국 기업으로 EU 시민의 데이터를 전송하는 것 자체가 법적 문제가 되었습니다.

(2) 폴리차이 20/20(Polizei 20/20) 프로젝트와 메르츠 정부의 재추진

팔란티어의 유럽 전략이 좌절만 겪은 것은 아닙니다. 오히려 위기를 기회로 전환하려는 시도가 진행 중입니다.

독일 경찰 시스템의 구조적 특성이 배경입니다. 독일은 16개 연방주로 구성된 연방국가입니다. 경찰은 각 주 정부 소속입니다. 연방 차원의 경찰은 연방형사청(BKA)과 연방경찰이 있지만, 일상적인 치안 업무는 주 경찰이 담당합니다. 문제는 각 주 경찰의 IT 시스템이 제각각이라는 점입니다. 한 주에서 수집된 정보가 다른 주와 공유되지 않습니다. 연방 차원의 데이터베이스와 주 차원의 데이터베이스가 연결되지 않습니다.

2019년, 연방정부와 주 정부들은 이 문제를 해결하기 위해 '폴리차이 20/20(Polizei 20/20)'이라는 프로젝트를 시작했습니다. 3억 유로의 예산이 투입되었습니다. 목표는 16개 주의 분산된 경찰 데이터베이스를 통합하는 것이었습니다.

보수파 정치인들은 이 프로젝트에 팔란티어 소프트웨어를 도입하자고 주장했습니다. 기민련/기사련(CDU/CSU)의 프리드리히 메르츠와 알렉산더 도브린트가 대표적이었습니다. 그들은 팔란티어가 이미 세계 각국 정보기관과 군대에서 검증받은 기술이라고 강조했습니다.

2023년, 당시 내무장관이던 사회민주당의 낸시 패저는 이 계획을 중단시켰습니다. 연방형사청, 연방경찰, 관세수사청이 팔란티어 소프트웨어를 사용하는 것을 막았습니다. 연방헌법재판소 판결 직후의 결정이었습니다.

하지만 2025년 초 총선에서 기민련/기사련이 승리하면서 상황이 바뀌었습니다. 메르츠 총리가 이끄는 새 연립정부가 출범했습니다. 내무부 장관직은 기사련의 도브린트에게 돌아갔습니다. 팔란티어 도입을 오랫동안 지지해온 인물이었습니다.

2025년 3월, 연방참사원(상원)은 연방 및 주 경찰을 위한 공동 '자동화된 데이터 분석 플랫폼' 의 신속한 도입을 촉구하는 결의안을 통과시켰습니다. 결의안에 팔란티어라는 이름은 명시되지 않았습니다. 하지만 바이에른 주가 이미 팔란티어와 체결한 기본계약에 따르면, 다른 주와 연방정부가 새로운 조달 절차 없이 합류할 수 있습니다.

모든 주가 동의한 것은 아닙니다. 바이에리셔 룬트풍크(BR) 방송의 조사에 따르면, 함부르크와 메클렌부르크포어포메른 주는 '시장 지배적 미국 공급업체 팔란티어의 제품 사용을 배제하는' 유럽 대안을 명시적으로 요구했습니다. 브레멘, 니더작센, 자를란트, 슐레스비히홀슈타인, 튀링겐 주가 이 입장을 지지했습니다. 하지만 이 발의안은 연방참사원에서 필요한 다수 표결을 얻지 못했습니다.

(3) 디지털 주권의 딜레마

여러 주 정부가 팔란티어에 반대하는 이유 중 하나는 '디지털 주권' 문제입니다.

팔란티어의 공동 창업자이자 이사회 의장인 피터 틸은 도널드 트럼프 대통령과 JD 밴스 부통령의 유력한 지지자이자 정치후원자입니다. 현 트럼프 행정부에서 최소 10명의 인사가 팔란티어 주식을 보유하고 있는 것으로 알려져 있습니다. 2025년 4월, 팔란티어는 미국 이민세관단속국(ICE)과 3,000만 달러 규모의 계약을 체결했습니다. 불법체류자 식별과 자진 출국 추적을 위한 운영체제 'ImmigrationOS'를 개발하는 내용이었습니다.

