상담 데이터 클라우드 리전 — 기관 도입 전 보안팀이 확인할 기준
상담 데이터 클라우드 리전은 회기 기록이 어느 나라에 저장되는지를 결정하며, 적용 법령과 위탁 계약 조건을 좌우합니다. 기관 보안팀이 도입 전 확인할 리전·암호화·국외 이전 기준을 정리했습니다.
이 글의 핵심
상담 데이터 클라우드 리전은 회기 녹음·축어록 같은 민감정보가 저장되는 물리적 위치로, 적용 법령과 위탁 계약 조건을 결정합니다. 이 글은 리전 개념, 개인정보보호법상 국외 이전 기준, 기관 보안팀이 확인하는 저장 위치·암호화·접근 권한·파기·학습 사용 여부 5가지, 그리고 인증과 정책 문서를 근거로 신뢰를 판단하는 방법을 동료 실무자 시선에서 정리합니다.
상담 데이터 클라우드 리전, 왜 기관 도입의 첫 질문이 되었나
상담 데이터 클라우드 리전은 최근 기관에서 상담 도구를 검토할 때 가장 먼저 나오는 보안 질문 중 하나입니다. 리전(region)은 클라우드 사업자가 서버를 물리적으로 두는 지리적 위치를 말하며, 회기 녹음·축어록·사례 기록 같은 민감정보가 "어느 나라, 어느 데이터센터에 저장되는가"를 결정합니다. 기관 보안팀과 법무 담당자는 이 위치 하나로 적용되는 법령과 위탁 계약의 조건이 달라지기 때문에 신중하게 봅니다.
이 글에서는 클라우드 리전의 개념, 상담 데이터에서 리전이 더 민감한 이유, 개인정보보호법상 국외 이전 기준, 그리고 기관 보안팀이 도구 도입 전에 확인하는 항목을 동료 실무자의 시선에서 정리합니다. 인증 보유 여부를 단정하기보다, 어떤 기준으로 따져봐야 하는지에 초점을 둡니다.
클라우드 리전이란 무엇이고, 상담 데이터에서 왜 더 민감한가
클라우드 서비스는 데이터를 사업자의 데이터센터에 보관합니다. 같은 서비스라도 서울 리전에 저장되느냐, 해외 리전에 저장되느냐에 따라 데이터에 적용되는 관할 법률과 물리적 접근 통제 환경이 달라집니다.
상담 데이터는 일반적인 업무 데이터보다 한 단계 더 무겁게 다뤄집니다. 회기 내용에는 정신건강 상태, 가족 관계, 과거 외상 등 「개인정보 보호법」상 민감정보에 해당하는 항목이 포함되는 경우가 많기 때문입니다. 민감정보는 수집·저장·이전 단계마다 별도 동의와 강화된 보호 조치가 요구됩니다. 따라서 리전 선택은 단순한 인프라 결정이 아니라 법적 의무와 직결되는 문제로 보고됩니다.
개인정보보호법과 국외 이전 — 리전 선택의 법적 기준
데이터가 해외 리전에 저장되면 「개인정보 보호법」상 개인정보 국외 이전 규정이 적용될 수 있습니다. 기관이 위탁 형태로 상담 도구를 쓸 때 확인해야 할 핵심은 다음과 같습니다.
- 국외 이전이 발생하는지, 발생한다면 정보주체(내담자)에게 이전 사실·국가·목적을 고지하고 동의를 받았는지
- 위탁 계약서에 처리 위탁 항목, 보관 기간, 파기 절차가 명시되어 있는지
- 이전받는 국가의 보호 수준과 재이전(서브 위탁) 통제가 계약에 반영되어 있는지
국내 리전만 사용하면 국외 이전 고지·동의 부담이 줄어드는 경우가 많아, 공공기관과 의료·복지 법인은 국내 리전 저장을 요구 조건으로 두는 사례가 늘고 있습니다. 다만 리전 위치만으로 모든 의무가 면제되는 것은 아니므로, 계약서 조항과 실제 처리 흐름을 함께 검토하는 것이 안전합니다.
기관 보안팀이 클라우드 리전을 검토할 때 확인하는 5가지
보안 의사결정자가 상담 도구의 데이터 리전을 평가할 때 실무에서 자주 묻는 항목을 정리하면 다음과 같습니다.
- 저장 리전 위치: 회기 데이터와 백업이 국내 리전에 저장되는지, 국외 리전으로 복제되는지
- 전송 구간 보호: 업로드·다운로드 구간 암호화(전송 중 암호화)와 저장 시 암호화(저장 데이터 암호화) 적용 여부
- 접근 권한 분리: 운영 인력의 데이터 접근이 권한별로 분리·기록되는지, 최소 권한 원칙이 적용되는지
- 보관·파기 정책: 분석 후 원본 오디오·파일의 보관 기간과 자동 파기 옵션 유무
- 학습 사용 여부: 내담자 데이터가 모델 학습에 사용되지 않는다는 점이 계약·정책 문서로 확인되는지
이 다섯 가지는 인증 마크의 유무보다 실제 데이터 흐름을 드러내기 때문에, 제안서나 보안 문답서에서 구체적인 답변을 요청하는 편이 좋습니다.
