AI 디지털교과서 개인정보 처리·보호 조치 일부 '미흡'

등록 2025.05.15 12:19:15

개인정보위, AI 디지털교과서 사전 실태점검 결과 발표

KERIS에 개인정보 처리방침·동의서 구체화, 정보주체 권리행사 명확화 권고

교육부에 "AI 교과서 검정 심사기준·개발가이드라인에 안전조치의무 반영"

[부산=뉴시스] 하경민 기자 = 올해 3월 도입을 앞둔 'AI 디지털교과서 상설 전시회'가 열린 18일 부산 북구 SW·AI교육거점센터에서 지역 교사들이 AI 디지털교과서를 살펴보고 있다.

오는 28일까지 열리는 이번 전시회에서는 올해 도입하는 초3·4, 중1, 고1 대상 영어·수학·정보 교과 12개 개발사의 76종 AI 디지털교과서 시연하고, 개발사별 설명회 등이 마련된다. 2025.02.18. yulnetphoto@newsis.com

[서울=뉴시스]송혜리 기자 = 지난 3월부터 운영 중인 인공지능(AI) 디지털교과서(AIDT)에 대한 사전 실태점검 결과, 개인정보 처리·안전조치 측면에서 일부 미흡한 사항이 확인돼 개인정보보호위원회가 주관 부처인 교육부와 운영 기관인 한국교육학술정보원(KERIS)에 개선을 권고했다.

AIDT 서비스는 종이 교과서와 다르게 학생별 학습 이력을 데이터베이스(DB)화해 저장하고 개인 맞춤형 콘텐츠를 제공하는 등 개인정보 처리가 필요하다. 이에 개인정보위는 서비스 운영에 참여하는 관련 기관들을 대상으로 AIDT의 개인정보 침해 가능성에 대한 사전 실태점검을 실시했다.

실태점검 결과, AIDT의 경우 개인정보 처리 관련 명확한 근거 법령이 없어 개인정보보호법 상 정보주체의 동의, 계약이행을 위한 처리 등을 근거로 개인정보를 처리하고 있다.

이런 경우 개인정보 처리동의서, 개인정보 처리방침 등에 각각 처리하는 개인정보의 항목, 목적, 보유기간 등을 정보 주체가 알 수 있도록 투명하게 기재해야 하나, 일부 사항의 기재가 누락 된 사실이 발견됐다.

아울러 AIDT 통합포털(KERIS) 내부에는 학습데이터 저장소(HUB)가 구축돼 있는데, 여기에는 각 개발사로부터 제공받은 학생별 학습콘텐츠 이용내역 데이터(이하 국가수준학습데이터셋)가 통계목적(통합 대시보드 구성 등) 또는 향후 AI 기반 학습분석 목적 등을 위해 저장되고 있었다.

이처럼 학생 개개인의 상세한 학습(행동) 정보가 통합 DB에 쌓일 경우 개인정보자기결정권 침해 우려가 있어, 관련 법에 따라 필요한 최소한의 정보만 수집하고 어떤 정보를 왜 수집하는지 명확하게 설명해야 하나 이 부분이 미흡했다.

이에 따라 개인정보위는 AIDT 통합포털을 운영하는 KERIS에 개인정보 항목, 목적, 보유기간 등을 동의서 또는 처리방침을 통해 정보주체에게 누락 없이 고지토록 하고 특히, 통합 DB에 관리되는 국가수준학습데이터셋에 대해서는 처리 항목 및 목적을 보다 명확히 할 것을 시정 권고 했다.

안전조치 관련해 AIDT는 개인별·과목별 고유식별값(UUID) 체계를 갖추고 국가정보원 보안점검 및 클라우드 보안인증(CSAP)을 획득하는 등 기본적 보안 조치는 구비하고 있었다.

그러나 개인정보 안전성 확보를 위한 검정심사(기술심사) 기준과 개발사용 개발가이드라인이 클라우드 보안 측면에 치우쳐 있어 보호법상의 안전조치에 대한 고려가 미흡한 것으로 나타났다. 또 참여자 간 시스템 연동(API 연계 등)과정에서의 보안이 취약할 가능성이 있어 이에 대한 지속적 관리와 점검이 필요한 것으로 확인됐다.

이에 따라 개인정보위는 KERIS와 각 개발사가 ISMS-P 인증을 취득해 개인정보 안전성 확보조치 수준을 제고하되, 통합포털과 개발사 웹사이트 간 연동구조를 고려해 양측이 공동으로 인증을 신청·취득·유지할 수 있는 방안을 마련하도록 개선 권고했다.

마지막으로 AIDT의 전반적인 개인정보 보호 체계 강화를 위해 교육부에 AIDT 검정심사 기준과 가이드라인에 보호법 준수사항을 구체적으로 반영하도록 하고 이에 대한 사후 점검 체계도 함께 마련하도록 했다.

◎공감언론 뉴시스 chewoo@newsis.com