사회민주당 의원 요하네스 셰츨은 독일 시사주간지 슈테른과의 인터뷰에서 말했습니다. "팔란티어는 중립적 IT 서비스 제공업체가 아닙니다. 미국 정보기관과 깊은 연결고리를 갖고 있고 명확한 지정학적 이해관계를 추구하는 기업입니다."

법적으로도 문제가 있습니다. 2018년 제정된 미국 클라우드법(CLOUD Act)은 미국 당국이 미국 기업에 대해 전 세계 어디에 저장된 데이터든 제출하도록 요구할 수 있게 합니다. 이론적으로 팔란티어 소프트웨어가 독일 경찰 서버에서 독일인의 데이터만 처리하더라도, 미국 정부가 접근을 요구할 가능성을 완전히 배제할 수 없습니다.

팔란티어 측은 이런 우려를 일축합니다. 유럽 전략담당 수석부사장 얀 히세리히는 독일 경제지 한델스블라트와의 인터뷰에서 말했습니다. "팔란티어는 데이터가 아니라 소프트웨어를 가져옵니다. 어떤 데이터가 수사에 관련되는지는 오직 고객이 관련 법규에 따라 결정합니다."

팔란티어는 독일에서 도이치 텔레콤 자회사 T-시스템즈와 협력하고 있습니다. 소프트웨어는 경찰 자체 서버에서 운영됩니다. 데이터가 미국으로 전송되지 않는다는 것이 공식 입장입니다.

하지만 비판론자들은 이것으로 충분하지 않다고 주장합니다. 녹색당 연방의회 의원 콘스탄틴 폰 노츠는 말했습니다. "전국적인 도입은 특히 미국 정부가 점점 더 신뢰할 수 없게 되는 이 시대에 논외가 되어야 합니다."

새 연립정부의 연정협약서에는 흥미로운 문구가 있습니다. "디지털 정책은 권력 정치입니다." 외국 기술에 대한 의존도를 줄이겠다는 목표도 명시되어 있습니다. 하지만 동시에 팔란티어 도입을 재추진하고 있습니다. 디지털 주권을 강조하면서 미국 기업의 감시 소프트웨어를 도입하는 모순입니다.

다. 민주적 통제의 위기

(1) 선출되지 않은 기술 기업이 국가 핵심 기능을 장악할 때

2025년 7월 말, 바덴뷔르템베르크 주 의회는 팔란티어 고담 소프트웨어 사용을 허가하는 법률을 통과시켰습니다. 녹색당-기민련 연정이었습니다. 환경정당인 녹색당조차 반대하지 않았습니다.

보도에 따르면, 바덴뷔르템베르크 주는 2025년 3월에 이미 2,500만 유로 규모의 계약을 팔란티어와 체결한 상태였습니다. 법률적 근거가 마련되기 전이었습니다. 순서가 뒤바뀐 것입니다. 계약이 먼저, 법률이 나중. 기술 도입의 관성이 민주적 심의를 앞질렀습니다.

이것이 비판론자들이 우려하는 '벤더 락인(vendor lock-in)' 현상입니다. 일단 팔란티어 시스템이 경찰 업무 흐름에 깊이 통합되면, 다른 시스템으로 전환하기가 점점 어려워집니다. 전문 교육, 데이터 마이그레이션, 워크플로우 재설계에 막대한 비용이 듭니다. 미래의 유럽산 대안으로 전환하겠다는 약속은 현실적으로 이행되기 어렵습니다.

바이에른 주의 VeRA 시스템 사례가 이를 보여줍니다. 2022년 바이에른 주가 팔란티어와 체결한 기본계약에는 다른 연방주와 연방정부가 새로운 조달 절차 없이 합류할 수 있다는 조항이 포함되어 있습니다. 개별 주가 내리는 결정이 전국적 선례가 됩니다. 선출된 대표들의 충분한 숙의 없이 사실상의 표준이 만들어집니다.

더 근본적인 문제가 있습니다. 팔란티어의 알고리즘이 어떻게 작동하는지 아무도 정확히 알지 못합니다. 소스코드는 영업비밀입니다. 프라운호퍼 연구소의 검토 결과조차 기밀로 분류되었습니다. 경찰 당국이 알고리즘의 추천을 받아들일 때, 그 추천이 어떤 논리로 도출되었는지 검증할 방법이 없습니다.

