개인정보위, AI 디지털교과서 사전 실태점검 결과 발표

- KERIS에 "개인정보 처리방침 및 동의서 구체화, 정보주체 권리행사 명확화" 시정권고

- 교육부에 "AI 교과서 검정 심사기준 및 개발가이드라인에 보호법상 안전조치의무 반영" 개선권고 등

- 추후 보호법상 '집중관리시스템'에 포함하여 강화된 안전조치 의무 부과키로 

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 5월 14일(수) 제11회 전체회의를 열고, 'AI 디지털교과서(이하 'AIDT')'에 대한 개인정보 보호법(이하 '보호법') 사전 실태점검* 결과를 심의·의결하였다.

   * 사전 실태점검 : 개인정보 보호의 취약점을 선제적으로 점검하여 침해 위험을 사전에 예방하는 제도로, 법 위반사항 및 개선 필요사항 발견 시 시정 또는 개선권고(보호법 제63조의2)

  □ 점검 배경

  지난 3월부터 운영 중인 AIDT 서비스는 종이 교과서와 다르게 학생별 학습 이력을 데이터베이스화하여 저장하고 개인 맞춤형 콘텐츠를 제공하는 등 개인정보 처리가 필요하다. 이에 개인정보위는 AIDT의 개인정보 침해여부를 점검하고자 서비스 제공에 관여하는 기관*들을 대상으로 사전 실태점검을 진행하였고, 주요 점검 결과는 다음과 같다.

   * 교육부(주관부처), 한국교육학술정보원(AIDT 통합포털 운영기관, 이하 'KERIS'), 출판사(각 과목 'AIDT 웹' 서비스 제공·운영, 이하 '개발사') 대상이며, 개발사의 경우 시스템 구조 및 처리되는 정보가 유사하여 총 12개사 중 3개사를 대표 사례로 점검

  □ 사전 실태점검 결과 주요 사항

  ① 개인정보 처리의 적법성·투명성 관련 : 시정권고(KERIS)

  첫째, AIDT의 경우 개인정보 처리 관련 명확한 근거 법령이 없어, 보호법 상의 정보주체의 동의, 계약이행을 위한 처리 등을 근거로 개인정보를 처리하고 있다. 

  이런 경우, 개인정보 처리동의서, 개인정보 처리방침 등에 각각 처리하는 개인정보의 항목, 목적, 보유기간 등을 정보 주체가 알 수 있도록 투명하게 기재하여야 하나, 일부 사항의 기재가 누락 된 사실이 발견되었다.

   ▸(미흡사례) 민원처리 과정에서 수집·이용·제공되는 항목(연락처, 상담내용 등)에 대한 고지 누락 등 발생

  둘째, AIDT 통합포털(KERIS) 내부에는 학습데이터 저장소(HUB)가 구축되어 있는데, 여기에는 각 개발사로부터 제공받은 학생별 학습콘텐츠 이용내역 데이터*(이하 '국가수준학습데이터셋')가 통계목적(통합 대시보드 구성 등) 또는 향후 인공지능 기반 학습분석 목적 등을 위해 저장되고 있었다.

   * 학습시간, 성취수준, 진도율, 접속시간, 커뮤니티 참여도 등(참고2)

  이처럼 학생 개개인의 상세한 학습(행동) 정보가 통합 DB(데이터베이스)에 쌓일 경우 개인정보자기결정권 침해 우려가 있으므로, 보호법에 따라 처리하고자 하는 필요 최소한의 정보를 선정하여 처리되는 개인정보 항목별 명확한 목적 등 정당한 처리이익을 제시해야 하지만 이 부분이 미흡하였다. 

   ▸(미흡사례) 점검결과, 현재('25년 상반기) 기준 국가수준학습데이터셋은 단순 통계분석(예: AIDT 통합포털 내 진도율, 성취도 등 대시보드 구성) 목적으로 활용 중이며, 향후('25년 하반기~) 활용계획(AI 학습분석 등)에서도 처리되는 항목 및 구체적 처리 목적을 불분명하게 제시

  이에, 개인정보위는 AIDT 통합포털을 운영하는 KERIS에게 개인정보 항목, 목적, 보유기간 등을 동의서 또는 처리방침을 통해 정보주체에게 누락 없이 고지토록 하고, 특히, 통합 DB에 관리되는 국가수준학습데이터셋에 대해서는 처리 항목 및 목적을 보다 명확히 할 것을 시정 권고 하였다.

