개인정보위 "AI 디지털교과서 개인정보 관리 미흡"

개인정보보호위원회(위원장 고학수, 이하 '개인정보위')가 14일 인공지능 디지털교과서(AIDT)에 대한 개인정보 보호법 사전 실태점검 결과를 15일 발표했다.

개인정보위는 제11회 전체회의를 열고 3월부터 운영 중인 AIDT 서비스가 학생별 학습 이력을 데이터베이스화하고 개인 맞춤형 콘텐츠를 제공하는 과정에서 개인정보 처리의 적법성과 안전성을 확보하고 있는지 점검했다.

점검 결과, 한국교육학술정보원(KERIS)이 운영하는 AIDT 통합포털에서 개인정보 처리동의서와 개인정보 처리방침에 일부 항목이 누락된 것으로 나타났다. 특히 통합포털 내 학습데이터 저장소(HUB)에 각 개발사로부터 제공받은 학생별 학습콘텐츠 이용내역 데이터인 '국가수준학습데이터셋'이 저장되고 있으나, 처리 항목 및 목적이 불분명하게 제시된 것으로 확인됐다.

개인정보위는 KERIS에 개인정보 항목, 목적, 보유기간 등을 정보주체에게 누락 없이 고지하고, 국가수준학습데이터셋에 대한 처리 항목 및 목적을 명확히 할 것을 시정 권고했다.

안전조치 의무와 관련해서는 AIDT가 개인별·과목별 고유식별값(UUID) 체계를 갖추고 국가정보원 보안점검 및 클라우드 보안인증(CSAP)을 획득하는 등 기본적 보안 조치는 구비하고 있었다. 다만 개인정보 안전성 확보를 위한 검정심사 기준과 개발가이드라인이 클라우드 보안 측면에 치우쳐 있어 보호법상 안전조치에 대한 고려가 미흡한 것으로 나타났다.

이에 개인정보위는 교육부와 KERIS에 국가공인 '정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 취득을 통해 개인정보 안전성 확보조치 수준을 제고하고, 통합포털과 개발사 웹사이트 간 연동 구조를 고려한 공동 인증 방안을 마련하도록 개선 권고했다.

교육부에는 AIDT 검정심사 기준 및 가이드라인에 보호법 준수사항을 구체적으로 반영하고 사후 점검 체계를 마련하도록 했다.

각 기관은 개인정보위의 시정권고를 10일 이내 수락하면 시정명령을 받은 것으로 간주된다. 기관은 시정권고 및 개선권고에 대한 이행 결과를 60일 이내에 개인정보위에 알려야 한다.

개인정보위는 시정권고 및 개선권고 사항에 대한 이행 여부를 지속 점검하고 안전한 데이터 환경에서 AIDT를 포함한 양질의 공교육 서비스가 제공될 수 있도록 노력할 계획이라고 밝혔다.

홍주연 기자
jyhong@chosunbiz.com