인증과 정책 문서 — 무엇을 근거로 신뢰를 판단하나
기관 검토에서 ISMS-P 같은 정보보호 인증은 신뢰의 한 축이 됩니다. 다만 인증 보유 여부는 발급 기관(예: 한국인터넷진흥원)과 사업자의 인증서로 직접 확인하는 것이 원칙이며, 마케팅 문구만으로 단정하지 않는 것이 안전합니다. 인증이 다루는 범위와 갱신 시점, 적용 서비스가 실제 도입 대상과 일치하는지까지 보는 것이 좋습니다.
인증과 별개로, 사업자가 공개하는 데이터 처리방침과 보안 정책 문서는 리전·암호화·접근 통제·파기 정책을 한눈에 비교할 수 있는 1차 자료입니다. 보안 문답서를 보낼 때는 "국내 리전 저장 여부", "학습 미사용 명문화", "백업 리전" 세 가지를 명시적으로 질문하면 비교가 수월합니다.
마음토스의 데이터 처리 방향
마음토스는 상담사를 위한 AI 파트너로서, 회기 데이터 처리에서 저장 전 암호화·접근 권한 분리·내담자 데이터 모델 학습 미사용을 정책으로 두고 있습니다. 도구가 이런 정책을 갖추면, 기관 담당자는 보안 검토 단계에서 확인해야 할 항목을 문서로 빠르게 대조할 수 있어 도입 논의의 시간을 줄일 수 있습니다. 리전·암호화·파기 정책의 세부는 마음토스 보안 정책 페이지에서 확인할 수 있습니다.
도입 전, 동료 담당자에게 권하는 정리
상담 데이터 클라우드 리전은 "국내냐 해외냐"의 단순 선택이 아니라, 적용 법령·암호화·접근 통제·파기·학습 사용까지 묶어 보는 종합 판단입니다. 도입을 검토하신다면 보안 문답서에 리전 위치와 백업 리전, 학습 미사용 명문화를 먼저 질문지로 만들어 두시기를 권합니다. 검토 기준을 명확히 세워 두면, 어떤 도구를 비교하더라도 흔들림 없이 판단하실 수 있을 것입니다.
참고 자료
- 1.
개인정보 보호법 및 국외 이전 관련 기준 안내
- 2.보건복지부정부
정신건강·상담 관련 정책 및 민감정보 처리 가이드
자주 묻는 질문
상담 데이터 클라우드 리전은 국내와 해외 중 어느 쪽이 안전한가요?
리전 위치만으로 안전성이 결정되지는 않습니다. 다만 국내 리전에 저장하면 개인정보 국외 이전에 따른 고지·동의 부담이 줄어드는 경우가 많아, 공공·복지 기관은 국내 리전을 요구 조건으로 두는 사례가 늘고 있습니다. 리전 위치와 함께 암호화, 접근 통제, 파기 정책을 같이 검토하는 것이 안전합니다.
해외 리전을 쓰면 개인정보보호법상 어떤 의무가 생기나요?
데이터가 해외 리전에 저장되면 개인정보 국외 이전 규정이 적용될 수 있습니다. 이전 사실·국가·목적을 정보주체에게 고지하고 동의를 받아야 하며, 위탁 계약서에 처리 항목·보관 기간·파기 절차·재이전 통제가 명시되어야 합니다. 실제 처리 흐름과 계약 조항을 함께 확인하시기를 권합니다.
기관 보안팀이 상담 도구 도입 전 가장 먼저 물어볼 항목은 무엇인가요?
저장 리전 위치, 전송·저장 구간 암호화 여부, 접근 권한 분리, 분석 후 파기 정책, 그리고 내담자 데이터의 모델 학습 사용 여부입니다. 이 다섯 가지는 인증 마크보다 실제 데이터 흐름을 드러내므로 보안 문답서에서 구체적인 답변을 요청하는 편이 좋습니다.
ISMS-P 인증이 있으면 리전 검토는 생략해도 되나요?
그렇지 않습니다. 인증은 신뢰의 한 축이지만, 인증이 다루는 범위·갱신 시점·적용 서비스가 도입 대상과 일치하는지 확인해야 합니다. 인증 보유 여부는 발급 기관과 사업자 인증서로 직접 확인하고, 리전·암호화·파기 정책은 데이터 처리방침 문서로 별도 대조하시기를 권합니다.
마음토스가 처음이신가요?
축어록
축어록 자동화 살펴보기
무료로 시작하기관련 글
마음토스상담 데이터 ISMS-P 인증, 기관 도입 전 확인할 보안 기준
상담 데이터 ISMS-P 인증의 구조와 심사 항목, 그리고 기관 보안 담당자가 외부 상담 도구를 도입하기 전 점검해야 할 보안 체크리스트를 동료 실무자 관점에서 정리했습니다.
마음토스제노그램 자동 생성 가이드 — 임상 활용과 기관 도입 보안 점검
제노그램 자동 생성의 작동 원리부터 임상 적용 절차, 기관 도입 시 보안 점검 항목까지 동료 상담사 시점에서 정리했습니다.
마음토스회기 데이터 암호화, 기관 도입 전 보안팀이 확인할 5가지
상담 기관이 AI 회기 기록 도구를 도입하기 전, 회기 데이터 암호화를 어떻게 검증할지 보안팀 시점에서 정리했습니다. 전송·저장 구간 구분부터 키 관리, 접근 권한 분리, 도입 전 체크리스트까지 다룹니다.