[단독] 알파벳(Alphabet)의 헬스케어 기술 계열사 베릴리(Verily)가 미국 보건의료정보보호법(HIPAA)을 위반한 사실을 알고도 이를 은폐했다는 내부 폭로가 제기됐다. 이번 의혹은 전 최고상업책임자(CCO)였던 라이언 슬론(Ryan Sloan)이 2023년 말 미국 캘리포니아주 북부 연방지방법원에 제기한 소송을 통해 처음으로 공개됐다.
2025년 9월 11일, CNBC뉴스의 보도에 따르면 슬론은 베릴리가 2만5,000명 이상의 환자 보호건강정보(PHI)를 당사자 동의 없이 연구‧마케팅 자료 및 콘퍼런스 발표 등에 사용했다고 주장했다. 그는 이 같은 위반 사실을 회사 고위 경영진에게 보고한 뒤 해고됐다고 소장에서 밝혔다.
▲ 샌브루노에 위치한 베릴리 본사(사진: CNBC)
▶ HIPAA란 무엇인가
HIPAA(Health Insurance Portability and Accountability Act)는 1996년 제정된 미국 연방법으로, 병원·보험사·연구기관 등 이른바 ‘커버드 엔터티(covered entity)’ 및 그 협력사들이 환자 개인정보를 본인 동의 없이 외부에 공개하지 못하도록 규정한다. 위반 시 최대 수백만 달러의 벌금과 형사 처벌이 가능하다.
슬론은 2020년 베릴리 온두오(Onduo)의 당뇨·고혈압 사업부 CCO로 합류했다. 그는 2022년 1월 온두오 법무책임자 줄리아 펠드먼(Julia Feldman)과 함께 내부 감사를 통해 2017~2021년 사이 14개 대형 고객사와 체결한 B2B HIPAA 비즈니스 파트너 계약(BAA)을 다수 위반한 사실을 확인했다고 주장한다.
해당 고객사에는 월그린 부츠 얼라이언스(Walgreens Boots Alliance), 하이마크 헬스(Highmark Health), 퀘스트 다이애그노스틱스(Quest Diagnostics), 델타항공(Delta Air Lines) 등이 포함된다. 소송장에 따르면 계약 당사자들은 60일 이내에 위반 사실을 통지받아야 하나, 베릴리는 통지 대신 계약 갱신 협상을 진행했다.
소장에는 “2022년 8월 베릴리와 하이마크 헬스 간 재계약 협상 당시, 베릴리는 HIPAA를 완전 준수하고 있다고 밝혔으나 실제로는 심각한 위반 사실을 은폐했다”고 적시돼 있다. 같은 달 베릴리는 펠드먼 및 침해 사실을 공유한 또 다른 직원을 해고했고, 2022년 11월에는 HIPAA 위반이 드러날 우려가 있다며 보도자료를 삭제했다.
▶ 회사 측 반박
베릴리 대변인은 CNBC에 “이번 고용 분쟁에서 제기된 주장은 전혀 근거가 없다. 우리는 법령 준수를 최우선으로 한다”며 모든 법적 수단으로 대응하겠다고 밝혔다. 법원은 9월 9일 베릴리 측이 낸 소송 기각 및 강제중재 신청을 모두 기각했다.
“우리는 평등한 고용 환경을 제공하며 모든 법과 규정을 성실히 따르고 있다” — 베릴리 대변인
델타항공은 “직원 개인정보 보호를 중시하며 필요 시 적절한 조치를 취하겠다”고 밝혔고, 퀘스트는 “해당 주장에 익숙지 않다”고 답변했다. 하이마크는 코멘트를 거부했고, 월그린은 CNBC 질의에 응답하지 않았다.
▶ 베릴리, ‘문샷’에서 비즈니스 전환까지
베릴리는 2015년 구글의 혁신 연구소 X(구 Google X)에서 ‘문샷’ 프로젝트로 출범했다. 이후 연속 혈당 측정기 등 하드웨어를 개발하다가 2020년 코로나19 팬데믹 대응 사업으로 선회, 2022년에는 정밀 의료(precision health) 플랫폼 중심으로 또다시 방향을 틀었다.
회사 관계자에 따르면 베릴리는 최근 투자 유치를 위해 LLC(유한책임회사) 구조에서 C-코퍼레이션(주식회사) 체제로 전환을 추진 중이다. C-코퍼레이션은 주주 지분을 공개하고 자본 조달에 유리하다는 장점이 있다.
2024년 베릴리는 인공지능 기반 만성질환 관리 솔루션 Verily Lightpath를 출시했으며, 2025년 2월에는 자회사 그라뉼러 인슈어런스(Granular Insurance Company)를 헬스케어 기업 Elevance Health에 매각한다고 발표했다.
▶ 전문가 시각
헬스테크 산업 전문가들은 “이번 소송이 사실로 드러날 경우 베릴리가 향후 투자 유치 및 고객사 확장에 큰 타격을 입을 수 있다”고 분석한다. 특히 미국에서는 개인정보 보호 위반에 대한 사회적·법적 책임이 갈수록 강화되고 있어, 초기 대응 실패가 더 큰 비용으로 돌아올 가능성이 크다.
▶ 용어 해설
BAA(Business Associate Agreement): 의료 정보 취급 업체가 HIPAA를 준수하겠다는 내용을 담은 계약.
PHI(Protected Health Information): 환자 이름, 생년월일, 진단, 처방 등 신원 식별이 가능한 모든 건강 정보.
LLC vs. C-Corp: LLC는 경영 유연성이 높지만 투자 유치는 제한적, C-Corp은 법인세 이중 과세가 있지만 주식 발행을 통한 자본 조달이 쉬움.
결론적으로, 베릴리와 슬론 간 법적 공방은 ‘규제 준수’와 ‘데이터 윤리’라는 두 축을 중심으로 장기화할 가능성이 크다. 법원이 본안 심리에 착수할 경우, 베릴리의 위기 대응 체계와 내부 통제 시스템이 재조명될 것으로 전망된다.
