당신은 오늘도 학교의 AI에게 질문했다.
모르는 개념을 물었고, 과제의 방향을 잡아달라고 했으며, 어쩌면 교과 추천이나 진로 관련 문의를 남겼다. AI는 친절하게 답했다. 그런데 그 대화가 어디에 저장되는지, 누가 볼 수 있는지, 해외 서버를 거쳤는지 — 이 질문을 제기한 언론은 아직 없다. 아무도 말해주지 않았다.
첨단과 편의의 이름 아래
국내 대학들이 빠르게 움직이고 있다. 2025년 말, UNIST는 자체 GPU 서버를 캠퍼스 안에 직접 구축하고 오픈소스 대형언어모델(LLM, 대규모 텍스트 학습 기반 AI)을 활용한 생성형 AI 플랫폼 '유니아이(UNIAI)'를 공개했다. 국내 대학이 외부 서비스를 빌리지 않고 스스로 AI 인프라를 완성한 첫 사례다.
같은 시기 부산대는 ChatGPT, Gemini 등 외부 AI 서비스를 하나로 묶은 통합 포털 '산지니 AI'를 시범 오픈했다. 두 대학 모두 'AI 캠퍼스'라는 같은 이름을 달고 출발했다. 그러나 구조는 전혀 다르다.
같은 이름, 다른 경로
UNIST 유니아이는 하이브리드 구조로 운영된다. 보안이 중요한 연구·행정 데이터는 캠퍼스 내부 서버에서 처리하고, 일반 교육 실습은 마이크로소프트 등 외부 클라우드 모델을 활용한다. 연구 자료나 학사 정보 등 민감한 데이터는 내부 서버에서 안전하게 처리되도록 역할을 분리한 것이다.
반면 부산대 산지니 AI는 ChatGPT, Gemini, Claude 등 외부 상용 AI 서비스를 포털로 통합한 구조다. 학생이 산지니 AI를 통해 질문을 입력하면, 그 내용은 해당 기업의 서버를 거친다. 데이터의 경로가 다르다는 것은 단순한 기술 선택의 차이가 아니다. 학생 데이터를 누가, 어디서, 어떻게 처리하는가의 문제다.
질문되지 않은 질문
학습 과정에서 AI에게 전달되는 데이터는 생각보다 민감하다. 단순 검색어가 아니다. 부산대 산지니 AI만 봐도 교과·비교과 추천 요청, 과제 방향 질문, 진로 관련 문의 등 학생의 학습 흐름 전반이 입력된다. 이 데이터가 OpenAI나 Google의 서버에서 처리될 때 적용되는 것은 한국 개인정보보호법이 아니라 해당 기업의 서비스 이용약관이다.
대학이 외부 AI 서비스와 맺는 API(응용 프로그래밍 인터페이스, 두 소프트웨어가 서로 통신하는 방식) 계약에는 데이터 처리 조항이 포함되어 있지만, 그 세부 내용이 학생에게 공개적으로 확인되지 않는 경우가 많다. AI 서비스 이용에 동의하는 것이 학습 데이터의 해외 이전에 동의하는 것과 같은지 — 아직 아무도 묻지 않은 질문이다.
속도가 앞서고 원칙이 뒤따른다
문제는 구조에 있다. 교육부의 2026년 AID(AI·디지털 전환 지원) 사업은 전문대학 24개에 총 240억 원을 투입해 AI 인프라 도입을 지원한다. 그러나 이 사업 어디에도 데이터 주권 설계를 요구하는 조항은 없다. 개인정보보호위원회 역시 대학 AI 서비스에 특화된 데이터 처리 가이드라인을 아직 내놓지 않았다.
