김현주 기자
학습 분석과 교육 데이터 활용에서 드러나는 소유권과 윤리의 문제와 대안. 이미지=미리캔버스제작
[한국의정신문 김현주 기자]
AI와 디지털 전환이 학교 현장에 깊숙이 들어오면서, 학생 한 명 한 명의 학습 데이터가 ‘새로운 자원’으로 주목받고 있다. AI 디지털 교과서, 학습관리시스템(LMS), 온라인 평가, 에듀테크 기업의 AI 튜터 등은 학생들의 학습 기록과 반응, 참여 패턴을 정밀하게 수집한다. 그러나 이 과정에서 반드시 따라붙는 질문이 있다. 바로 “학생의 데이터는 누구의 것인가?”라는 문제다.
최근 한국에서는 AI 디지털 교과서가 ‘교과서’로서의 법적 지위를 인정받지 못해, 단순한 교육자료 수준으로만 활용되도록 결정되었다. 이는 제도적 혼선을 해소한다는 측면이 있지만, 오히려 본질적인 쟁점을 흐리게 할 위험이 크다. 교과서 여부를 떠나, 이미 학생 데이터는 LMS, 온라인 시험 플랫폼, 디지털 학습 앱 등 다양한 채널을 통해 방대하게 축적되고 있기 때문이다. 특히 AI 기반 시스템은 데이터를 단순 기록 차원을 넘어, 알고리즘 학습과 맞춤형 피드백 제공의 핵심 자원으로 삼고 있다. 결국 논의의 초점은 ‘AI 교과서 인정 여부’에 갇히기보다, 학생 개인 데이터의 활용과 보호를 어떻게 균형 있게 다룰 것인가라는 더 본질적인 과제로 옮겨져야 한다.
국내 현실을 보면, 교사와 학부모들은 학생 데이터가 어디에 저장되고, 어떻게 활용되는지 명확히 알기 어렵다. 민간 플랫폼에서 수집된 데이터가 상업적 목적으로 활용될 수 있다는 우려도 꾸준히 제기되어 왔다. 반면, 데이터의 잠재적 가치도 무시할 수 없다. 학습 패턴을 정밀하게 분석하면 학생 개별 맞춤형 지원이 가능하고, 국가 차원의 교육격차 해소에도 기여할 수 있기 때문이다. 즉, 데이터는 ‘위험’이자 동시에 ‘기회’라는 양면성을 갖는다.
이 지점에서 한국의 정책 대응은 아직 초기 단계에 머물러 있다. 2025년 AI 디지털 교과서 시범사업 중단, 국가 차원의 학습관리시스템(LMS) 통합 추진 등이 진행되고 있지만, 학생 데이터 주권 보장에 관한 법적·윤리적 장치는 충분히 마련되지 않았다. 미국과 EU는 데이터 소유권과 활용 범위를 법제화하고, 학부모와 학생에게 데이터 접근권과 삭제권을 부여하는 제도를 강화하고 있는 반면, 한국은 여전히 ‘플랫폼 중심 활용’과 ‘정부 주도 관리’ 사이에서 방향성을 찾지 못한 모습이다.
결국 학생 데이터 문제는 교과서 제도의 법적 틀을 넘어, 국가 차원의 데이터 거버넌스와 교육적 철학을 어떻게 세울 것인지로 귀결된다. 지금 필요한 것은 데이터의 상업적 이용을 철저히 차단하면서도, 공공성과 학습권을 강화하는 제도적 장치다. 이를 통해 학생의 데이터가 교육 혁신의 원동력이 되면서도, 학생 스스로 데이터 주권을 인식하고 존중받을 수 있는 미래 교육 환경이 마련될 수 있을 것이다.
한국에서도 학생 데이터 보호와 활용을 둘러싼 제도적 논의가 점차 강화되고 있다. 개인정보보호법(PIPA)은 데이터 주체에게 강력한 통제 권한을 부여하며, 특히 ‘데이터 이동권(data portability)’을 명시해 학생이 자신의 데이터를 다른 서비스로 이전하거나 통제할 수 있는 권리를 법적으로 보장한다. 또한 개인정보위원회는 공공기관이 보유한 데이터를 교육·행정에 활용하면서도, 개인의 프라이버시를 침해하지 않도록 공정한 활용과 보호의 균형을 맞추는 정책을 추진하고 있다. 이는 원칙적으로 학생 데이터의 주권을 학생과 학부모에게 돌려주려는 제도적 장치라 할 수 있다.
