개인정보위, AI교과서 점검…"KERIS·개발사에 ISMS-P 취득 권고"

실시간
뉴스

e비즈*솔루션

개인정보위, AI교과서 점검…"KERIS·개발사에 ISMS-P 취득 권고"

디지털데일리 발행일 2025-05-15 12:00:00

김보민 기자

URL복사

14일 서울 종로구 정부서울청사에서 열린 2025년 제11회 개인정보보호위원회 전체회의. [ⓒ개인정보보호위원회]

[디지털데일리 김보민기자] 개인정보보호위원회(이하 개인정보위)가 인공지능 디지털교과서(이하 AIDT)에 대한 사전 실태점검 결과를 발표했다. 한국교육학술정보(KERIS)와 각 개발사를 대상으로 ISMS-P 인증을 취득할 것을 개선권고 했는데, 시장 활성화를 막는 장애 요인이 아닌 서비스 초기에 취약점을 보완할 수 있는 계기가 될 것으로 전망했다.

개인정보위는 제11회 전체회의를 열고 AIDT에 대한 개인정보보호법 사전 실태점검 결과를 심의 및 의결했다고 15일 밝혔다. 사전 실태점검은 개인정보보호 분야에서 취약점을 점검해 침해 위험을 사전에 예방하는 제도로, 법 위반사항이나 개선이 필요한 사항에 대해 시정 또는 개선권고를 하는 것이 특징이다.

이번 점검은 주관부처인 교육부를 비롯해 AIDT 통합포털 운영기관 KERIS, 출판사(개발사)를 대상으로 진행됐다. 개발사의 경우, 시스템 구조 및 처리되는 정보가 유사해 총 12개사 중 3개사만 점검을 받았다. 이날 브리핑을 진행한 전승재 개인정보위 조사3팀장은 "점유율 순으로 상위 3개 사업자를 대상으로 했다"며 "초기 단계 점검인 점을 고려해 개발사에 대해 직접 시정권고 및 개선권고를 하지 않고, 관리 감독 주체인 교육부와 KERIS 쪽에 권고를 하고 있다"고 밝혔다.

개인정보위는 안전조치 의무와 관련해 교육부와 KERIS에게 개선권고를 내렸다. AIDT는 개인 및 과목별 교육식별값(UUID) 체계를 갖추고, 국가정보원 보안점검과 클라우드보안인증(CSAP)을 획득하는 등 기본 보안 조치를 구비하고 있는 것으로 확인됐다. 다만 검정심사 기준과 개발사용 가이드라인이 클라우드 보안에 치우쳐 있어, 보호법상 안전조치에 대한 고려가 미흡했다고 개인정보위는 설명했다. 아울러 시스템연동(API 연계 등) 과정에서 보안이 취약할 가능성이 있어 관리와 점검이 필요하다고 강조했다.

개인정보위는 KERIS와 각 개발사가 ISMS-P 인증을 취득해 개인정보 안전성 확보 조치 수준을 제고할 것을 개선권고했다. ISMS-P는 정보보안 및 개인정보 보호를 위한 일련의 조치와 활동이 인증 기준에 적합한다는 점을 증명하는 제도다.

일각에서는 인증을 취득해야 한다는 점이 AIDT 시장 활성화를 저해할 수 있다는 지적이 제기된다. KERIS와 교과서 개발업체는 ISMS 의무 대상이 아니다. 이와 관련해 전 팀장은 "ISMS는 보안 측면의 인증이고 개인정보보호 체크리스트가 추가된 인증이 ISMS-P"라며 "ISMS를 기보유한 기관이 ISMS-P 인증을 취득하려고 하면 중복되는 체크리스트를 갈음하는 형태로 신청 기관의 부담을 최소화할 것"이라고 말했다.

이어 "해당 인증이 없다고 하면, 교육부가 교과서 검증 과정에서 학습 콘텐츠가 적절한지, 개인정보 처리가 적절하게 이뤄지는지 직접 점검해야 한다"며 "ISMS-P 인증을 취득하면, 인증심사원들이 해당 부분을 미리 봐줄 수 있어 전체적인 부담이 경감되는 효과가 있을 것"이라고 부연했다.

개인정보위는 개인정보 처리 적법성 및 투명성과 관련해 KERIS에 시정권고를 내리고, 제도 정비 및 정보주체 권리 보호에는 교육부에 개선권고를 내렸다. 개인정보위의 시정권고를 10일 이내 수락하면 시정명령을 받은 것으로 간주되고, 이행 결과를 60일 이내 개인정보위에 알려야 한다.