국내 언론이 '국내 최초', '국립대 첫 구축' 타이틀 경쟁을 보도하는 동안, 데이터가 어디로 가는지에 대한 논의는 시작조차 되지 않았다. UNIST처럼 자체 인프라와 클라우드를 분리 운영하는 방식은 높은 비용과 기술 장벽으로 인해 대부분의 대학이 선택하기 어렵다. 현실적으로 외부 API 의존 구조를 선택하는 경우가 많은 상황에서, 그에 따른 최소한의 안전장치와 공개 기준이 없다는 것이 문제의 핵심이다.
신뢰가 없으면 도구도 없다
AI가 학생의 진짜 동반자가 되려면 먼저 신뢰의 기반이 있어야 한다. 그 기반은 세 가지 질문에서 시작된다. 나의 데이터는 어디에 저장되는가. 제3자에게 제공되는가. 내가 열람하거나 삭제를 요청할 수 있는가. 유럽의 일반개인정보보호법(GDPR)은 데이터 처리 목적의 명확한 고지와 동의를 의무화하는 원칙을 교육 기관에도 적용하고 있다.
한국의 현실과는 아직 거리가 있다. AI는 더 깊은 사유와 창의를 돕는 도구가 될 수 있다. 그러나 그 도구가 무엇을 수집하고 어디로 보내는지 알 수 없다면, 학생은 그것을 온전히 신뢰할 수 없다. 신뢰 없는 도구는 결국 쓰이지 않거나, 아무 생각 없이 쓰인다. 둘 다 교육이 원하는 결과가 아니다.
[용어 사전]
▪️LLM (대형언어모델): 방대한 텍스트 데이터를 학습해 자연어를 이해하고 생성하는 AI 모델. ChatGPT, Gemini 등이 대표적이다.
▪️온프레미스 (On-Premises): 데이터와 소프트웨어를 외부 클라우드가 아닌 조직 내부 서버에서 직접 운영하는 방식. 데이터가 외부로 나가지 않아 보안에 유리하다.
▪️RAG (검색증강생성): AI가 답변을 생성할 때 외부 문서나 데이터베이스를 실시간으로 검색해 정확도를 높이는 기술. UNIST 유니아이에서 학내 규정·지침·문서 검색에 활용한다.
▪️API (응용 프로그래밍 인터페이스): 두 소프트웨어가 서로 통신하고 기능을 주고받는 연결 방식. 대학이 외부 AI 서비스를 가져다 쓸 때 API를 통해 연결한다.
▪️GDPR (일반개인정보보호법): 유럽연합이 2018년 시행한 개인정보 보호 법률. 데이터 처리 목적 고지, 동의 획득, 삭제 요청권 등을 의무화하는 원칙이 교육 기관에도 적용된다.
[Q & A]
Q. 대학이 외부 AI 서비스를 쓰면 내 데이터가 무조건 해외로 가는 건가?
A. 반드시 그런 것은 아니다. 대학이 API를 어떻게 계약했느냐에 따라 다르다. 일부 기업은 기업 전용 계약에서 데이터를 학습에 활용하지 않는다고 명시하기도 한다. 문제는 그 계약의 세부 내용이 학생에게 공개적으로 확인되지 않는 경우가 많다는 것이다.
Q. 자체 구축 방식이 더 안전하다면 왜 모든 대학이 그렇게 하지 않나?
A. 고성능 GPU 서버 구축 비용과 이를 운영할 전문 인력이 필요하다. UNIST처럼 이공계 연구중심 대학은 인프라와 인력이 상대적으로 갖춰져 있지만, 일반 대학에는 높은 장벽이다. UNIST조차 완전 자체 구축이 아닌 내부 서버와 외부 클라우드를 병행하는 하이브리드 방식을 택했다.
Q. 학생으로서 내 데이터를 보호하려면 어떻게 해야 하나?
A. 우선 자신이 사용하는 대학 AI 서비스가 어떤 구조인지 학교 측에 직접 물어볼 수 있다. 개인정보 처리 방침을 확인하고, 민감한 개인 정보나 연구 자료는 외부 API를 통하는 서비스에 입력하지 않는 것이 현실적인 방법이다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}