  ② 안전조치 의무 관련 : 개선 권고(교육부, KERIS)

  첫째, AIDT는 개인별·과목별 고유식별값(UUID*) 체계를 갖추고 국가정보원 보안점검 및 클라우드 보안인증(CSAP)**을 획득하는 등 기본적 보안 조치는 구비하고 있었다. 

   * UUID(Universally Unique Identifier): 이용자ID(중복가입확인정보)+개발사(과목)ID+타임스탬프 조합으로 구성된 36자리 숫자로서, 개인별·과목별 고유값

  ** AIDT 참여 개발사의 경우 검정요건에 CSAP 인증(서비스형 소프트웨어(SaaS) 인증 중등급) 획득이 의무 사항임

  그러나, 개인정보 안전성 확보를 위한 검정심사(기술심사) 기준과 개발사용 개발가이드라인이 클라우드 보안 측면에 치우쳐 있어, 보호법상의 안전조치에 대한 고려가 미흡한 것으로 나타났다. 

  둘째, 참여자 간 시스템 연동(API 연계 등)과정에서의 보안이 취약할 가능성이 있어 이에 대한 지속적 관리와 점검이 필요한 것으로 확인되었다. 

  이에, 개인정보위는 KERIS와 각 개발사가 ISMS-P* 인증을 취득하여 개인정보 안전성 확보조치 수준을 제고하되, 통합포털과 개발사 웹사이트 간 연동구조를 고려하여 양측이 공동으로 인증을 신청·취득·유지할 수 있는 방안을 마련하도록 개선 권고하였다.

   * ISMS-P : 정보보안 및 개인정보 보호를 위한 일련의 조치와 활동이 인증 기준에 적합함을 증명하는 제도로 안전성확보조치 개인정보 처리단계별 요구사항 등을 점검(보호법 32조의2)

  아울러, AIDT 통합포털의 경우 보호법상 공공시스템(집중관리시스템)*으로 추후 지정될 수 있으므로 이에 대해 요구되는 강화된 안전성확보조치 의무를 준수하도록 개선 권고하였다. 

   * 집중관리시스템 요건 : 2개 이상 기관의 업무처리를 위해 ▲정보주체수 100만이상 or ▲취급자수 200명 이상 or 민감정보 처리(개인정보의 안전성 확보조치 기준 제14조 관련)

  ③ 제도 정비 및 정보주체 권리보호 : 개선권고(교육부)

  마지막으로 AIDT의 전반적인 개인정보 보호 체계 강화를 위해 교육부에 AIDT 검정심사 기준 및 가이드라인에 보호법 준수사항을 구체적으로 반영하도록 하고 이에 대한 사후 점검 체계도 함께 마련하도록 하였다. 

  또한, AIDT 서비스 운영시 처리되는 개인정보가 보다 명확한 적법 근거에 의해 안전하게 처리되고 정보주체의 권리가 실질적으로 보호될 수 있도록 하고, 각 참여자(KERIS, 개발사 등)에게 역할·책임(침해·유출 시 사고수습 체계 포함)을 부여하는 체계를 마련하도록 개선 권고하였다.

  □ 향후계획

  각 기관이 개인정보위의 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되며(보호법 제63조의2), 시정권고 및 개선권고에 대한 이행 결과를 60일 이내에 개인정보위에 알려야 한다. 

  향후 개인정보위는 시정권고 및 개선권고 사항에 대한 이행 여부를 지속 점검하고 그 과정에서 교육부 등 관계 기관과 협의를 통해 보다 안전한 데이터 환경에서 'AI 디지털 교과서'를 포함한 양질의 공교육 서비스가 제공될 수 있도록 계속 노력할 예정이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사3팀 임덕진(02-2100-3154)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”