개인정보위 "AI 교과서 개인정보 처리 미흡"…KERIS·교육부에 시정 조치

개인정보보호위원회

인공지능(AI) 기반 디지털교과서(AIDT) 서비스가 학생들의 학습 데이터를 수집하면서 개인정보 보호조치가 미흡한 것으로 드러났다. 

개인정보보호위원회는 15일 AI 디지털교과서 운영 과정에서 학생들의 개인정보 처리 고지 누락, 보안 미비점이 발견돼 한국교육학술정보원(KERIS)와 교육부에 시정 및 개선을 권고했다.

AIDT는 종이 교과서와 달리 학생별 학습 이력을 데이터베이스화하여 맞춤형 콘텐츠를 제공하는 시스템이다. 이를 위해 개인정보 수집과 저장이 필수적인데, 개인정보위는 이 과정에서 명확한 고지와 안전조치가 부족했다고 판단했다.

특히 AIDT 통합포털을 운영하는 KERIS는 민원 처리 과정에서 수집되는 개인정보 항목에 대한 고지가 누락돼 있었고, 학습 이력 데이터인 국가수준학습데이터셋을 명확한 처리 목적 없이 통합 DB에 저장하고 있는 것으로 조사됐다. 이 데이터에는 학습시간, 진도율, 성취수준, 커뮤니티 참여도 등 학생 개개인의 상세한 학습 행동 정보가 포함되어 있어, 개인정보 자기결정권 침해 소지가 크다.

또한, 각 개발사와 KERIS 간 시스템 연동(API) 과정에서도 보안 취약 가능성이 지적됐으며, 클라우드 보안(CSAP) 인증은 받았으나 ISMS-P 인증은 부족한 상황이었다. 이에 따라 개인정보위는 통합포털과 과목별 웹사이트가 공동으로 ISMS-P 인증을 취득하고, 개인정보영향평가를 재실시할 것을 권고했다.

교육부에도 책임을 물었다. 개인정보위는 AIDT 개발 심사 기준과 가이드라인에 개인정보보호법 준수사항을 명시적으로 반영하고, 사후 점검 체계를 마련할 것을 요청했다. 또한 KERIS와 각 개발사에게 정보주체 권리 보호 체계를 명확히 수립하고, 민원 대응 시스템도 정비할 것을 주문했다.

개인정보위는 “학생 개인정보는 민감하고 장기적으로 보관되는 만큼, 사전에 철저히 점검하고 제도를 정비해야 한다”며 “안전한 데이터 환경에서 AI 교육이 이뤄질 수 있도록 관련 기관과 협력하겠다”고 밝혔다.