[250517] AI교과서, 개인정보 처리 ‘미흡’...개보위, 시정·개선 권고

 

지난 해 12월, AI 서비스 활성화에 따른 개인정보 보호 방안을 제안하는 아이디어 공모전 출전하여 AI가 사용자의 프롬프트 내용을 바탕으로 민감정보를 수집하지 않고도 추론해낼 수 있다는 점에 대하여 아이디어를 제시하였던 적이 있다. 그에 따른 해결방안으로 기업은 처리항목 및 목적을 더욱 명확히 명시하여야 한다는 점을 지적하였다. 그리고 오늘 이 기사를 읽게 되었고 그 당시 문제점으로 생각하였던 점이 실제로 시정 권고를 받았다는 점에서 매우 실현성 있는 제안이었다는 점을 깨닫게 되었다. 

 

실제로 AI가 사용자의 개인정보를 수집함에 따라 사용자의 개인정보를 추론하게 되는 것에 대해서 모두 민감하게 지적해야할 필요가 있다고 생각한다. 뿐만 아니라 해당 기사의 내용과 같이, AI 시스템의 보안에 대해 클라우드의 적극 도입 및 제도적/기술적 보호조치가 이전보다 강화되어야 한다고 생각한다. 

---

 

핵심 내용 요약

1. AIDT(인공지능 디지털교과서)의 개인정보 처리 미흡, 개선 권고

• 개인정보보호위원회는 AIDT의 개인정보 처리 실태를 점검한 결과, 적법성과 투명성 측면에서 미비점을 발견하고 교육부 및 관련 기관에 시정·개선 권고를 내림.
• 학생 개개인의 학습 이력을 저장하고 맞춤형 콘텐츠를 제공하는 구조이지만, 개인정보 항목, 처리 목적, 보유 기간 등을 명확히 고지하지 않아 법적 기준 미달.

▲AIDT 서비스 흐름도 [자료: 개인정보보호위원회]

 

2. 교육부와 KERIS 모두 제도/보안 기준 미흡

• 교육부에는 개인정보보호법 준수사항을 AIDT 심사 기준에 명확히 반영하고 사후 점검 체계를 마련할 것을 권고.
• KERIS는 개인정보보호인증(ISMS-P) 취득과 참여 개발사들의 역할·책임 명확화 등 개선이 필요하다는 지적을 받음.

3. 클라우드 중심 보안 체계의 한계

• AIDT는 UUID 기반 식별, 국가정보원 보안 점검, 클라우드 보안 인증 등 일부 조치는 취했으나,
• 시스템 연동과 참여자 간 통신 구간에 대한 보안이 미흡해 전반적인 보안 안정성 확보에는 부족함.

---

이 기사를 읽고 느낀 점

AI 기술이 공교육 시스템에 적극 도입되고 있다는 점은 고무적이지만, 그만큼 개인정보 보호의 중요성도 커지고 있음을 실감했다. 특히 학생들의 학습 데이터는 민감 정보일 수 있으므로, 그에 걸맞은 법적·기술적 보호 장치가 반드시 병행되어야 한다는 생각이 들었다. AI 기술 도입이 빠르게 이루어지는 지금, 보안과 윤리 기준이 후속적으로 따라오지 않으면 기술 신뢰도가 무너질 수 있다는 점에서 우려를 느꼈다.

---

시사점 및 활용 방안

1. 개인정보 보호는 AI 기반 공교육의 신뢰 기반이 되어야 한다

• 학생 데이터는 민감도가 높은 만큼, AI 도입 이전에 법적 근거와 고지 체계를 철저히 마련해야 함.
• AIDT 같은 공공 서비스는 기술 도입 속도보다 투명한 처리 원칙 수립이 우선돼야 함.

2. AI 시스템 보안은 클라우드 외에도 전방위로 강화되어야 한다

• 단순히 클라우드 보안 인증에 의존하는 것이 아닌, 참여 주체 간 연동 과정 전반에 대한 보안 점검 체계 필요.
• ISMS-P 등 인증 도입을 통해 시스템 전반의 보안 수준을 제고할 수 있음.

3. 제도와 기술이 함께 가야 진정한 ‘안전한 AI 교육’이 가능하다

• 검정 기준, 개발 가이드라인, 교육자·개발자 역할 규정 등 실무적 제도 정비가 반드시 병행되어야 함.
• 단기적 대응보다 장기적으로 개인정보 보호 체계를 내재화하는 방향이 중요함.

 

 

출처: https://www.boannews.com/media/view.asp?idx=137274 보안뉴스 강현주 기자님