팔란티어는 영국 국영의료서비스(NHS) 입찰을 따낼 수 있을까?! (feat. 개인정보보호)

최근 파이낸셜 타임스는 영국 국영의료서비스(National Health Service, NHS)가 진행하고 있는 연합 데이터 플랫폼(Federated Data Platform, FDP) 구축사업 입찰 경쟁에서 현재 가장 유리한 위치에 있는 것으로 평가되는 팔란티어에 대한 대항마로 3개의 영국 기업으로 이루어진 컨소시엄이 입찰에 참여한다는 기사를 내면서 해당 입찰을 둘러싼 잡음을 재조명하고 있습니다. 과연 위 사업과 관련하여 그동안 무슨 일이 있었는지, 팔란티어가 이러한 잡음을 뚫고 입찰을 따낼 수 있을 것인지 살펴보겠습니다.

 

<목차>
1. 무너지고 있는 영국의 국영의료서비스(NHS)
2. NHS의 연합 데이터 플랫폼(FDP) 구축사업이란?
3. 팔란티어, 영국의 코로나 극복을 지원하다
4. 팔란티어에 대한 영국 내 비판과 팔란티어의 대응
    (1) 시민단체의 비판
    (2) 팔란티어의 대응
5. 팔란티어의 개인정보보호 역량
6. 팔란티어의 FDP 사업 낙찰 가능성

 

1. 무너지고 있는 영국의 국영의료서비스(NHS)

영국의 국영의료서비스는 국가가 의료비를 100% 지원하는 시스템인데, 그렇지 않아도 고령화 사회에 돌입하면서 줄어든 재원과 늘어난 의료비용에 대처하기 위해 빡빡하게 운용되고 있던 의료 시스템이 코로나 19 시절을 거치면서 붕괴 일보 직전 상태에 놓이게 되었다고 합니다. 이로 인하여 편도선염에 걸린 아이가 치료를 받지 못해 폐렴으로 사망한다거나, 당뇨병 환자가 사흘이나 병원에 앉아 있다 발가락을 절단하게 되었다거나, 심폐질환 환자가 구급차를 너무 오래 기다리다 사망하는 어처구니없는 사례들이 갈수록 늘어나고 있는 반면, 의료진들은 물가 급등으로 낮아진 실질 임금에 항의하며 파업을 벌이고 있는 극단의 상황으로 치닫고 있다고 합니다.

 

이에 영국 정부는 의료서비스를 늘리기 위해 향후 21조 원을 투입할 계획이라고 하며, 아마 이 예산에는 FDP 구축사업을 위한 비용도 포함되어 있을 것으로 생각됩니다.

 

출처: 유튜브 / 분현멘님 공유

 

 

 

2. NHS의 연합 데이터 플랫폼(FDP) 구축사업이란?

NHS는 영국 내 의료서비스를 아우르는 기술 및 서비스 생태계로서 기능할 연합 데이터 플랫폼(FDP) 구축사업에 대한 입찰 계획을 2022년 4월 발표하였습니다. FDP는 국민 보건에 대한 통찰, 통합 의료, 비응급 수술 체계 재건, 백신 및 면역, 공급망 이상 5개 분야를 위해 구축될 것이라고 하며, 보다 효율적으로 의료 서비스를 재구성하는 것을 목표로 합니다.

 

당초 2.4억 파운드로 계획되었던 해당 입찰의 계약 규모는 작년 하반기 3.6억 파운드로 증액되었다가 현재는 4.8억 파운드까지 그 규모가 늘어난 상태이고, 이 과정에서 당초 1개의 계약으로 조달될 계획이었던 FDP 사업은 플랫폼 제공, 개인정보보호 기술, 앱스토어 형식의 마켓플레이스, 기술의 구현 및 배포 이상 4개의 사업으로 쪼개어졌으며, 플랫폼 제공 사업을 낙찰받은 업체는 개인정보보호 기술 사업의 낙찰을 받을 수 없게 되었습니다(그 이유에 대해서는 4항에서 설명). 다만, 그 가운데 3.6억 파운드 규모의 플랫폼 제공 사업이 여전히 가장 노른자 사업이라고 할 수 있겠습니다.