그러나 실제 교육 현장에서의 제도적 운영은 여전히 미흡하다. 대표적으로 NEIS(교육행정정보시스템)는 학생과 교사의 기본 정보를 중앙에서 일괄 관리하지만, 데이터 활용이 주로 행정 관리와 성적 평가에 국한되어 있다. 학부모나 학생이 자신의 데이터 흐름을 추적하거나 활용 방식을 선택할 수 있는 구조는 사실상 부재하다. 즉, 법적으로는 권리를 보장하면서도 현실적 플랫폼과 행정 구조에서는 이를 구현하지 못하는 ‘법-현실 간 괴리’가 나타나고 있는 것이다.
미국의 경우 FERPA(Family Educational Rights and Privacy Act)가 학생 데이터 보호의 핵심 제도다. FERPA는 학부모와 만 18세 이상 학생에게 △학생 기록 열람권 △정정 요구권 △데이터 공개 제한권을 부여한다. 특히 학교가 제3자와 데이터를 공유할 경우 학부모·학생의 동의가 필수적이며, 이를 위반하면 연방정부 지원이 중단될 수 있다. 이처럼 FERPA는 데이터 활용보다 ‘접근과 통제’에 방점을 두고 있으며, 학생과 학부모가 데이터 관리의 실질적 주체로 참여할 수 있는 권리 구조를 보장하고 있다.
EU는 GDPR(General Data Protection Regulation)을 통해 학생 데이터 보호를 포함한 전반적 개인정보 관리 체계를 강화했다. GDPR은 △데이터 접근권 △정정권 △삭제권(‘잊힐 권리’) △처리 제한권 △데이터 이동권을 명문화하며, 교육 분야에도 동일하게 적용된다. 학교나 교육 플랫폼은 학생 데이터 활용 목적과 방식에 대해 명확한 사전 고지와 동의 절차를 거쳐야 하며, 위반 시 고액의 과징금이 부과될 수 있다. 또한 GDPR은 데이터 최소화 원칙을 강조하여, 교육적 목적 달성에 불필요한 데이터 수집을 제한하고 있다.
이와 비교할 때 한국은 아직 제도적 방향성을 확립하지 못한 과도기적 단계에 놓여 있다. PIPA가 법적으로 강력한 틀을 제공함에도 불구하고, 실제 교육 데이터 활용은 여전히 정부 주도 관리와 민간 플랫폼 의존 사이에서 불안정하게 움직이고 있다. 미국처럼 학생·학부모의 실질적 참여권을 보장하거나, EU처럼 위반 시 강력한 제재를 가하는 장치가 부족하다. 또한 학부모·학생이 직접 데이터 활용 여부를 선택하거나 거부할 수 있는 구체적 권리가 충분히 보장되지 않는다.
결국 한국은 FERPA처럼 권리 보장을 강화하면서도, GDPR처럼 제재와 책임성을 분명히 할 필요가 있다. 다만 두 제도의 장단점을 그대로 가져올 수는 없다. 한국은 교육 환경, 행정 체계, 디지털 격차 등 특수성을 고려해 참여형과 책임형 거버넌스를 상황별·수준별로 조합해야 한국의 교육 데이터 거버넌스가 공공성과 신뢰성을 확보할 수 있을 것이다.
단계별·수준별 적용 방안
학생 데이터 활용을 둘러싼 거버넌스는 일률적으로 접근할 수 없다. 데이터의 성격과 위험도에 따라 참여형과 책임형의 비중을 달리하는 단계적 접근이 필요하다.
우선 기초 단계에서는 참여형 원칙을 우선시하는 것이 바람직하다. 출석, 과제 제출, 학습 시간과 같이 비교적 민감성이 낮은 일반 학습 데이터의 경우, 학생과 학부모가 데이터의 흐름을 손쉽게 확인할 수 있도록 권리를 보장해야 한다. 예컨대 “이 데이터가 어떻게 활용되는지”를 직관적으로 보여주는 데이터 대시보드를 LMS나 디지털 교과서 안에 탑재하는 것이다. 이를 통해 학생과 학부모는 자연스럽게 데이터 활용 과정을 이해하고, 주체적 학습 설계에 참여할 수 있다.
그러나 시험 결과나 학업 성취도 분석과 같이 한 단계 더 민감한 데이터의 경우에는 참여와 책임을 동시에 적용하는 중간 단계 관리가 필요하다. 학교나 교육청 차원에서 데이터 관리 책임자(Data Steward)를 두어 감독 기능을 강화하고, 동시에 학생과 학부모가 삭제나 정정 요청을 할 수 있는 참여 창구를 마련하는 것이다. 이처럼 책임형 장치를 통해 안전망을 구축하면서도, 참여형 제도를 통해 학습 당사자의 권리를 존중하는 균형 구조를 만들어야 한다.
