마음토스 보안 정책 — 기관 도입 전 확인하는 데이터 보호 기준
내담자 데이터가 담긴 회기 녹음을 AI 도구에 올려도 안전할지, 기관 도입 담당자가 가장 먼저 묻는 질문입니다. 마음토스 보안의 핵심 정책과 IT·법무팀이 함께 확인할 체크리스트를 정리했습니다.
핵심 답변
마음토스 보안은 학습 미사용·저장 시 암호화·전송 암호화·접근 권한 분리·비식별화를 핵심 축으로 하는 공개 데이터 보호 정책입니다. 사용자는 본인 기록을 직접 삭제하거나 삭제 요청할 수 있으며, 보관 기간·키 관리·인증 취득 등 일부 항목은 정책 확정 후 공개되거나 기관 도입 시 별도 안내됩니다. 이 글은 기관 도입 의사결정자가 IT·법무·임상팀과 함께 확인할 공개 정책 항목과 도입 상담 시 안내 항목을 구분해 체크리스트로 정리했습니다.
내담자 이름과 회기 녹음이 담긴 파일을 일반 클라우드 도구에 올려도 괜찮을지, AI 도구 도입을 검토하는 상담사와 기관 담당자가 가장 먼저 부딪히는 질문입니다. 마음토스 보안은 이 질문에 답하기 위해 설계된 데이터 보호 정책의 묶음으로, 학습 미사용·저장 시 암호화·접근 권한 분리·비식별화를 핵심 축으로 합니다. 이 글에서는 마음토스가 공개한 보안 정책의 구성 요소와, 기관 도입 담당자가 IT·법무·임상팀과 함께 확인하면 좋은 운영 기준을 한 페이지로 정리했습니다.
마음토스 보안이 상담 데이터 의사결정에서 갖는 의미
상담 데이터는 일반 SaaS 가 다루는 정보와 결이 다릅니다. 회기 녹음 한 파일에는 내담자의 이름, 가족 구성, 진단 의심 정보, 자살·자해 위험 표지처럼 식별 가능성과 민감도가 동시에 높은 정보가 들어 있습니다. 그래서 일반 협업 도구의 보안 수준만으로는 임상 윤리와 개인정보보호법 양쪽을 모두 충족시키기 어려운 경우가 많습니다.
마음토스 보안은 이 특수성을 전제로 설계되었습니다. 기관 도입 의사결정자가 검토 시 가장 먼저 확인할 것은 도구의 인증 보유 여부보다 데이터 흐름 한 줄이 어디서 시작해 어디서 끝나는지 입니다. 마음토스는 공개 보안 페이지를 통해 핵심 정책을 안내하고 있으며, 보관 기간·키 관리·인증 취득 등 일부 항목은 운영 기준 확정 후 공개하거나 기관 도입 상담 시 별도 안내하는 방식으로 운영합니다.
데이터 학습 미사용 — 마음토스 보안의 출발점
생성형 AI 도구를 도입할 때 가장 흔히 묻는 질문이 "우리 회기 내용이 모델 학습에 쓰이지 않는다는 보장이 있느냐"입니다. 마음토스는 입력된 상담 기록과 내담자 정보를 모델 학습 데이터로 사용하지 않는다는 원칙을 공개하고 있으며, 입력 데이터는 해당 상담사의 기록 정리 결과를 만드는 데에만 사용됩니다. 기록 정리에 사용되는 외부 모델 제공자에게도 학습 미사용 옵션을 적용해 호출합니다.
이 부분이 중요한 이유는 단순 광고 문구의 문제가 아니라, 내담자가 동의서에 서명할 때 "이 도구가 향후 다른 사용자의 답변 생성에 내 발화를 흡수할 가능성"이 임상적으로 매우 다르게 해석되기 때문입니다. 학습 미사용 원칙이 명시되어 있어야, 동의서 작성 단계에서 상담사가 내담자에게 정확한 설명을 할 수 있고 사후 분쟁 발생 시에도 일관된 답변을 제공할 수 있습니다.
저장 시 암호화와 전송 구간 보호
마음토스는 상담사가 작성·업로드한 데이터를 전송 단계와 저장 단계 모두 암호화된 상태로 다룹니다. 저장 시에는 사람이 그대로 읽을 수 없는 형태로 변환되어 보관되며, 전송 구간(브라우저↔서버)도 암호화된 통신을 사용합니다.
