(서울=뉴스1) 이기림 기자 = 지난 3월부터 운영 중인 '인공지능(AI) 디지털교과서'(AIDT)가 미흡한 개인정보 처리방침 고지 등으로 시정권고를 받았다.

15일 정부에 따르면 개인정보보호위원회는 전날(14일) 제11회 전체회의를 열고 AIDT에 대한 개인정보 보호법 사전 실태점검 결과를 심의·의결했다.

AIDT 서비스는 종이 교과서와 다르게 학생별 학습 이력을 데이터베이스화해 저장하고 개인 맞춤형 콘텐츠를 제공하는 등 개인정보 처리가 필요하다.

개인정보위는 이에 AIDT의 개인정보 침해여부를 점검하고자 주관부처인 교육부, 통합포털 운영기관인 한국교육학술정보원(KERIS), 개발사인 출판사를 대상으로 사전 실태점검을 진행했다.

점검결과를 토대로 개인정보위는 KERIS에 개인정보 처리의 적법성·투명성 관련 시정권고를 했다.

AITD는 개인정보 처리 관련 명확한 근거 법령이 없어 개인정보 보호법상 정보주체의 동의, 계약이행을 위한 처리 등을 근거로 개인정보를 처리하고 있다.

이 경우 개인정보 처리동의서, 개인정보 처리방침 등에 각각 처리하는 개인정보의 항목, 목적, 보유기간 등을 정보 주체가 알 수 있도록 투명하게 기재해야 하는데 일부 사항의 기재가 누락된 사실이 발견됐다.

일례로 민원처리 과정에서 수집·이용·제공되는 항목인 연락처, 상담내용 등에 대한 고지 누락 등이 발생했다.

또한 AIDT 통합포털 내부에 학습데이터 저장소가 구축돼 있는데, 학생별 학습콘텐츠 이용내역 데이터가 저장되고 있다. 문제는 학생 개개인의 상세한 학습 정보가 쌓일 경우 개인정보자기결정권 침해 우려가 있다.

KERIS는 최소한의 정보를 선정해 정당한 처리이익을 제시해야 하지만 이 부분도 미흡한 부분이 확인됐다.

개인정보위는 교육부와 KERIS에 안전조치 의무 관련 개선 권고도 내렸다.

AIDT는 개인별·과목별 고유식별값 체계를 갖추고 국가정보원 보안점검 및 클라우드 보안인증(CSAP) 획득하는 등 기본적 보안 조치는 구비하고 있었다.

그러나 개인정보 안전성 확보를 위한 검정심사 기준과 개발사용 개발가이드라인이 클라우드 보안 측면에 치우쳐 있어 보호법상의 안전조치에 대한 고려가 미흡한 것으로 나타났다.

참여자 간 시스템 연동(API 연계 등)과정에서의 보안이 취약할 가능성이 있어 이에 대한 지속적 관리와 점검도 필요한 것으로 확인됐다.

개인정보위는 KERIS와 각 개발사가 ISMS-P 인증을 취득해 개인정보 안전성 확보조치 수준을 제고하되, 통합포털과 개발사 웹사이트 간 연동구조를 고려해 양측이 공동으로 인증을 신청·취득·유지할 수 있는 방안을 마련하도록 개선 권고했다.

ISMS-P는 정보보안 및 개인정보 보호를 위한 일련의 조치와 활동이 인증 기준에 적합함을 증명하는 제도다.

이외에도 AIDT의 전반적인 개인정보 보호 체계 강화를 위해 교육부에 AIDT 검정심사 기준 및 가이드라인에 보호법 준수사항을 구체적으로 반영하도록 하고, 사후 점검 체계도 함께 마련하도록 했다.

교육부에는 AIDT 서비스 운영시 처리되는 개인정보가 보다 명확한 적법 근거에 의해 안전하게 처리되고 정보주체의 권리가 실질적으로 보호될 수 있도록 하고, 각 참여자에게 역할·책임을 부여하는 체계를 마련하도록 권고하기도 했다.

lgirim@dqdt.shop