웅진씽크빅 정보보호 투자 4년간 33% 감소…AI 교육 플랫폼 시대 역행 우려
실적 부진을 겪고 있는 웅진씽크빅의 정보보호 투자액이 4년 새 33% 급감한 것으로 나타났다. AI 기반 에듀테크 확산으로 개인정보보호 투자 확대가 필요한 시점에 역행하는 행보라는 지적이다.
https://privacynews.kr/s/b10fca핵심 요약
- 웅진씽크빅, 최근 4년간 정보보호 투자액 33% 감소…실적 부진에 따른 IT 투자 축소 영향 - AI·디지털 학습 플랫폼 확산으로 학생 개인정보 처리량 급증하는 상황에서 투자 감소는 리스크 증대 요인 - 전사 개인정보보호 교육·보안장비 점검 등 기본 활동은 유지 중이나, 투자 축소가 중장기 보안 역량에 미칠 영향 주목주요 내용
2026년 교육업계는 ChatGPT 기반 학습 도구, AI 튜터링 시스템 등 생성형 AI 기술이 본격 도입되면서 디지털 전환이 가속화되고 있다. 이에 따라 학생들의 학습 데이터, 행동 패턴, 개인 성향 정보 등 민감한 개인정보 처리량이 기하급수적으로 증가하고 있는 상황이다. 특히 미성년자 정보를 다루는 교육 기업의 경우 정보통신망법과 개인정보보호법상 법정대리인 동의, 최소 수집 원칙 등 더욱 엄격한 보호 의무를 준수해야 한다.
그러나 웅진씽크빅은 최근 4년간 정보보호 투자액을 33% 감축한 것으로 확인됐다. 회사 측은 실적 부진에 따른 전반적인 IT 투자 축소의 일환이라고 설명하고 있으나, 업계에서는 시기적으로 부적절한 결정이라는 평가가 나온다. 특히 2025년부터 본격 시행되고 있는 AI 기본법 체제 하에서 AI 시스템의 안전성·신뢰성 확보를 위한 투자는 필수적인 만큼, 비용 절감 명목의 투자 축소는 향후 규제 리스크로 이어질 수 있다.
다만 웅진씽크빅은 전사 개인정보보호 교육, 월별 보안장비 점검, 악성메일 모의훈련 등 기본적인 정보보호 활동은 지속하고 있는 것으로 파악된다. 내부감사 체계를 통해 개인정보 처리 현황을 모니터링하고, 임직원 대상 보안 인식 제고 활동을 유지하는 점은 긍정적이다. 그러나 이러한 운영 차원의 활동만으로는 AI 기반 학습 플랫폼이 생성하는 새로운 유형의 보안 위협에 대응하기 어렵다는 것이 전문가들의 공통된 의견이다.
교육 플랫폼에서 AI 코드 생성 도구를 활용하는 이른바 '바이브 코딩(Vibe Coding)' 방식이 개발 현장에 확산되면서, 자동 생성된 코드의 보안 취약점이 새로운 리스크로 부상하고 있다. LLM(대규모 언어모델)이 생성한 코드에는 SQL 인젝션, 인증 로직 누락, 경쟁 조건(Race Condition) 등 전형적인 취약점이 포함될 수 있으며, 이를 검증 없이 프로덕션 환경에 적용할 경우 대규모 개인정보 유출로 이어질 수 있다.
전문가 시각
ISMS-P 선임심사원 관점에서 볼 때, 정보보호 투자 감소는 단순한 비용 절감을 넘어 기업의 정보보호 거버넌스 의지를 보여주는 신호다. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준에서는 최고경영자의 의지와 자원 배분이 핵심 평가 요소다. 특히 관리체계 수립 및 운영(1.1.1) 항목에서는 정보보호 목표 달성을 위한 적절한 예산과 인력 배정을 요구하고 있다. 투자 감소가 지속될 경우 차기 인증 심사에서 부적합 판정을 받을 가능성도 배제할 수 없다.
에듀테크 환경에서는 바이브 코딩을 통한 빠른 기능 개발과 보안성 확보 간의 균형이 특히 중요하다. AI가 생성한 학생 데이터 처리 코드에 접근 통제 로직 누락이나 암호화 미적용 문제가 있다면, 개인정보보호법 제29조(안전조치의무) 위반으로 직결된다. 실무에서는 ① AI 생성 코드에 대한 필수 보안 체크리스트 적용 ② SAST(정적 애플리케이션 보안 테스트) 도구를 통한 자동 검증 ③ 개인정보 처리 로직에 대한 수동 코드 리뷰 의무화 등 다층 검증 체계를 구축해야 한다. 투자 축소 국면에서도 이러한 핵심 보안 프로세스만큼은 반드시 유지되어야 한다.
CPPG·ISMS-P 연계 포인트
1. 정보보호 최고책임자(CISO)의 자원 확보 책임 (ISMS-P 1.1.2) ISMS-P 인증 기준 1.1.2(정보보호 최고책임자 지정)에서는 CISO가 정보보호 활동에 필요한 인력·예산 등 자원을 확보할 책임을 명시한다. 투자 감소가 CISO의 의사결정이 아닌 경영진 판단이라 해도, CISO는 리스크 평가 결과를 바탕으로 필요 자원을 요구하고 부족 시 경영진에게 이를 보고할 의무가 있다.
2. 안전한 소프트웨어 개발 보안 (ISMS-P 2.8.3) 바이브 코딩 환경에서는 ISMS-P 2.8.3(개발 보안) 통제 항목이 더욱 중요해진다. AI 자동 생성 코드를 사용하는 경우에도 시큐어 코딩 가이드 적용, 소스 코드 보안 약점 점검, 변경 사항에 대한 보안성 검토가 필수적이다. 특히 개인정보 처리 모듈은 개발·테스트·운영 단계 전반에서 보안 검증을 거쳐야 하며, LLM이 생성한 코드라는 이유로 검증을 생략해서는 안 된다.


![[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1779457815719-co7f98.jpg)