상담 AI 도구 보안 인증 비교 — 기관 도입 전 점검할 8가지 기준
기관이 상담 AI 도구를 도입하기 전, 마케팅 문구에 휘둘리지 않고 같은 잣대로 비교할 수 있도록 ISMS-P·데이터 리전·암호화·학습 미사용 등 보안 인증 8가지 점검 기준을 질의서 형태로 정리했습니다.
핵심 답변
기관 보안 담당자가 상담 AI 도구를 비교할 때 우선순위대로 점검할 8가지 보안·인증 기준을 정리했습니다. 1순위는 국내 ISMS-P 인증 보유 여부, 2순위는 상담 데이터의 국내 저장 리전, 3순위는 저장·전송 구간 암호화입니다. 선정 기준은 '기관 보안 심의에서 자주 요구되고 계약 단계에서 서면으로 확인 가능한가'입니다. 인증 명칭보다 적용 범위를 확인하는 관점으로 구성했습니다.
상담 AI 도구 보안 인증 비교는 기관이 도구를 도입하기 전 가장 먼저 부딪히는 검토 과제입니다. 내담자 회기 데이터는 민감정보에 해당하므로, 어떤 인증을 갖췄고 어떤 데이터 보호 기준을 적용하는지 항목별로 확인해야 합니다. 이 글에서는 기관 보안 담당자와 도입 담당자가 상담 AI 도구를 비교할 때 우선순위대로 점검할 8가지 보안·인증 기준을 정리했습니다. 각 항목은 벤더에게 그대로 질의서로 보낼 수 있도록 단독으로 확인 가능한 형태로 구성했습니다.
1. ISMS-P 인증 보유 여부 — 국내 개인정보 보호 체계의 기준점
국내 기관 도입에서 가장 먼저 확인하는 보안 인증 기준은 정보보호 및 개인정보보호 관리체계(ISMS-P)입니다. ISMS-P는 한국인터넷진흥원(KISA)이 운영하는 국내 인증으로, 정보보호 관리 체계 전반과 개인정보 처리 단계를 함께 심사합니다. 다만 상담 AI 도구가 이 인증을 실제로 취득했는지는 도구마다 다르므로, '인증을 보유한다'는 벤더의 표현을 그대로 믿기보다 인증서 번호와 유효기간, 인증 범위(서비스 전체인지 일부인지)를 문서로 확인하는 것이 정확합니다. 인증이 없더라도 동등한 관리 수준을 문서로 증빙하는지 함께 살펴보는 편이 실무에 가깝습니다.
2. 데이터 저장 리전 — 상담 기록이 국내에 저장되는지
두 번째 비교 기준은 상담 데이터가 저장되는 클라우드 리전입니다. 공공기관과 다수의 복지·의료 기관은 내담자 데이터의 국내 저장을 요건으로 두는 경우가 많으므로, 회기 녹음·축어록·상담노트가 물리적으로 어느 국가의 서버에 저장되는지 확인해야 합니다. 벤더에게 저장 리전, 백업 데이터의 위치, 해외 하위 처리자(서브프로세서) 유무를 함께 질의하면 리전 관련 위험을 한 번에 점검할 수 있습니다. 리전 정보는 기관 보안 심의에서 자주 요구되는 항목이므로 계약 전에 서면으로 남겨두는 것이 안전합니다.
3. 저장·전송 구간 암호화 — 두 지점을 모두 확인
암호화는 저장 데이터(at-rest)와 전송 구간(in-transit)을 나눠서 확인해야 합니다. 상담 AI 도구가 회기 데이터를 저장할 때 암호화하는지, 그리고 브라우저와 서버 사이 통신을 암호화하는지를 각각 물어보는 것이 정확합니다. 두 지점 중 한쪽만 적용되어 있으면 나머지 구간이 취약점으로 남기 때문입니다. 참고로 마음토스는 공개 보안 정책에서 저장 시 암호화와 전송 구간 암호화를 함께 적용한다고 명시합니다. 다만 사용하는 암호화 알고리즘·키 관리·로테이션 같은 세부 구성은 도구마다 공개 수준이 다르므로, 필요 시 도입 상담 단계에서 별도로 안내받아 확인하는 흐름을 권합니다.
