⁠⁠⁠⁠⁠⁠⁠

(서울=뉴스1) 임세영 기자 = 전승재 개인정보보호위원회 조사3팀장이 15일 서울 종로구 정부서울청사에서 열린 개인정보위 제11차 전체회의 결과 브리핑에서 AI 디지털교과서 사전 실태점검 결과를 발표하고 있다. 2025.5.15/뉴스1 /사진=뉴스1화상

[파이낸셜뉴스] 인공지능(AI) 기반 디지털교과서(AIDT) 시스템의 이용자 개인정보 관리가 법적 기준에 미달한 것으로 나타났다.

개인정보보호위원회는 지난 14일 전체회의를 열고 AI 디지털교과서 사전 실태점검 결과를 심의·의결했다고 15일 밝혔다.

교육 당국이 AIDT 서비스를 제공하는 과정에서 이용자 개인정보를 미흡하게 처리한 점이 확인됐다는 것이 개인정보위의 판단이다.

AI 디지털교과서는 올해 3월부터 운영된 공교육 서비스로, 종이 교과서와 달리 학생별 학습 이력을 데이터베이스화하고, 이를 바탕으로 개인화된 콘텐츠를 제공한다.

점검 결과, AI 디지털교과서 통합포털 운영기관인 한국교육학술정보원(KERIS)은 학생의 학습시간, 진도율, 성취 수준, 커뮤니티 참여 내역 등 구체적인 학습 행동정보를 '국가수준 학습데이터셋'이라는 이름으로 통합 저장하고 있는데, 이 항목과 목적을 분명하게 제시하지 않았다. 이 자료는 현재 통계분석에 활용되고 있지만, 향후 AI 학습 분석 목적까지 포함될 예정이다. 개인정보 처리동의서와 처리방침 등에 각각 처리하는 개인정보의 항목, 목적, 보유기간 등을 정보주체가 알 수 있도록 투명하게 기재해야 한다.

보안관리 측면에서도 허점이 발견됐다. AIDT는 클라우드보안인증(CSAP)와 개인별·과목별 고유식별값(UUID) 체계를 갖추고 있었지만, 기술심사 기준과 개발 가이드라인이 클라우드 위주에 머물러 보호법상 안전조치 의무와는 괴리가 있었다는 평가다.

특히 API 연계 등 시스템 간 연동 구조에서 발생할 수 있는 보안 취약성에 대한 별도 점검 체계가 부재한 것으로 드러났다. 개인정보위는 KERIS와 개발사에 대해 공동으로 ISMS-P 인증을 취득하고 유지하는 방식으로 보안 수준을 높일 것을 권고했다.

또 향후 AIDT 통합포털이 개인정보법상 '집중관리시스템'으로 지정될 가능성이 있는 만큼, 100만 명 이상 정보주체 또는 민감정보를 다루는 시스템에 요구되는 수준의 강화된 보안체계를 준비할 필요가 있다고 강조했다.

아울러 교육부에는 AIDT의 전반적인 개인정보 보호 체계 강화를 위해 AIDT 검정심사 기준 및 가이드라인에 보호법 준수사항을 구체적으로 반영하도록 하고 이에 대한 사후 점검 체계도 함께 마련할 것을 권고했다.

또 향후 개인정보 침해 등 문제 발생 시 책임 소재가 명확하게 드러날 수 있도록 KERIS, 개발사 등 참여 주체별 역할과 사고수습 체계를 사전에 정비할 것도 권고했다.

각 기관이 10일 이내에 시정권고를 수락하면 법적 시정명령으로 간주하며, 60일 이내에 이행 결과를 보고해야 한다고 개인정보위는 전했다.

개인정보위 관계자는 "향후 시정권고 및 개선권고 사항에 대한 이행 여부를 지속 점검할 것"이라며 "교육부 등 관계 기관과 협의를 통해 보다 안전한 데이터 환경에서 ‘AI 디지털 교과서’를 포함한 양질의 공교육 서비스가 제공될 수 있도록 계속 노력하겠다"고 말했다.

yjjoe@fnnews.com 조윤주 기자

Copyright © 파이낸셜뉴스. 무단전재 및 재배포 금지.