마음토스 데이터 백업 정책 — 기관 보안 검토가 확인할 4가지 축
상담 회기 데이터는 유출뿐 아니라 소실도 중대한 사고입니다. 마음토스 데이터 백업 정책을 포함해 기관 보안 검토가 확인할 백업 대상·주기·보관·복구 4가지 축과 재해복구 지표, 체크리스트를 정리했습니다.
핵심 답변
마음토스 데이터 백업 정책 등 상담 AI 도구의 백업 체계는 백업 대상·주기·보관·복구 4가지 축과 재해복구 지표(RTO·RPO)로 평가합니다. 마음토스 공개 보안 정책에서는 저장·전송 암호화, 접근 권한 분리, 가명·익명처리, 모델 학습 미사용, 삭제 요청 처리가 확인되며, 백업 주기·보관기간 같은 구체 수치는 공개 문서에 확정 형태로 제시되지 않아 도입 상담에서 문서로 확인하는 것이 정확합니다. 삭제 요청과 백업본 파기의 연계는 특히 놓치기 쉬운 심의 항목입니다.
기관에서 상담 AI 도구를 도입할 때, 보안팀이 가장 먼저 확인하는 항목 중 하나가 마음토스 데이터 백업 정책 같은 백업·복구 체계입니다. 상담 회기 기록은 개인정보보호법상 민감정보에 해당하므로, 데이터가 어디에·얼마나·어떻게 보관되고 사고 시 어떻게 복구되는지가 도입 승인의 실질적 관문이 됩니다.
이 글에서는 상담 데이터 백업 정책을 평가하는 4가지 축과 재해복구 관점, 그리고 기관 도입 담당자가 그대로 쓸 수 있는 보안 검토 체크리스트를 동료 실무자 시점에서 정리했습니다.
상담 데이터 백업 정책이 기관 검토의 관문인 이유
상담 회기 데이터는 내담자의 심리 상태·가족 관계·병력 단서까지 담기는 경우가 많아, 유출뿐 아니라 소실도 중대한 사고로 다뤄집니다. 기록이 유실되면 진행기록·사례개념화의 연속성이 끊기고, 기관 입장에서는 위탁 계약상 자료 보존 의무를 이행하지 못하는 문제로 이어질 수 있습니다.
그래서 기관 보안 심의는 "암호화가 되는가"만 보지 않고, 백업 정책과 복구 체계가 문서화되어 있는가를 함께 확인합니다. 국내 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 역시 백업 및 복구 관리를 별도 통제 항목으로 두고 있어, 도입 도구가 이 틀에 어떻게 대응하는지가 검토의 기준선이 됩니다.
백업 정책을 평가하는 4가지 축
ISMS-P 인증기준의 백업·복구 관리 항목은 실무 검토 체크리스트로도 유용합니다. 다음 4가지 축으로 나누어 보면, 어떤 상담 AI 도구든 같은 기준으로 비교할 수 있습니다.
- 백업 대상 — 무엇을 백업하는가. 회기 원본 오디오, 축어록, 진행기록, 계정·권한 정보 중 어디까지가 백업 범위인지 확인합니다.
- 백업 주기와 방법 — 얼마나 자주, 전체 백업인지 증분 백업인지. 데이터 변경 빈도에 견주어 주기가 적절한지 봅니다.
- 보관장소·보관기간·소산 — 백업본을 어디에 두는가, 얼마나 보존하는가, 원본과 물리적으로 분리(소산)되어 있는가. 보관기간은 뒤에서 설명할 개인정보 보관기간과 구분해 확인해야 합니다.
- 복구 테스트 — 백업이 실제로 복원되는지 정기적으로 검증하는가. 백업본이 있어도 복구가 안 되면 의미가 없으므로, 복구 절차의 적절성 점검 여부가 핵심입니다.
이 4가지 축은 도구별로 답변 수준이 크게 갈립니다. 공개 문서에 명시되지 않은 항목은 도입 상담 단계에서 별도로 확인하는 것이 안전합니다.