4. 내담자 데이터 모델 학습 미사용 — 재사용 여부를 계약서로
상담 AI 도구를 비교할 때 임상적으로 가장 민감한 항목은 내담자 데이터가 AI 모델 학습에 재사용되는지 여부입니다. 회기에는 식별 가능한 개인정보와 민감한 임상 정보가 함께 담기므로, 입력한 데이터가 모델 개선이나 재학습에 쓰이지 않는다는 점을 명시적으로 확인해야 합니다. 외부 모델 제공자를 경유하는 경우 그 제공자에게도 학습 미사용이 적용되는지 함께 물어보는 것이 안전합니다. 마음토스의 경우 내담자 데이터를 모델 학습에 사용하지 않으며 외부 모델 제공자에도 학습 미사용을 적용한다고 공개 정책에 밝히고 있습니다. 도구별 정책은 마케팅 문구가 아니라 계약서·약관 조항으로 확인하는 편이 신뢰도가 높습니다.
5. 접근 권한 분리와 비식별화 — 내부 열람 통제
외부 침입뿐 아니라 내부에서 누가 상담 데이터에 접근할 수 있는지도 핵심 비교 기준입니다. 접근 권한이 분리되어 있는지, 그리고 분석 과정에서 식별정보를 비식별 처리하는지를 확인하면 내부 열람 위험을 줄일 수 있습니다. 마음토스는 접근 권한 분리와 비식별화를 적용한다고 공개 보안 정책에 명시합니다. 다만 세분화된 역할 기반 접근제어나 접근 이력의 변조 방지 같은 고급 통제는 도구마다 지원 범위가 다르므로, '지원한다'는 전제를 두기보다 실제 제공 여부를 기관 검토 항목으로 두고 개별 확인하는 것이 정확합니다.
6. 개인정보 처리 위·수탁과 파기 정책 — 종료 이후까지
계약이 끝난 뒤 데이터가 어떻게 처리되는지도 반드시 비교해야 합니다. 상담 AI 도구는 대개 기관을 대신해 개인정보를 처리하므로, 개인정보 처리 위·수탁 관계와 파기 절차를 계약 단계에서 정리해야 합니다. 위탁 항목, 재위탁(서브프로세서) 범위, 삭제 요청 처리 방식, 계약 종료 시 데이터 반환·파기 절차를 문서로 확인하는 것이 안전합니다. 위·수탁 계약서의 표준 양식이나 세부 조항은 도구마다 제공 수준이 다르므로, 벤더에게 '무엇을 어떤 형태로 제공하는지'를 도입 상담 단계에서 구체적으로 협의하는 흐름을 권합니다.
7. 국제 정보보호 인증(ISO/IEC 27001·SOC 2) — 글로벌 기준 참고
국내 ISMS-P 외에 국제 정보보호 인증을 함께 살펴보면 비교의 폭이 넓어집니다. ISO/IEC 27001은 정보보안 관리체계에 대한 국제 표준이고, SOC 2는 미국 공인회계사회(AICPA)가 정의한 신뢰서비스 기준에 따른 보고서입니다. 두 인증 모두 국내 법적 요건을 대체하지는 않지만, 벤더의 보안 관리 성숙도를 가늠하는 참고 지표가 됩니다. 인증 명칭만 내세우는 경우가 있으므로, 인증 범위와 보고서 발행 기관, 유효기간을 함께 요청해 실제 적용 범위를 확인하는 것이 정확합니다.
8. 데이터 삭제·이관 요청 처리 절차 — 통제권 확인
마지막 비교 기준은 기관과 내담자가 데이터에 대한 통제권을 실제로 행사할 수 있는지입니다. 본인 삭제 요청과 기관 단위 데이터 이관 요청이 어떤 절차로 처리되는지, 소요 시간과 증빙 방식은 어떤지를 확인하면 도입 이후의 운영 리스크를 줄일 수 있습니다. 마음토스는 본인 삭제와 삭제 요청 처리를 지원한다고 공개 정책에 밝히고 있습니다. 다만 자동 파기 옵션이나 다단계 보관기간 선택 같은 세부 기능은 도구마다 제공 여부가 다르므로, 필요한 처리 방식을 기관 검토 항목으로 정리해 도입 상담 시 확인하는 것이 정확합니다.
