PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

1.4조 투입 AI 디지털교과서, 개인정보보호 쟁점으로 법정 다툼…AIDT 사업 재검토 필요성 제기

2023년 시작된 AI 디지털교과서 사업이 개인정보 보호 문제 등으로 손해배상 소송에 휘말렸다. 1.4조원 세금이 투입된 맞춤형 교육 사업의 개인정보 처리 체계와 보안 검증 미비가 쟁점으로 부상했다.

백남정 기자
입력 2026년 6월 27일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/a1e6bb

핵심 요약

- 2023년 6월 출범한 AI 디지털교과서(AIDT) 사업이 3년 만에 손해배상 소송 등 법적 분쟁에 직면 - 1.4조원 세금 투입 사업임에도 개인정보 보호, 검정 기준, 보안 인프라 등 핵심 쟁점 미해결 - 감사원 지적과 함께 학습데이터 수집·처리 과정의 개인정보보호 거버넌스 부재 문제 부각

주요 내용

교육부가 2023년 6월 발표한 'AI 디지털교과서 추진방안'에 따라 본격화된 AIDT(AI Digital Textbook) 사업이 2026년 현재 법적 분쟁에 휘말리며 사업 타당성 재검토 논란에 직면했다. 총 1.4조원의 세금이 투입된 이 사업은 학생 맞춤형 교육을 표방했으나, 개인정보 보호 체계 미비, 교사 연수 부족, 기기 인프라 불균형, 구독료 예산 문제 등이 복합적으로 지적되고 있다.

특히 개인정보보호 관점에서 치명적 문제가 제기됐다. AI 디지털교과서는 학생의 학습 패턴, 오답률, 접속 시간, 집중도 등 민감한 학습 행동 데이터를 실시간 수집·분석한다. 이 과정에서 개인정보 수집 동의 절차, 아동·청소년 정보 처리의 법정대리인 동의 요건, 데이터 보유·파기 정책, 제3자 제공 범위 등이 명확히 설계되지 않았다는 지적이다. 더욱이 교육 플랫폼 특성상 다수 민간 사업자가 콘텐츠를 공급하면서 개인정보 처리 책임 소재가 불명확한 구조적 한계도 드러났다.

감사원은 해당 사업에 대한 감사를 진행하며 여러 문제점을 지적한 것으로 알려졌다. 검정 기준의 모호함으로 인해 교과서 품질 검증이 제대로 이뤄지지 않았고, 교사 연수 프로그램도 형식적 수준에 그쳤다는 평가다. 또한 AI 알고리즘의 편향성 검증, 학습 추천 로직의 투명성 확보, 보안 취약점 점검 등 기술적 검증 절차도 부실했던 것으로 파악됐다.

이번 손해배상 소송은 대규모 공공 AI 사업에서 개인정보보호와 AI 거버넌스가 사후 대응이 아닌 사업 설계 단계부터 핵심 요소로 고려돼야 함을 보여주는 사례다. 2024년 시행된 AI기본법이 요구하는 신뢰할 수 있는 AI 원칙, 특히 투명성·설명가능성·안전성 요건이 제대로 준수됐는지도 재검토 대상이 될 전망이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 AIDT 사업의 핵심 문제는 '개인정보 영향평가(PIA)'와 '알고리즘 영향평가'를 사업 초기에 실시하지 않았다는 점이다. 특히 만 14세 미만 아동의 개인정보를 대량 처리하는 시스템임에도 개인정보보호법 제22조의2(아동의 개인정보 보호)에 따른 별도 보호조치가 미흡했다. 학습 데이터는 단순 학업 성적을 넘어 인지 패턴, 정서 상태까지 추론 가능한 민감정보로 분류될 수 있으며, 이를 AI 모델 학습에 활용할 경우 프로파일링 및 자동화된 의사결정에 해당해 더욱 엄격한 법적 요건이 적용된다.

실무 대응 방안으로는 첫째, 전체 AIDT 시스템에 대한 포렌식 수준의 개인정보 처리 실태 조사가 선행돼야 한다. 둘째, 각 교과서 공급사별 개인정보 처리 위탁 계약 재검토 및 ISMS-P 인증 의무화가 필요하다. 셋째, 학부모·학생 대상 명확한 정보 제공 및 재동의 절차를 거쳐야 하며, 넷째, AI 알고리즘 편향성 검증 및 설명가능성 확보를 위한 독립적인 제3자 검증 체계를 구축해야 한다. 공공 AI 사업일수록 개인정보보호와 AI 윤리는 선택이 아닌 필수 전제 조건임을 명심해야 한다.

CPPG·ISMS-P 연계 포인트

1. 개인정보 영향평가(Privacy Impact Assessment, PIA) 대규모 개인정보 처리 시스템 도입 전 개인정보 침해 위험요인을 사전 분석·평가하는 절차. 특히 5만 명 이상 정보주체의 민감정보를 처리하는 AIDT 같은 시스템은 개인정보보호법 시행령 제35조에 따라 영향평가 의무 대상이며, 아동 정보 처리 시 강화된 평가 기준 적용 필요.

2. 아동 개인정보 보호 특례 (개인정보보호법 제22조의2) 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의 필수. 교육 서비스 특성상 대량의 아동 학습 데이터를 처리하는 경우, 동의 절차의 실효성 확보, 아동 친화적 개인정보 처리방침 제공, 데이터 최소 수집 원칙 준수가 ISMS-P 인증심사 핵심 점검 항목에 해당.

#AI디지털교과서#AIDT#개인정보보호#교육부#감사원
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

인공지능 기사 더 보기 →
개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
AI 기반 보안 파트너 ‘패스파이’, 2026 ISMS-P 정예 체험단 1 기 모집... 자격증 합격 이끈다
ISMS-P

AI 기반 보안 파트너 ‘패스파이’, 2026 ISMS-P 정예 체험단 1 기 모집... 자격증 합격 이끈다

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일