 

팔란티어는 FDP 구축사업이 처음 발표될 때부터 이를 낙찰받을 가장 유력한 업체로 지목되었으며, 전체 사업이 4개의 계약으로 쪼개진 이후에도 가장 중요한 플랫폼 제공 사업 입찰에서 유리한 위치에 있는 것으로 평가되고 있습니다. 다만, 팔란티어에 대해서는 그동안 영국 내에서는 많은 비판 여론이 있어 왔으며, 앞서 언급한 파이낸셜 타임스 기사에서 영국계 컨소시엄이 해당 입찰에 참여할 계획이라는 소식이 전해지자 기존의 비판 여론이 다시금 조명되고 있는 것입니다.

 

그렇다면 팔란티어는 어떻게 가장 유력한 업체로 떠오르게 되었으며, 이에 대하여 어떤 비판이 제기되어 왔던 것일까요?

 

3. 팔란티어, 영국의 코로나 극복을 지원하다

NHS는 2020년 3월 코로나 19가 세계적으로 대유행하기 시작하던 시기에 여러 기관과 시스템에 흩어져 있던 데이터를 한 곳에 모으고 분석함으로써 의사결정권자들이 의료 수요에 따라 신속하게 대응할 수 있도록 NHS COVID-19 Data Store를 구축하기로 하고 이를 위해 영국에서 활동하고 있던 유수의 테크 기업들의 도움을 받기로 하였는데, 그중 하나가 팔란티어였습니다. 당시 팔란티어는 단돈 1파운드만 받기로 하고 NHS와 긴급조달계약을 체결하여 NHS가 필요로 하는 서비스를 제공하기 시작하였습니다.

 

NHS COVID-19 Data Store를 통해 의료 인력과 백신을 우선순위에 따라 적재적소에 배치 및 배포하고, 인공호흡기와 개인보호장구를 보다 효율적으로 공급하며, 바이러스의 전파 상황을 보다 면밀하게 파악할 수 있는 신세계를 체험한 NHS는 2020년 12월 기존의 기본 계약에 근거하여 입찰 없이 계약을 체결할 수 있다는 규정에 따라 팔란티어와 단독으로 기간을 2022년 12월까지로 정한 2350만 파운드 짜리 본계약을 체결하기에 이릅니다. 또한 NHS는 2023년 1월 위 계약을 1150만 파운드에 2023년 6월까지 연장한 상황입니다. 이뿐만 아니라, NHS는 팔란티어가 위 계약에 따라 수집한 데이터를 향후 구축할 FDP에 그대로 이전시킬 계획이며, 팔란티어가 위 계약을 수행하는 과정에서 제작한 데이터 대시보드 역시 향후 구축할 FDP에 이전할 계획이라고 밝히기도 하였습니다.

 

팔란티어는 NHS와의 계약 이외에도 암치료 대기 환자를 줄이기 위해 첼시 웨스트민스터 병원과 협업하여 대기 환자수를 28% 줄이고, 기존에 예약 시점 기준으로 7일 이후로는 수술 일정을 잡기 어렵던 것을 16일 너머로 잡는 것이 가능해질 정도로 수술 가능 인력의 예측 가능성을 높였으며, 수술실 가동률을 73%에서 86%로 개선하는 등의 성과를 올렸는데, 이를 NHS 생방송 질의응답 시간에 영국 수상 Rish Sunak이 직접적으로 언급하면서 주목을 받기도 하였습니다.

 

출처: 팔란티어 홈페이지 - 영국 수상이 좋아하는 파운드리

 

이처럼 여러모로 영국 정부는 NHS의 체질 개선을 위해 팔란티어의 제품을 도입하는 것에 우호적이므로, 팔란티어가 FDP 구축사업을 따내는 것도 어렵지 않을 것으로 보일 수 있지만, 상황이 그렇게 녹록하지만은 않습니다. 영국 내 시민단체가 팔란티어가 NHS에게 서비스를 제공한 일련의 과정에 대해 여러 가지 각도로 문제를 제기하고 나섰기 때문입니다.