다만 정확한 암호화 알고리즘·키 관리·로테이션 정책은 마음토스가 운영 보안 문서로 정리하고 있으며, 기관 도입 시 별도 안내하는 항목입니다. 따라서 기관 보안팀이 확인하려는 다음 항목은 도입 상담 단계에서 문서로 요청하는 흐름이 현실적입니다.
- 저장 시 암호화 적용 범위와 키 관리 방식
- 전송 구간 프로토콜
- 백업 데이터의 보호 상태
- 복호화가 가능한 운영자 역할의 범위
위 항목은 마음토스가 공개 정책으로 단정해 둔 부분과, 도입 상담에서 문서로 안내하는 부분이 나뉘므로, 공개된 내용과 별도 안내 항목을 구분해 정리하면 검토가 수월합니다. 더 깊은 검토가 필요한 경우 한국인터넷진흥원의 ISMS-P 통제 항목을 참조해 항목별로 매핑하면 IT팀 회의 시간을 줄일 수 있습니다.
접근 권한 분리와 비식별화
내부 운영자가 어떤 조건에서 회기 데이터에 접근할 수 있는지가 임상 데이터를 다루는 도구의 핵심 신뢰 요소입니다. 마음토스 보안은 접근 권한 분리와 비식별화를 정책으로 두고 있으며, 운영 과정에서 상담 기록 본문이 불필요하게 노출되지 않도록 다룹니다.
여러 상담사 계정을 함께 운영하는 기관이라면, 계정·권한 관리와 관리자 도구가 필요할 수 있습니다. 이는 마음토스 기관 플랜에서 도입 지원·보안 협의와 함께 안내되는 영역이므로, 기관 단위 권한 운영 방식은 도입 상담 단계에서 구체적으로 확인하시기를 권합니다.
데이터 삭제와 보관 정책
마음토스에서는 사용자가 본인 계정 내 기록을 직접 삭제할 수 있고, 별도 삭제 요청도 받습니다. 회기 분석 후 축어록·요약 등 결과물과 원본 데이터의 처리 절차, 보관 기간은 개인정보처리방침에 따라 운영하며, 정확한 보관 기간 표기는 정책 확정 후 공개하는 항목입니다.
법령상 보관 의무가 있는 경우에 한해 별도 보관하고, 의무가 종료되면 파기하는 것이 기본 운영 방향입니다. 따라서 기관 위탁계약서에 명시할 데이터 보존 기간은, 마음토스가 공개·안내하는 운영 기준과 기관 자체의 보존 의무를 함께 맞춰 정리하는 것이 안전합니다.
기관 도입 담당자가 마음토스 보안을 검토할 때 확인할 항목
IT·법무·임상팀이 함께 검토하는 경우, 다음 체크리스트를 회의 자료에 첨부하면 합의 속도가 빨라집니다. 단, 일부 항목은 마음토스가 공개 정책으로 확정한 부분과 도입 상담 시 안내하는 부분으로 나뉜다는 점을 전제로 확인하시기 바랍니다.
- 공개 보안 정책 확인: 학습 미사용·저장 시 암호화·전송 암호화·접근 권한 분리·비식별화(보안 페이지 기준)
- 별도 안내 항목 요청: 보관 기간·키 관리·인증 취득 여부 등 정책 확정·도입 상담 시 안내되는 항목
- 데이터 흐름도: 업로드부터 분석·삭제까지의 처리 흐름
- 삭제 절차: 본인 삭제·삭제 요청 처리 방식과 개인정보처리방침 연계
- 기관 운영: 기관 플랜의 계정·권한 관리, 관리자 도구, 도입 지원·보안 협의 범위
이 체크리스트는 일반 SaaS 도입 절차에 정신건강 정보 특수성을 더한 형태로, 보건복지부와 개인정보보호위원회 가이드라인을 함께 참조하면 더 촘촘해집니다.