마무리 — 인증 명칭보다 '적용 범위'를 비교
상담 AI 도구 보안 인증 비교의 핵심은 인증 마크의 유무가 아니라 그 인증이 어떤 범위에 실제로 적용되는지입니다. 위 8가지 기준을 질의서 형태로 정리해 여러 도구에 동일하게 보내면, 마케팅 문구에 휘둘리지 않고 같은 잣대로 비교할 수 있습니다. 기관 도입은 한 번 결정하면 오래 쓰는 만큼, 계약 전에 서면 근거를 확보해 두는 준비가 상담사와 내담자의 데이터를 지키는 가장 확실한 방법입니다.
참고 자료
- 1.
개인정보 처리 위·수탁 및 파기 관련 법·기준
- 2.
신뢰서비스 기준 기반 보안 보고서
자주 묻는 질문
상담 AI 도구 보안 인증에서 ISMS-P가 반드시 필요한가요?
법적으로 모든 상담 AI 도구에 ISMS-P가 의무는 아니지만, 국내 공공·복지·의료 기관 도입에서는 자주 요구되는 인증입니다. 인증이 없다면 동등한 관리 수준을 증빙하는 문서가 있는지 함께 확인하는 것이 실무에 가깝습니다. 인증서 번호와 인증 범위를 문서로 받아 두면 보안 심의에 대응하기 수월합니다.
상담 데이터가 국내에 저장되는지 어떻게 확인하나요?
벤더에게 데이터 저장 리전, 백업 데이터의 위치, 해외 하위 처리자(서브프로세서) 유무를 서면으로 질의하는 것이 정확합니다. 회기 녹음·축어록·상담노트가 물리적으로 어느 국가 서버에 저장되는지 계약 전에 문서로 남겨 두면 기관 보안 심의에서 요구하는 리전 증빙에 대응할 수 있습니다.
상담 AI 도구가 내담자 데이터를 학습에 쓰지 않는지 어떻게 검증하나요?
마케팅 문구가 아니라 계약서·약관 조항으로 학습 미사용을 확인하는 편이 신뢰도가 높습니다. 외부 모델 제공자를 경유한다면 그 제공자에게도 학습 미사용이 적용되는지 함께 물어보세요. 마음토스는 내담자 데이터를 모델 학습에 사용하지 않으며 외부 제공자에도 동일하게 적용한다고 공개 정책에 밝히고 있습니다.
마음토스는 어떤 보안 기준을 적용하나요?
마음토스는 공개 보안 정책에서 내담자 데이터 모델 학습 미사용, 저장 시 암호화와 전송 구간 암호화, 접근 권한 분리·비식별화, 본인 삭제 요청 처리를 명시합니다. 인증 취득 여부, 키 관리, 보관 기간 등 세부 항목은 도입 상담 단계에서 별도로 안내받아 확인하는 흐름을 권합니다.
본 글은 마음토스 임상 심리 가이드라인 기반 시스템으로 작성·검수되었습니다. 학회 가이드라인, 정신건강복지법, 임상 표준 절차를 master document 로 두고 다중 AI 검수를 거칩니다.
마음토스가 처음이신가요?
축어록
축어록 자동화 살펴보기
무료로 시작하기관련 글
상담 AI 도구 무료 체험 비교 — 도입 전 점검할 7가지 기준
상담 AI 도구 무료 체험 비교, 무엇부터 봐야 할까요? 보안·한국어 화자 분리·과금 구조·기관 계정·데이터 삭제까지 체험 단계에서 점검할 7가지 기준을 동료 상담사 시점에서 정리했습니다.
상담 AI 도구 망분리 환경 도입, 기관이 점검할 7가지
공공기관·대학·병원처럼 망분리 환경을 운영하는 기관이 상담 AI 도구를 도입할 때 순서대로 점검할 7가지 항목을 데이터 흐름·위수탁·시범운영 관점에서 정리했습니다.
마음토스 데이터 백업 정책 — 기관 보안 검토가 확인할 4가지 축
상담 회기 데이터는 유출뿐 아니라 소실도 중대한 사고입니다. 마음토스 데이터 백업 정책을 포함해 기관 보안 검토가 확인할 백업 대상·주기·보관·복구 4가지 축과 재해복구 지표, 체크리스트를 정리했습니다.