 

4. 팔란티어에 대한 영국 내 비판과 팔란티어의 대응

(1) 시민단체의 비판

영국 내 각종 시민단체와 일부 NHS 종사자들은 2020년에 NHS가 코로나에 대응하기 위하여 팔란티어와 협업을 하기로 한 사실을 밝힌 당시부터 줄기차게 팔란티어가 NHS 보유 데이터에 접근하고, FDP 제공사업에 유력한 선두주자로 거론되는 것에 대해 문제를 제기하였습니다. 그 내용을 요약하면 다음과 같습니다.

 

• 우선 미국의 spy-tech 기업이자 미국 이민세관단속국을 위해 일한 전력이 있는 팔란티어에게 영국 국민의 의료 정보 수집 및 처리를 맡길 수 없다는 것이 가장 주된 비판입니다.
• NHS의 복잡한 데이터 시스템을 하나의 단일 플랫폼으로 대체할 수 있다는 것은 말이 안 된다는 비판도 있습니다.
• 공개된 자료에 따르면 팔란티어가 코로나 19가 발발하기 훨씬 이전인 2019년부터 NHS와 잦은 회동을 가진 것으로 드러난 점, NHS의 주요 인사들이 팔란티어로 이직한 점, 팔란티어가 입찰 없이 단독으로 NHS와 계약을 체결한 점, FDP 제공사업 입찰에 있어서도 팔란티어가 기존 계약에 따른 선점 효과를 누릴 수 있을 것으로 보이는 점 등을 들어 팔란티어를 선정하는 절차의 공정성에 문제를 제기하기도 합니다.
• 팔란티어와의 계약이나 개인정보보호 측면에서의 팔란티어의 업무 프로세스가 투명하게 공개되고 있지 않다는 비판도 있습니다.

출처: 트위터(@Foxglovelegal) - 온갖 삭선이 그어진 채로 공개된 NHS-팔란티어 계약

 

이러한 일련의 문제 제기, 그리고 이와 관련된 시민단체 소송을 의식한 것인지, NHS는 2021년 3월 공공의 의견 수렴 없이 팔란티어와 같은 기업에게 장기계약을 제공하지 않겠다는 확약을 한 바 있으며, 2022년 11월에는 FDP 사업을 4개의 세분화된 계약으로 분할하면서 그 중 가장 중요한 플랫폼 제공 사업을 낙찰받은 업체는 개인정보보호 기술 사업의 낙찰을 받지 못하도록 하겠다는 계획을 밝히기도 하였습니다.

 

(2) 팔란티어의 대응

이에 대해 팔란티어는 그다지 적극적인 해명을 하고 있지 않은 것으로 보입니다. NHS가 FDP 사업을 분할하기로 한 결정에 대해서는 충분히 그럴 만하다는 반응을 보였으며, 팔란티어 블로그에서도 팔란티어는 데이터 채굴 회사가 아니라 소프트웨어 회사이다, 팔란티어는 시민사회의 안전을 위한 국방과 안보 산업에 종사하는 만큼 정보보호를 최우선적인 가치로 고려하고 있다, NHS와의 협업에 종사하는 팔란티어 직원들은 모두 영국의 국익을 최우선으로 생각하는 영국인들이다라는 정도의 원론적이라면 원론적이고 다소 소극적인 해명을 하는 정도에 그치고 있습니다. 

