개인정보위 "AI교과서 개인정보 처리 미흡" 시정·개선 권고

개인정보위 '사전 실태점검' 결과…처리하는 개인정보 항목·목적 미고지 등 지적
개인정보위 "이용자 정보주체 권리가 실질적으로 보호돼야" 강조

10일 대구 수성구 덕화중에서 인공지능(AI) 디지털교과서(AIDT) 공개수업이 진행되고 있다. 교사용 화면에 나타난 모둠별 학습 활동 모습. 김영경 기자

개인정보보호위원회(개인정보위)는 14일 전체회의에서 '인공지능(AI) 디지털교과서 사전 실태점검' 교육당국이 '인공지능(AI) 디지털교과서' 서비스를 제공하는 과정에서 이용자 개인정보 처리를 미흡하게 했다는 이유로 한국교육학술정보원(KERIS)에 시정 및 개선권고를 의결했다.

점검결과에 따르면 AI 디지털교과서 통합포털 운영기관인 KERIS은 개인정보 처리동의서와 처리방침 등에 각각 처리하는 개인정보의 항목, 목적, 보유기간 등을 정보주체가 알 수 있도록 투명하게 기재해야 하나 일부 사항을 누락한 것으로 조사됐다.

또 AI디지털교과서 통합포털 내 학습데이터 저장소(HUB)에 각 개발사로부터 제공받은 학생별 학습콘텐츠 이용내역 데이터(국가수준학습데이터셋)를 통계목적 등으로 저장하면서 처리하는 개인정보 항목과 목적을 분명하게 제시하지 않았다.

이에 개인정보위는 KERIS에 개인정보 항목, 목적, 보유기간 등을 개인정보 처리방침 등을 통해 정보주체에게 누락 없이 고지하도록 시정 권고했으며 통합 DB에 관리되는 국가수준학습데이터셋에 대해서도 처리 항목과 목적을 보다 명확히 하도록 했다.

AI 디지털교과서는 개인별·과목별 고유식별값(UUID) 체계를 갖춰 국가정보원 보안점검과 클라우드 보안인증을 획득하는 등 기본적 보안조치를 취한 것은 맞으나 개인정보 안전성 확보를 위한 검정심사(기술심사) 기준과 개발사용 개발 가이드라인이 클라우드 보안 측면에 치우쳐 있어 개인정보 보호법상 안전조치에 대한 고려가 미흡한 것으로 조사됐다.

참여자 간 시스템 연동 과정에서 보안이 취약할 가능성이 있어 이에 대한 지속적 관리와 점검도 필요한 것으로 확인됐다.

개인정보위는 KERIS와 개발사가 '개인정보보호인증(ISMS-P)' 인증을 취득해 개인정보 안전성 확보 조치 수준을 제고하되, 통합포털과 개발사 웹사이트 간 연동구조를 고려해 양측이 함께 인증을 받는 방안을 마련하라고 개선 권고했다.

교육부에도 AI디지털교과서 검정심사 기준과 가이드라인에 개인정보보호법 준수사항을 구체적으로 반영하고, 사후 점검체계도 마련하도록 개선 권고했다.

아울러 AI디지털교과서 서비스 운영 시 처리하는 개인정보가 보다 명확한 적법 근거에 의해 안전하게 처리되고 정보주체의 권리가 실질적으로 보호될 수 있도록 하라고 권고했다.

KERIS와 개발사 등에도 개인정보 침해·유출사고 시 사고수습 체계 등을 포함해 역할과 책임을 부여하는 체계를 마련하도록 했다.

개인정보위는 권고 사항에 대한 이행 여부를 점검하고 교육부 등 관계 기관과 협의를 통해 보다 안전한 데이터 환경에서 AI 디지털교과서를 포함한 양질의 공교육 서비스가 제공될 수 있도록 노력하겠다고 밝혔다.