⁠⁠⁠⁠⁠⁠⁠

전승재 개인정보보호위원회 조사3팀장이 15일 서울 종로구 정부서울청사에서 인공지능(AI) 디지털교과서 사전실태점검 결과를 발표하고 있다./사진=뉴스1

개인정보보호위원회가 인공지능 디지털교과서(AIDT)의 개인정보 보호대책이 부족하다며 교육부·한국교육학술정보원(KERIS)에게 개선을 요구했다.

개인정보위는 지난 14일 전체회의에서 교육부에게 개선권고, KERIS에게 시정·개선권고를 부과하는 사전실태점검 결과를 의결했다고 15일 밝혔다.

AIDT는 지난 3월 학교현장에서 서비스를 개시했다. 종이 교과서와 달리 학생별 학습이력을 데이터베이스에 저장하고 개인 맞춤형 콘텐츠를 제공하는 등 대량의 개인정보 처리를 동반한다.

KERIS는 'AI디지털교과서 통합포털' 내부에 학습데이터 저장소(허브)를 구축했다. 이곳엔 각 개발사(출판사)로부터 받은 학습시간·성취수준 등 학생별 학습콘텐츠 이용내역이 '국가수준학습데이터셋'이란 이름으로 저장된다.

개인정보위는 개인정보자기결정권 침해를 방지하기 위해 필요 최소한의 개인정보를 처리하고 개인정보 항목별로 정당한 처리이익을 제시하는 게 원칙이지만, AIDT는 이 부분이 미흡하다고 지적했다.

KERIS는 올 상반기 데이터셋을 단순 통계분석 목적으로 활용하고 있다. 개인정보위는 KERIS가 하반기 인공지능(AI) 학습분석 등을 시행할 예정인데도 개인정보 처리항목과 구체적인 처리목적을 불분명하게 제시했다고 짚었다.

개인정보위는 또 수집·처리할 개인정보의 항목·목적·보유기간은 동의서·처리방침에 투명하게 기재해야 하지만, KERIS가 일부 내용을 누락했다며 시정권고를 결정했다.

이 밖에 AIDT는 안전조치와 관련해 개인별·과목별 고유식별값(UUID) 체계를 갖추고 국가정보원 보안점검을 통과하는 한편 클라우드보안인증(CSAP)을 획득한 것으로 파악됐다.

개인정보위는 "기본적 보안조치는 구비했다"면서도 "개인정보 안전성 확보를 위한 검정심사(기술심사) 기준과 개발·사용 가이드라인이 클라우드 보안에 치우쳐 개인정보보호법상 안전조치에 대한 고려가 미흡한 것으로 나타났다"고 지적했다.

이어 "참여자간 시스템 연동과정에서의 보안이 취약할 가능성이 있어 이에 대한 지속적 관리와 점검이 필요하다"며 "KERIS와 각 개발사가 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 공동으로 취득·유지하는 방안을 마련하도록 개선권고를 했다"고 밝혔다.

아울러 "AI디지털교과서 통합포털의 경우 앞으로 개인정보보호법상 집중관리시스템으로 지정될 수 있으니 강화된 안전성 확보조치 의무를 준수하라는 개선권고를 내렸다"고 덧붙였다.

개인정보위는 교육부에도 개인정보보호법 준수사항을 AIDT 검정심사 기준과 가이드라인에 구체적으로 반영하고, 사후 점검체계를 마련하도록 개선권고를 결정했다.

AIDT를 위한 개인정보 처리에 대해 보다 명확한 적법 근거를 갖추고, KERIS·개발사 등 참여자들에게 침해·유출사고 수습체계를 포함한 역할·책임을 부여하라는 내용도 개선권고에 포함시켰다.

개인정보위는 "시정권고·개선권고 이행여부를 지속 점검하고 그 과정에서 교육부 등 관계기관과 협의해 보다 안전한 데이터 환경에서 AIDT를 포함한 양질의 공교육이 제공될 수 있도록 계속 노력할 예정"이라고 밝혔다.

성시호 기자 shsung@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지