"AI 교과서 운영시, 데이터 처리항목 명확히 기재해야"

지난 14일 개인정보위 전체회의 의결
교육부와 KERIS 등 대상 개선사항 권고
개인정보 처리방침·동의서 구체화 등

등록 2025-05-15 오후 12:01:52

수정 2025-05-15 오후 12:14:19
가 가

[이데일리 최연두 기자] 개인정보보호위원회가 인공지능(AI) 디지털교과서(이하 AI 교과서) 시스템의 개인정보 처리 현황을 점검하고 운영 기관인 한국교육학술정보원(KERIS)을 상대로 수집 항목 등을 구체적으로 명시하라는 등의 개선 사항을 권고했다.

고학수 개인정보보호위원회 위원장이 지난 14일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제11회 개인정보위 전체회의에서 의사봉을 두드리고 있다.(사진=개인정보위)

15일 개인정보위는 전날 열린 제11회 전체회의에서 AI 교과서에 대한 개인정보보호법 사전 실태점검 결과를 심의·의결했다고 밝혔다. 이번 점검 대상에는 KERIS뿐 아니라 AI 교과서 주무 부처인 교육부와 학과목 AI 서비스 개발사 세 곳이 포함됐다.

“수집되는 정보 항목, 명확히 기재해야”

개인정보위에 따르면 현재 AI 교과서 시스템의 개인정보 처리와 관련된 명확한 근거 법이 마련돼 있지 않은 상황이다. 보호법에 따라 정보주체의 동의, 계약 이행을 위한 처리 등을 근거로 개인정보를 처리 중이다. 개인정보 처리 항목, 목적, 보유 기간 등을 정보 주체가 알 수 있도록 기재해야 한다.

하지만 조사 결과 KERIS는 개인정보 처리 동의서와 방침에 서비스 민원 처리시 수집·이용·제공되는 항목(연락처, 상담 내용 등)에 대해 고지하지 않았다.

또한 KERIS는 통합 포털의 학습데이터 저장소에 수집되는 이용자의 학습 콘텐츠 이용 내역(국가 수준 학습 데이터셋)의 활용 목적을 명확히 제시하지 않았다. 개인정보위 측은 학생 개개인의 상세한 학습(행동) 정보가 쌓일 경우 개인정보 자기결정권 침해 우려가 있다고 밝혔다. KERIS는 자체 처리하는 개인정보 항목별로 명확한 목적과 정당한 처리 근거를 제시해야 하지만, 이 부분이 미흡했다는 지적을 받았다.

개인정보위는 AI 교과서 통합 포털을 운영하는 KERIS에 개인정보 항목, 목적, 보유 기간 등을 동의서 또는 처리방침을 통해 정보 주체에게 누락 없이 고지하라고 권고했다. 통합 DB에 관리되는 국가수준학습데이터셋에 대해서는 처리 항목·목적을 더 명확히 하라고 했다.

“연동된 시스템 보안, 지속 점검해야”

개인정보위는 교육부·KERIS가 마련한 개인정보 안전성 확보를 위한 검정심사(기술심사) 기준과 개발사 가이드라인이 클라우드 보안에 집중돼 있다고 지적했다. 보호법상 안전조치에 대한 고려가 미흡하다는 것이다.

더불어 AI 교과서 운영 참여자 간 시스템 연동 시 보안이 취약할 가능성이 있어 이에 대한 지속적 관리와 점검이 필요하다고 강조했다.

이와 함께 개인정보위는 KERIS와 각 개발사가 개인정보보호 관리체계(ISMS-P) 인증을 취득해 개인정보 안전성 확보조치 수준을 제고해야 한다고 권고했다. 통합 포털과 개발사 웹사이트 간 연동 구조를 고려해 양측이 공동으로 인증을 신청·취득·유지할 수 있는 방안을 마련하라고도 했다.

아울러 향후 AI 교과서 통합 포털이 보호법상 공공 시스템(집중관리시스템)으로 지정될 수 있어, 강화된 안전성 확보조치 의무를 준수해야 한다고 밝혔다. 집중관리시스템은 2개 이상 기관의 업무 처리를 위해 ‘정보 주체 수 100만명 이상’이거나 ‘취급자 수 200명 이상’ 혹은 ‘민감정보 처리’시 지정된다.

“보호법 관련 내용 반영하고 점검체계 마련”

개인정보위는 또 교육부가 AI 교과서를 심사할 때 참고하는 기준과 가이드라인에 보호법을 구체적으로 반영하고, 실제로 이 기준이 잘 지켜지는지 사후에 점검할 수 있는 체계를 마련하도록 권고했다.

AI 교과서 서비스를 운영하면서 수집·이용되는 개인정보가 명확한 법적 근거 아래 안전하게 처리되도록 하고, 이용자의 권리도 실질적으로 보호받을 수 있도록 할 것을 주문했다. KERIS와 개발사 등 각 기관이 개인정보 침해·유출이 발생했을 때 어떻게 대응할 것인지 포함해 역할과 책임을 명확히 나누는 체계를 갖추라고 권고했다.

이번에 개인정보위가 권고한 내용을 관련 기관이 10일 이내에 수용하면, 법적으로 시정 명령을 받은 것으로 간주된다. 이후 각 기관은 60일 이내에 해당 권고 사항을 어떻게 이행했는지 개인정보위에 보고해야 한다.

개인정보위 관계자는 “앞으로도 이러한 권고 사항이 제대로 이행되고 있는지를 지속적으로 점검할 계획”이라며 “교육부 등 관계 기관과 협력해 AI 교과서를 포함한 공교육 서비스가 더 안전한 환경에서 제공될 수 있도록 노력하겠다”고 밝혔다.