연구자들은 이를 '자동화 편향(automation bias)'이라고 부릅니다. 인간은 컴퓨터 시스템의 출력을 과신하는 경향이 있습니다. 알고리즘이 특정 인물을 '고위험'으로 분류하면, 수사관은 그 판단에 의문을 제기하기보다 따르기 쉽습니다. 알고리즘이 틀렸을 때, 그 오류를 발견하고 교정하기 어렵습니다.

(2) 주권과 책임의 문제: 누가 알고리즘을 감시하는가

피터 틸은 2009년 에세이에서 도발적인 문장을 썼습니다. "나는 더 이상 자유와 민주주의가 양립 가능하다고 믿지 않는다."

알렉스 카프는 공개 행사에서 여러 차례 말했습니다. "우리 제품은 때때로 사람을 죽이는 데 사용됩니다." 팔란티어의 창업자들은 자신들의 가치관에 대해 숨기지 않습니다. 그들은 서구 민주주의를 수호한다고 주장합니다. 하지만 그 '수호'의 방식과 범위를 누가 결정합니까? 민주적으로 선출된 정부입니까, 아니면 팔란티어입니까? 팔란티어의 지배구조가 이 질문을 더 날카롭게 만듭니다. 회사는 차등의결권 구조를 채택하고 있습니다. 창업자 3인(틸, 카프, 스티븐 코헨)이 Class F 주식을 통해 약 80%의 의결권을 행사합니다. 주주들의 통제도, 이사회의 견제도 제한적입니다. 창업자들이 회사의 방향을 결정합니다.

이 회사가 민주국가의 핵심 안보 기능을 담당합니다. 누가 테러 용의자인지, 누가 감시 대상인지, 어떤 데이터가 어떻게 연결되는지를 팔란티어의 알고리즘이 판단합니다. 선출되지 않은 기술 기업이 국가 주권의 핵심 영역에 들어와 있습니다.

독일 연방헌법재판소의 2023년 판결은 이 문제에 대한 하나의 대답이었습니다. 하지만 결정적인 대답은 아니었습니다. 재판소는 팔란티어 사용 자체를 금지하지 않았습니다. 법적 근거를 더 엄격하게 만들라고 요구했을 뿐입니다.

기본권협회와 카오스 컴퓨터 클럽은 계속 싸우고 있습니다. 바이에른 주와 노르트라인베스트팔렌 주에 대한 헌법소원이 진행 중입니다. 하지만 정치적 흐름은 반대 방향으로 움직이고 있습니다. 메르츠 정부 하에서 팔란티어 확산이 가속화되고 있습니다.

유럽연합 차원에서도 근본적인 해법이 보이지 않습니다. GDPR은 강력한 개인정보보호 원칙을 천명했지만, 국가 안보 영역에서의 감시 기술 사용에 대해서는 각 회원국에 재량을 부여합니다. EU AI법(AI Act)이 고위험 AI 시스템에 대한 규제를 도입했지만, 법 집행 영역에는 많은 예외가 적용됩니다.

결국 문제는 기술이 아닙니다. 선택입니다. 효율성과 프라이버시 사이에서, 안보와 자유 사이에서, 편의와 민주주의 사이에서 어떤 균형점을 찾을 것인가. 이 질문에 대한 답은 알고리즘이 줄 수 없습니다. 시민들이 스스로 결정해야 합니다.

독일 연방헌법재판소가 환기한 1983년의 인구조사 판결, 그리고 그 판결이 상기시킨 나치와 슈타지의 역사는 하나의 경고입니다. 기술은 그 자체로 선하거나 악하지 않습니다. 하지만 권력의 도구가 될 때, 통제되지 않을 때, 투명하지 않을 때, 기술은 민주주의를 위협할 수 있습니다. 팔란티어의 이름은 톨킨의 '반지의 제왕'에 등장하는 '팔란티르'에서 왔습니다. 멀리 보는 돌. 하지만 톨킨의 이야기에서 팔란티르를 사용한 자들 중 상당수는 그 시선에 사로잡혀 파멸했습니다. 보는 자가 보여지는 자가 되었습니다. 도구가 사용자를 지배했습니다.

독일과 유럽이 마주한 질문은 이것입니다. 누가 팔란티르를 통제할 것인가. 우리가 그것을 사용할 것인가, 아니면 그것이 우리를 사용할 것인가.