재해복구(DR): RTO·RPO와 소산 관점
백업이 평상시 데이터 소실에 대비한다면, 재해복구는 자연재해·정전·해킹처럼 서비스 자체가 중단되는 상황을 다룹니다. 여기서 기관이 확인하는 두 지표가 **복구 목표시간(RTO)**과 **복구 목표시점(RPO)**입니다.
RTO는 사고 발생 후 서비스를 다시 정상화하기까지의 목표 시간이고, RPO는 사고 시 어느 시점의 데이터까지 복구할 수 있는가, 즉 허용 가능한 데이터 손실 폭을 뜻합니다. 예를 들어 RPO가 24시간이면 최악의 경우 하루치 기록이 손실될 수 있다는 의미입니다.
기관 위탁 계약에서 자료 보존 의무가 있다면, 이 두 지표가 계약 요건을 충족하는지 사전에 맞춰 보는 것이 좋습니다. 중요 데이터의 백업본을 원본과 물리적으로 떨어진 위치에 두는 소산 여부도 재해복구 관점에서 함께 점검할 항목입니다.
마음토스 공개 보안 정책에서 확인할 수 있는 것
마음토스가 공개한 보안 정책에서 명시적으로 확인되는 항목은 다음과 같습니다. 백업 정책을 검토할 때 이 부분을 기준선으로 삼되, 문서에 수치가 명시되지 않은 세부 항목은 도입 상담에서 확인하는 방식이 정확합니다.
- 내담자 데이터 모델 학습 미사용 — 외부 모델 제공자에게도 학습에 사용되지 않습니다.
- 저장 시 암호화와 전송 구간 암호화 적용.
- 접근 권한 분리와 가명·익명처리.
- 본인 삭제·삭제 요청 처리 지원.
다만 백업 주기, 보관기간, 복구 목표시간 같은 백업 정책의 구체 수치는 공개 정책 문서에 확정 형태로 제시되어 있지 않습니다. 이런 항목은 마음토스 측에서도 "도입 시 별도 안내"로 다루는 영역이므로, 기관 심의에서는 단정된 공개 자료 대신 도입 상담·보안 협의를 통해 문서로 받아 확인하는 것이 맞습니다. 축어록·진행기록 자동화로 회기 후 업무 시간을 줄이는 효과를 검토하는 단계에서, 이 백업·복구 항목을 함께 요청해 두면 심의가 매끄럽게 진행됩니다.
기관 보안 검토 체크리스트 — 백업·복구 항목
실제 심의 회의에서 그대로 쓸 수 있도록, 앞의 4가지 축과 재해복구 관점을 질문 형태로 정리했습니다. 도구사에 서면으로 요청하면 답변 수준 자체가 하나의 판단 근거가 됩니다.
- 백업 대상에 회기 오디오·축어록·진행기록이 모두 포함되는가.
- 백업 주기와 방식(전체/증분)이 문서화되어 있는가.
- 백업본의 보관장소와 보관기간, 소산 여부가 명시되는가.
- 정기 복구 테스트를 수행하며 그 결과를 기록하는가.
- RTO·RPO가 기관 위탁 계약의 자료 보존 요건을 충족하는가.
- 개인정보 파기 시 백업본까지 함께 처리되는 절차가 있는가.
마지막 항목은 자주 놓치는 부분입니다. 원본을 삭제해도 백업본에 남아 있으면 파기가 완결되지 않으므로, 삭제 요청과 백업 처리의 연계를 반드시 확인합니다.
정리
상담 데이터 백업 정책은 암호화 하나로 끝나는 문제가 아니라, 대상·주기·보관·복구라는 네 축과 재해복구 지표까지 아우르는 체계입니다. 마음토스의 경우 학습 미사용·암호화·접근 권한 분리 등 공개된 보안 정책을 기준선으로 두고, 백업의 구체 수치는 도입 상담에서 문서로 확인하는 방식이 가장 안전합니다.
