AI 학습 도구 속 개인정보 보호 논란... 교육현장 맹점 드러나

핵심 요약

- 학교 시험 대비 사교육 시장에서 '이름 비공개'만으로 개인정보 보호를 주장하지만, 재학교·학년·성적 등 간접식별정보로 재식별 가능 - AI 기반 학습 도구 확산으로 학생 학습 데이터가 대량 수집되나, 교육현장의 개인정보 보호 인식은 여전히 미흡한 수준 - 청소년 AI·코딩 교육 활성화 시대, 교육 데이터 수집·활용에 대한 명확한 가이드라인과 기술적 보호조치 강화 필요

주요 내용

2026년 현재 학교 시험 대비 사교육 시장에서 개인정보 보호가 형식적으로만 이뤄지고 있다는 우려가 제기되고 있다. 일부 학원과 온라인 교육 플랫폼은 '이름을 공개하지 않으니 개인정보를 보호한다'는 논리를 내세우지만, 개인정보보호법상 개인정보는 이름뿐 아니라 다른 정보와 결합해 특정 개인을 식별할 수 있는 모든 정보를 포함한다.

특히 재학 중인 학교, 학년, 성적, 수강 과목 등의 정보가 결합되면 충분히 개인을 특정할 수 있어 '가명정보' 또는 '개인정보'로 봐야 한다. 예를 들어 "○○고등학교 2학년 이과반 수학 상위 5% 학생"이라는 정보만으로도 해당 학교 내에서는 개인 식별이 가능하다. 이는 개인정보보호법 제2조의 개인정보 정의에 명확히 부합하며, 단순히 이름을 지웠다고 해서 개인정보 보호 의무에서 벗어날 수 없다.

더욱 심각한 문제는 AI 기반 학습 도구의 확산이다. 디지털새싹, 사이버가디언즈, Build with AI 등 청소년 AI·코딩 교육 프로그램이 활발히 진행되면서, ChatGPT를 비롯한 생성형 AI를 활용한 맞춤형 학습이 일반화되고 있다. 이 과정에서 학생들의 학습 패턴, 오답 유형, 취약 과목 등 민감한 학습 데이터가 대량으로 수집·분석되고 있으나, 이에 대한 적절한 보호조치는 미흡한 실정이다.

AI 학습 도구 제공업체들은 학습 효과 극대화를 위해 학생 데이터를 수집하지만, 데이터 보관 기간, 제3자 제공 여부, 학습 모델 훈련 활용 여부 등에 대한 투명한 공개가 부족하다. 특히 해외 서버에 데이터가 저장되는 경우 국외 이전에 대한 법적 근거와 보호자 동의 절차가 제대로 이행되지 않는 사례도 발견되고 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 교육 분야의 개인정보 보호는 단순히 이름 삭제나 마스킹만으로는 불충분하다. 개인정보보호법 제28조의2(가명정보의 처리 등)에 따르더라도, 가명처리된 정보를 통계작성, 연구, 공익적 기록보존 목적으로만 활용할 수 있으며, 영리 목적의 사교육 서비스에 무분별하게 활용하는 것은 법 위반 소지가 있다. 특히 청소년의 경우 정보주체 동의 시 법정대리인 동의가 필수이나, 이를 형식적으로만 처리하거나 생략하는 경우가 많아 법적 리스크가 크다.

AI 기반 교육 서비스 제공자는 ISMS-P 인증기준 중 '개인정보 수집·이용·제공' 및 '개인정보 처리단계별 보호조치' 요구사항을 철저히 준수해야 한다. 특히 학습 데이터를 AI 모델 훈련에 활용할 경우 별도의 명시적 동의가 필요하며, 데이터 최소 수집 원칙(개인정보보호법 제16조)에 따라 학습 목적 달성에 필요한 최소한의 정보만 수집해야 한다. 또한 재식별 방지를 위한 기술적 조치(k-익명성, l-다양성 등)를 적용하고, 정기적인 재식별 위험 평가를 실시해야 한다.

CPPG·ISMS-P 연계 포인트

1. 가명정보와 익명정보의 구분 (개인정보보호법 제2조, 제28조의2) - 가명정보: 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 정보. 여전히 개인정보로 분류되어 보호 의무 적용 - 단순히 이름을 삭제해도 학교·학년·성적 등 준식별자(Quasi-identifier)로 재식별 가능하면 가명정보에 해당하며, 통계·연구 목적 외 영리 활용 시 법 위반

2. 아동·청소년 개인정보 처리 시 법정대리인 동의 (개인정보보호법 제22조) - 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의 필수, 14세 이상도 민감정보 처리 시 추가 보호조치 필요 - ISMS-P 인증기준 2.3.2(개인정보 수집 시 동의)에 따라 동의 획득 절차의 적법성, 동의 내용의 명확성, 철회 방법 제공 등을 심사 시 중점 확인