마지막으로 생체 정보, 감정 분석, 뇌파와 같이 고위험 데이터를 다루는 경우에는 참여형보다 책임형 통제가 우선되어야 한다. 법률로 활용 목적을 엄격히 제한하고, 반드시 필요한 경우를 제외하고는 수집 자체를 최소화해야 한다. 이는 유럽연합 GDPR에서 강조하는 ‘데이터 최소화 원칙’과 같은 맥락이다. 익명 처리와 보안 강화는 물론, 수집 자체에 높은 기준을 두어야 한다.
결국, 데이터 활용을 단계별로 나누어 참여형과 책임형을 적절히 배치하는 방식은 단순한 기술적 문제가 아니라 사회적 신뢰를 확보하는 과정이다. 교육 현장에서 학생과 학부모가 데이터 흐름을 투명하게 보고 통제할 수 있어야 하고, 동시에 법적·제도적 장치는 민감 데이터가 무분별하게 남용되는 것을 확실히 막아야 한다. 이는 곧 ‘학생 중심 데이터 정의(正義)’를 구현하는 길이며, AI 시대 교육이 신뢰 속에서 뿌리내리도록 하는 기반이 된다.
정책적 대응 방안은 무엇보다 실질적인 제도와 문화의 변화에서 출발해야 한다. 첫째, 교육 데이터의 투명성과 책임성을 확보하기 위해 교육부와 시도교육청 단위에서 독립적인 데이터 거버넌스 위원회를 설치할 필요가 있다. 이 위원회는 단순히 관리·감독에 그치는 것이 아니라, 데이터가 어떤 경로를 통해 수집되고 활용되는지를 주기적으로 점검하고, 문제 발생 시 신속하게 대응하는 역할을 맡아야 한다.
둘째, 민간 기업과의 협력 구조 역시 투명해야 한다. AI 튜터나 학습 애플리케이션 같은 민간 서비스는 필연적으로 학생 데이터를 다루게 되는데, 그 과정에서 데이터 소유권과 활용 목적, 보관 및 파기 절차가 명확히 규정되어야 한다. 이를 위해 학부모와 학생 대표가 직접 참여하는 감독위원회를 두고, 정기적으로 계약 이행 상황을 점검하는 제도가 마련되어야 한다.
셋째, 제도적 장치만큼 중요한 것은 학생 스스로 데이터 권리를 이해하고 행사할 수 있도록 하는 교육이다. 중·고등학교 교육과정에 디지털 리터러시와 데이터 권리 교육을 포함해, 학생들이 자신의 학습 데이터가 어떻게 쓰이고 있으며 어떤 권리를 행사할 수 있는지를 알게 해야 한다. 이는 학생을 데이터 보호의 수동적 대상이 아니라 능동적 주체로 세우는 과정이기도 하다.
마지막으로, 국가 차원에서 표준화된 관리 모델을 도입하는 것도 필요하다. 영국이 국가학생데이터베이스(NPD)에서 채택한 ‘파이브 세이프(Five Safes)’ 모델은 안전한 데이터, 안전한 사람, 안전한 프로젝트, 안전한 환경, 안전한 산출물이라는 다섯 가지 원칙을 통해 데이터 활용의 신뢰성을 높여왔다. 한국 역시 이를 토대로 우리 상황에 맞는 표준 관리 체계를 구축해야 한다. 그래야만 데이터 활용이 무분별한 상업화로 흐르지 않고, 공익적 목적 속에서 학생의 권리와 학습 효과가 동시에 보장될 수 있다.
학생 데이터는 단순한 기록이 아니라, 학생의 성장 궤적이자 미래를 설계하는 기초다. 그렇기에 데이터 활용의 중심은 언제나 학생 자신이어야 한다. 한국은 FERPA의 참여형 구조와 GDPR의 책임형 구조를 단계별·수준별로 차등 적용함으로써, “보호와 활용”의 균형을 찾아야 한다.
데이터는 학생의 권리이자 사회적 자산이다. 학생이 주체로 참여하고, 제도가 책임 있게 관리하며, 사회가 투명하게 신뢰를 보장할 때 비로소 교육의 공정성과 정의가 살아난다. AI 시대의 미래교육은 단순히 기술을 도입하는 것이 아니라, 학생의 데이터 주권을 지켜내는 민주적 거버넌스 위에서만 가능하다. 그것이 한국 교육이 지금 당면한 가장 중요한 과제이자, 다음 세대를 위한 약속이다.