기관 도입을 준비하는 실무자라면, 위 체크리스트를 심의 안건에 그대로 올려 두시길 권합니다. 도구를 비교하는 잣대가 명확할수록, 정작 중요한 임상 데이터의 연속성을 지키는 판단도 단단해집니다.
참고 자료
- 1.
개인정보 처리 시 안전조치 의무 — 백업·복구·접근권한 관리 근거
자주 묻는 질문
상담 AI 도구를 도입할 때 백업 정책에서 꼭 확인할 항목은 무엇인가요?
백업 대상(무엇을), 주기와 방법(얼마나 자주·전체/증분), 보관장소·보관기간·소산(어디에·얼마나·분리 여부), 정기 복구 테스트 네 가지를 축으로 봅니다. 여기에 재해복구의 RTO·RPO가 기관 자료 보존 요건을 충족하는지, 삭제 요청 시 백업본까지 파기되는지를 더해 확인하면 심의 기준이 명확해집니다.
마음토스는 데이터 백업 정책을 공개하나요?
마음토스 공개 보안 정책에는 저장·전송 구간 암호화, 접근 권한 분리, 비식별화, 내담자 데이터 모델 학습 미사용, 삭제 요청 처리가 명시되어 있습니다. 다만 백업 주기·보관기간·복구 목표시간 같은 구체 수치는 공개 문서에 확정 형태로 제시되어 있지 않으므로, 도입 상담·보안 협의에서 문서로 확인하는 것이 정확합니다.
백업 보관기간과 개인정보 보관기간은 어떻게 다른가요?
개인정보 보관기간은 수집 목적 달성 시 파기해야 하는 법적 기준이고, 백업 보관기간은 사고 대비용 백업본을 얼마나 유지하는가의 운영 기준입니다. 둘을 구분하지 않으면, 원본을 파기해도 백업본에 데이터가 남아 파기가 완결되지 않는 문제가 생깁니다. 삭제 요청과 백업 처리의 연계 절차를 반드시 확인해야 합니다.
RTO와 RPO는 무엇이고 왜 확인해야 하나요?
RTO(복구 목표시간)는 사고 후 서비스를 정상화하기까지의 목표 시간, RPO(복구 목표시점)는 복구 가능한 데이터 시점, 즉 허용 가능한 데이터 손실 폭입니다. 기관 위탁 계약에 자료 보존 의무가 있다면, 두 지표가 계약 요건을 충족하는지 사전에 맞춰 봐야 재해 상황에서 데이터 연속성을 지킬 수 있습니다.
본 글은 마음토스 임상 심리 가이드라인 기반 시스템으로 작성·검수되었습니다. 학회 가이드라인, 정신건강복지법, 임상 표준 절차를 master document 로 두고 다중 AI 검수를 거칩니다.
마음토스가 처음이신가요?
축어록
축어록 자동화 살펴보기
무료로 시작하기관련 글
상담 AI 도구 무료 체험 비교 — 도입 전 점검할 7가지 기준
상담 AI 도구 무료 체험 비교, 무엇부터 봐야 할까요? 보안·한국어 화자 분리·과금 구조·기관 계정·데이터 삭제까지 체험 단계에서 점검할 7가지 기준을 동료 상담사 시점에서 정리했습니다.
상담 AI 도구 망분리 환경 도입, 기관이 점검할 7가지
공공기관·대학·병원처럼 망분리 환경을 운영하는 기관이 상담 AI 도구를 도입할 때 순서대로 점검할 7가지 항목을 데이터 흐름·위수탁·시범운영 관점에서 정리했습니다.
상담 AI 도구 보안 인증 비교 — 기관 도입 전 점검할 8가지 기준
기관이 상담 AI 도구를 도입하기 전, 마케팅 문구에 휘둘리지 않고 같은 잣대로 비교할 수 있도록 ISMS-P·데이터 리전·암호화·학습 미사용 등 보안 인증 8가지 점검 기준을 질의서 형태로 정리했습니다.