메뉴

도교육청 ‘아이톡톡’ 개인정보 관리 허점

노치환 의원, 도교육청 행정감사서

“개인정보 영향평가 미이행” 지적

기사입력 : 2022-12-04 20:43:55

경남도교육청이 빅데이터·인공지능 학습플랫폼인 ‘아이톡톡’의 구축 과정에서 학생들의 개인정보 침해 위험성을 줄이기 위해 요구된 ‘개인정보 영향평가’를 실시하지 않은 것으로 드러났다.

도교육청은 “평가를 받아야 하는 사용자 수에 도달하지 않아 할 필요가 없다”고 주장하고 있지만 개인정보 보호 심의·의결기관인 개인정보보호위원회는 이와 상반되는 해석을 해 도교육청이 자의적으로 법을 해석해 학생들의 개인정보 보호 의무를 저버렸다는 비판이 나온다.

지난달 30일 제400회 경남도의회 정례회 기간 열린 제3차 교육위원회 회의에서 의원들이 의안을 심의 의결하고 있다./도의회/
지난달 30일 제400회 경남도의회 정례회 기간 열린 제3차 교육위원회 회의에서 의원들이 의안을 심의 의결하고 있다./도의회/

지난 2일 경남도의회와 경남도교육청 등에 따르면 2021년 3월 정식 운영을 시작한 ‘아이톡톡’은 현재까지 개인정보보호법이 규정한 ‘개인정보 영향평가’를 실시하지 않고 있다.

개인정보 영향평가란 공공기관의 장이 개인정보파일의 운용으로 정보주체의 개인정보 침해가 우려되는 경우 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다. 평가 대상은 △구축·운용 또는 변경하려는 개인정보파일로서 5만명 이상 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반될 경우 △구축·운용하는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축·운용하는 다른 개인정보파일과 연계하려는 경우로 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함될 경우 △구축·운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일이 운용될 경우 등이다. 아이톡톡은 두 번째 경우에 해당된다.

‘아이톡톡의 개인정보 영향평가 미실시’ 지적은 지난 11월 3일 열린 도의회 교육위원회의 2022년도 도교육청 행정사무감사서 처음 나왔다. 당시 노치환(비례, 국민의힘) 의원은 “2020년 초 아이톡톡을 만들기 위해 수립한 정보화전략계획에 보면 개인정보보호를 위해 수행해야 하는 활동 및 관계 법령·지침에 ‘개인정보 영향평가의 이행’이라고 돼 있고, 이를 근거로 작성된 경남형 미래교육지원플랫폼(아이톡톡) 구축 용역 제안서에도 같은 내용이 적혀 있다. 그래서 결과 보고서를 달라 했더니 ‘해당사항 없다’고 답변을 주셨다”라고 지적했다.

이에 도교육청이 “개인정보보호위원회에서 조건이 되면 영향평가를 하라고 매년 5~6월에 공문이 오는데 아이톡톡의 사용자가 아직 그만큼 안돼서 실시하지 않았다”고 답변하자, 노치환 의원은 “그럼 1억 들인 정보화전략계획이 잘못됐다는 것이냐. 계획을 수립한 업체는 이 프로그램이 개인정보를 끌어모으는 것이니 침해가 염려돼 영향평가를 하라고 했을텐데 이를 무시했다”고 재차 질타했다.

지난 2일 개인정보보호위원회에 확인한 결과 도교육청의 주장은 근거가 없는 것으로 확인됐다. 개인정보보호위원회 자율보호정책과에 따르면 개인정보 영향평가 대상자는 ‘현재 정보주체 수’가 아닌 ‘향후 운용할 예측치’를 기준으로 한다. 구축 과정에서 50만명 이상 정보주체의 개인정보파일이 운용될 것으로 예상된다면 평가를 실시하는 게 맞다는 해석이다.

도교육청에 따르면 올해 10월 기준 아이톡톡 정보주체(사용자)는 도내 교원과 학생, 일반직 및 교육공무직원, 학부모까지 총 44만여명으로 추산되며, 2026년 이내 정보주체가 50만명을 초과할 것으로 예상된다. 당초 아이톡톡은 학생들의 학습 데이터를 축적해 맞춤형 교육서비스를 제공하는 것을 목적으로 한 미래교육 지원플랫폼으로 지속적인 사용을 목표로 제작된 프로그램인 것도 영향평가 당위성을 뒷받침한다.

행정감사 이전에 박동철(창원14, 국민의힘) 의원 또한 ‘아이톡톡 개인정보 관리 부실’을 지적한 바 있다. 이에 도교육청이 학생들의 개인정보가 안전하다는 취지로 설명했던 ‘암호화된 가명정보’라는 아이톡톡 수집 정보의 형태 역시 영향평가 불이행의 근거가 되지 않는 것으로 확인됐다.

개인정보보호위원회 관계자는 “가명정보도 개인정보 안에 포함된다. 처음 프로그램을 구상할 당시 몇 년 안에 정보주체가 어느 정도에 도달한다는 결론을 예측했을 것이고, 50만명이 넘을 것이라고 예상됐다면 영향평가를 받는 게 맞다”고 설명했다.

김현미 기자 hmm@knnews.co.kr

< 경남신문의 콘텐츠는 저작권법의 보호를 받는 바, 무단전재·크롤링·복사·재배포를 금합니다. >
  • 김현미 기자의 다른 기사 검색