기관에서 상담 AI 도구를 도입할 때 보안은 협상 카드가 아닌 출발선입니다. 마음토스가 학습 미사용·저장 시 암호화·접근 권한 분리·비식별화를 공개 정책으로 둔 이유도 임상 의사결정자의 검토 시간을 단축하기 위해서입니다. 확정 공개 항목과 도입 상담 시 안내 항목을 구분해 두면, IT팀·법무팀과 한 번에 합의할 수 있는 검토 일정을 마련하기가 쉬워집니다.
참고 자료
- 1.
개인정보 보호 가이드라인 — 위탁·재위탁·파기 절차 기준 참조
- 2.
정신건강복지 정보 보호 관련 정책 자료 — 임상 데이터 특수성 참조
자주 묻는 질문
마음토스 보안 정책상 내담자 데이터가 외부 AI 모델 학습에 사용되나요?
아니요. 마음토스는 입력된 상담 기록과 내담자 정보를 모델 학습 데이터로 사용하지 않는다는 원칙을 공개하고 있으며, 기록 정리에 사용하는 외부 모델 제공자에게도 학습 미사용 옵션을 적용해 호출합니다. 이 원칙이 명시되어 있어야 내담자 동의서 작성 단계에서 상담사가 정확한 설명을 제공할 수 있습니다.
회기 녹음 파일은 분석이 끝나면 어떻게 처리되나요?
사용자는 본인 계정 내 기록을 직접 삭제하거나 별도 삭제 요청으로 처리할 수 있습니다. 보관 기간·파기 절차는 개인정보처리방침에 따라 운영되며, 정확한 보관 기간 표기는 정책 확정 후 공개됩니다. 법령상 보관 의무가 있는 경우에 한해 별도 보관 후 의무 종료 시 파기하는 것이 기본 방향입니다.
기관에서 마음토스 보안을 검토할 때 자료를 받을 수 있나요?
마음토스는 학습 미사용·저장 시 암호화·접근 권한 분리·비식별화를 공개 보안 페이지로 안내하고, 보관 기간·키 관리·인증 취득 등 일부 항목은 기관 도입 상담(보안 협의) 단계에서 별도 안내합니다. 공개 정책으로 확정된 항목과 도입 시 안내되는 항목을 구분해 요청하시면 검토가 수월합니다.
내부 운영자가 회기 데이터에 임의로 접근할 수 있나요?
마음토스는 접근 권한 분리와 비식별화를 정책으로 두어, 운영 과정에서 상담 기록 본문이 불필요하게 노출되지 않도록 다룹니다. 내부 접근 통제의 구체적인 운영 방식은 기관 도입 상담 시 안내됩니다.
개인 사용자도 기관과 같은 수준의 보안 정책이 적용되나요?
학습 미사용·암호화·접근 권한 분리·비식별화 같은 공개 보안 정책은 개인 사용자에게도 동일하게 적용됩니다. 여러 상담사 계정의 권한 관리·관리자 도구 등 기관 운영 기능은 기관 플랜 도입 시 협의됩니다.
본 글은 마음토스 임상 심리 가이드라인 기반 시스템으로 작성·검수되었습니다. 학회 가이드라인, 정신건강복지법, 임상 표준 절차를 master document 로 두고 다중 AI 검수를 거칩니다.
마음토스가 처음이신가요?
축어록
축어록 자동화 살펴보기
무료로 시작하기관련 글
상담 AI 도구 무료 체험 비교 — 도입 전 점검할 7가지 기준
상담 AI 도구 무료 체험 비교, 무엇부터 봐야 할까요? 보안·한국어 화자 분리·과금 구조·기관 계정·데이터 삭제까지 체험 단계에서 점검할 7가지 기준을 동료 상담사 시점에서 정리했습니다.
상담 AI 도구 망분리 환경 도입, 기관이 점검할 7가지
공공기관·대학·병원처럼 망분리 환경을 운영하는 기관이 상담 AI 도구를 도입할 때 순서대로 점검할 7가지 항목을 데이터 흐름·위수탁·시범운영 관점에서 정리했습니다.
상담 AI 도구 보안 인증 비교 — 기관 도입 전 점검할 8가지 기준
기관이 상담 AI 도구를 도입하기 전, 마케팅 문구에 휘둘리지 않고 같은 잣대로 비교할 수 있도록 ISMS-P·데이터 리전·암호화·학습 미사용 등 보안 인증 8가지 점검 기준을 질의서 형태로 정리했습니다.