[보안뉴스 강현주 기자] 교육 당국이 인공지능 디지털교과서(AIDT) 개인정보 처리가 미흡하다며 시정 및 개선 권고를 받았다.

개인정보보호위원회(위원장 고학수)는 15일 이같은 내용의 ‘AIDT에 대한 개인정보 보호법 사전 실태점검’ 결과를 발표했다.


▲AIDT 서비스 흐름도 [자료: 개인정보보호위원회]

AIDT는 3월부터 운영된 공교육 서비스다. 학생별 학습 이력을 저장하고 개인 맞춤형 콘텐츠를 제공하기 때문에 개인정보를 안전하게 처리해야 한다. 개인정보위는 이 사업을 주관하는 교육부와 AIDT 통합포털 운영기관 한국교육학술정보원(KERIS), 과목별 AIDT 개발사 등을 대상으로 사전 실태 점검을 실시했다.

KERIS는 개인정보 처리의 적법성·투명성 관련 시정권고를 받았다. AIDT는 통합 포털 학습데이터 저장소에 학생별 콘텐츠 이용 내역을 통계 목적 등으로 저장한다. 이 때 처리하는 개인정보 항목과 목적을 분명히 제시하지 않은 점이 지적됐다.

개인정보위는 개인정보 항목과 목적, 보유기간 등을 정보 주체에게 누락 없이 고지하도록 시정 권고했다. 통합 DB에서 관리하는 국가수준학습데이터셋에 대해서도 처리 항목과 목적을 더 명확히 하라고 요구했다.

교육부는 제도 정비 및 정보 주체 권리 보호 관련 개선 권고를 받았다. AIDT의 검정심사 기준 및 가이드라인에 개인정보보호법 준수사항을 구체적으로 반영하라는 권고다. 이에 대한 사후 점검 체계도 함께 마련해야 한다.

개인정보위는 AIDT 내 개인정보가 더 명확한 적법 근거에 의해 안전하게 처리되고 정보 주체의 권리도 실질적으로 보호하라고 주문했다. 또 KERIS와 개발사 등 참여자들에게 침해나 유출 시 사고 수습 체계 등에 대한 역할과 책임을 부여하라고 개선 권고했다.

안전조치 의무는 교육부와 KERIS 모두 미흡했다. AIDT는 개인별·과목별 고유식별값(UUID) 체계와 국가정보원 보안 점검 실시, 클라우드 보안인증 획등 등 기본적 보안 조치가 돼 있었다.

하지만 개인정보 안전성 확보를 위한 검정심사 기준과 개발사용 가이드라인이 클라우드 보안에 치우쳐 있다. 참여자 간 시스템 연동 과정에서 보안이 취약할 가능성이 있어 이에 대한 지속 관리와 점검도 필요하다. 개인정보위는 KERIS에게 개발사와 함께 개인정보보호인증(ISMS-P) 인증을 취득하라며 개선 권고했다.

개인정보위 측은 “권고 사항에 대한 이행 여부를 점검하고 관계 기관과 협의해 더 안전한 환경에서 AI 디지털교과서 등 양질의 공교육 서비스를 제공하겠다”고 밝혔다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>