 

5. 팔란티어의 개인정보보호 역량

이는 투자자로서는 다소 아쉬운 부분인데, 그럼 팔란티어가 개인정보보호 역량이 부족하고 자신이 없어서 그런 것일까요? 당연히 아닐 것입니다. 항상 극한의 상황 속에서도 최고 수준의 보안이 요구되는 환경에서 소프트웨어를 운용하는데 이골이 나 있는 팔란티어는 정보보호 분야에서도 많은 고민을 해왔고, 특히 유럽연합의 엄격한 일반 데이터 보호 규칙(EU General Data Protection Regulation, GDPR)을 준수하기 위해 많은 노력을 기울여 왔습니다.

 

그러한 고민의 결과물 중 하나가 바로 목적 기반 액세스 제어(Purpose-based Access Controls) 툴인데, 이는 누가 언제 어떠한 데이터에 왜 접근하는지를 데이터에 접근하는 주체와 데이터 사이의 단편적인 관계에서만 추적하고 통제하는 것은 그 자체로도 매우 복잡하고, 조직이 커질수록 그 복잡성이 기하급수적으로 배가되며, 이로 인하여 정보보호가 정보보호 전문가의 통제를 벗어나 기술 인력의 역량에 의해 좌우되는 결과를 초래한다는 문제 인식에서 출발한 솔루션입니다.

 

목적 기반 액세스 제어 툴을 적용하는 경우, 우선 잠재적 데이터 사용자는 개별 데이터에 대한 접근을 신청하는 대신 자신의 수요에 맞는 목적(Purpose)에 대한 액세스만을 신청할 수 있습니다. 이로써 개별 사용자는 자신이 속한 조직에서 어떠한 사업을 위해 설정한 목적에 할당되어 있는 데이터에 접근할 수 있게 되어, 자신이 필요로 하는 데이터를 찾아 헤메는 수고를 더는 것과 동시에 자신의 목적에 필요하지 않은 데이터에 쓸데없이 접근하는 일이 발생하는 것도 막을 수 있을 것입니다.

 

그리고 목적은 그때그때의 수요에 따라 책임 권한이 있는 자(Purpose Owner)가 새롭게 만들어낼 수 있으며, 이때 목적에 대한 책임자는 그 목적 달성에 적합한 데이터 자산을 고른 다음, 해당 데이터 자산에 대한 책임 권한이 있는 자(Data Asset Owner)에게 해당 데이터 자산을 자신이 만든 목적에 추가하는데 대한 승인을 요청하게 됩니다. 이로써 데이터 자산 보관을 담당하는 자와 데이터 이용을 총괄하는 자가 자연스럽게 해당 데이터를 사용할 필요성에 대해 중첩적으로 고민하게 되고, 꼭 필요한 데이터가 적합한 목적에 이용될 수 있고 반대로 목적에 불필요한 데이터는 걸러지는 보안에 충실하면서도 실용적인 정보보호 체계를 이룰 수 있을 것입니다.

 

출처: 유튜브 - Purpose-Based Access Controls at Palantir (Part 1)

 

목적 기반 액세스 제어 시스템 하에서는 이러한 모든 신청과 승인을 할 때 그 근거와 함께 기록을 남겨야 합니다. 이에 따라 향후 정보보호 규제 담당자는 누가 어떤 데이터에 액세스 하였는지 뿐만 아니라 그러한 액세스에 대한 승인 신청과 승인이 이루어진 배경을 충분히 이해하고 감사를 진행할 수 있을 것입니다. 그리고 이러한 일련의 프로세스는 직관적인 no code 환경에서 이루어지기 때문에 각 담당자가 기술 인력의 도움 없이도 고도의 정보보호가 달성 가능할 것입니다. 가장 결정적으로, 목적에 대한 책임자와 데이터 자산에 대한 책임자는 당연하게도 팔란티어의 직원이 아니라 해당 데이터를 보유한 조직의 담당자가 될 것입니다.

 

개인정보 보호와 관련하여 시민단체가 우려하는 것 중 또 한 가지는 개별 데이터만으로는 특정 개인의 식별이 불가능하더라도 다른 데이터와 조합하여 식별이 가능하게 되는 경우에는 결국 개인정보 침해가 일어날 수 있다는 논리인데, 파운드리의 성능이라면 사용의 편의를 침해하지 않으면서도 특정 개인이 식별이 가능하지 않도록 데이터를 분리하여 관리하고, 이와 같이 분리된 데이터가 한 곳으로 모이지 않도록 통제하는 체계를 구축하는 것도 충분히 가능할 것으로 생각됩니다.

 

6. 팔란티어의 FDP 사업 낙찰 가능성

NHS의 FDP 사업과 관련하여 핵심적인 목표는 데이터에 기반한 의사결정을 가능하게 하는 플랫폼을 구축하는 것이어야 하지만, 이러한 부분에 대한 충분한 조명 없이 개인정보 보호에 보다 많은 초점이 맞추어지다 보니 논점이 자꾸 흐려지는 느낌이 없지 않습니다. 더구나 3개 기업의 컨소시엄이 입찰에 참여한다는 소식은 여러 개의 레거시 솔루션을 누더기처럼 조합하여 만든 시스템으로 디지털 전환을 시도하다가 시간과 비용만 낭비하고, 결국 파운드리에 안착하게 되었다는 여러 기업 경영진들의 경험담을 떠오르게 해서 실소를 금하기가 어렵습니다. 그게 가능한 업체였다면 왜 너무나도 상황이 급박해서 진짜로 그러한 시스템이 필요했던 코로나가 한창인 시절에는 잠자코 있었을까요.. 반면 팔란티어는 디지털 전환뿐만 아니라 미 국방부로부터 IL6 최고 보안등급을 받을 정도로 보안과 개인정보 보호 분야에도 일가견이 있으므로, 순수하게 제품의 우수성이나 기업의 역량만을 따진다면 팔란티어가 FDP 사업을 낙찰받는 것이 순리일 것입니다.

 

하지만 정치나 여론이라는 것이 순리와는 거리를 둘 때도 많고, 개인정보 보호가 워낙 민감한 분야인만큼, 팔란티어의 낙찰을 마냥 낙관적으로만 보기는 어려운 상황인 것 같습니다. 그리고 시민단체의 여러 비판에 대한 팔란티어의 소극적인 대응이 다소 아쉽기도 하지만, 이러한 비판이 제기된 배경에는 코로나에 대응하기 위해 급하게 데이터 통합을 진행하느라 팔란티어와 협업을 충분히 투명성 있게 진행하지 못한 NHS가 빌미를 제공한 부분이 있기도 해서 팔란티어가 NHS를 제치고 혼자서 해명을 해봐야 별다른 효과가 없다고 봤을 가능성도 있을 것 같습니다.

 

그럼에도 불구하고 어쨌든 NHS로서는 팔란티어와 함께 이미 많은 진보를 이루어냈기 때문에 FDP 사업에 새로운 업체를 선정함으로써 시간과 재정을 낭비할 유인은 없을 것입니다. 그랬다가는 코로나 시절을 거치며 팔란티어가 이룩한 자산을 갈아엎고 디지털 전환을 밑바닥부터 다시 시작해야 할 것이기 때문입니다. 그러므로 특출 나게 팔란티어를 능가하는 업체가 등장하는 가능성 없는 시나리오가 전개되지 않는 한, 아무래도 팔란티어 쪽으로 기울게 되지 않을까 싶습니다. 다만, 그 과정에서 여러 시민단체가 제기하는 비판과 소송 속에서 낙찰 업체가 선정되는 시기가 많이 늦추어질 가능성도 상당할 것으로 생각됩니다. 실제로 이미 일정이 여러번 연기되기도 하였구요. 팔란티어가 미국 정부와의 사이에서도 가장 우수한 제품이 선정되어야 한다는 취지로 소송을 제기하여 승소한 결과 조달 계약을 따낸 전력이 있는 만큼, FDP 제공사업 또한 시간은 걸리겠지만 결국은 제품의 우수성을 바탕으로 낙찰받는 방향으로 진행되길 조심스럽게 기대해 봅니다.