마음토스 보안 정책 — 기관 도입 전 확인하는 데이터 보호 기준
내담자 데이터가 담긴 회기 녹음을 AI 도구에 올려도 안전할지, 기관 도입 담당자가 가장 먼저 묻는 질문입니다. 마음토스 보안의 핵심 정책과 IT·법무팀이 함께 확인할 체크리스트를 정리했습니다.
이 글의 핵심
마음토스 보안은 학습 미사용·저장 전 암호화·분석 후 파기 옵션을 핵심 축으로 하는 데이터 보호 정책의 묶음입니다. 일반 SaaS 와 달리 회기 원본·메타데이터·운영 로그를 분리해 다루며, 역할 기반 접근 제어로 내부 운영자의 임의 접근을 차단합니다. 기관 도입 의사결정자가 IT·법무·임상팀과 함께 검토할 때 확인해야 할 위탁계약서 항목, 데이터 흐름도, 장애·침해 대응 절차, SLA·리전 정보까지 한 페이지 체크리스트로 정리했습니다.
내담자 이름과 회기 녹음이 담긴 파일을 일반 클라우드 도구에 올려도 괜찮을지, AI 도구 도입을 검토하는 상담사와 기관 담당자가 가장 먼저 부딪히는 질문입니다. 마음토스 보안은 이 질문에 답하기 위해 설계된 데이터 보호 정책의 묶음으로, 학습 미사용·저장 전 암호화·분석 후 파기 옵션을 핵심 축으로 합니다. 이 글에서는 마음토스 보안의 구성 요소와 기관 도입 담당자가 IT·법무·임상팀과 함께 확인해야 할 운영 기준을 한 페이지로 정리하여, 검토 회의 시간을 줄일 수 있도록 정보를 모았습니다.
마음토스 보안이 상담 데이터 의사결정에서 갖는 의미
상담 데이터는 일반 SaaS 가 다루는 정보와 결이 다릅니다. 회기 녹음 한 파일에는 내담자의 이름, 가족 구성, 진단 의심 정보, 자살·자해 위험 표지처럼 식별 가능성과 민감도가 동시에 높은 정보가 들어 있습니다. 그래서 일반 협업 도구의 보안 수준만으로는 임상 윤리와 개인정보보호법 양쪽을 모두 충족시키기 어려운 경우가 많습니다.
마음토스 보안은 이 특수성을 전제로 설계되었습니다. 데이터 분류 단계에서부터 '회기 원본', '메타데이터', '운영 로그'를 분리해 다루며, 각 계층에 다른 접근 정책을 적용합니다. 기관 도입 의사결정자가 검토 시 가장 먼저 확인할 것은 도구의 인증 보유 여부보다 데이터 흐름 한 줄이 어디서 시작해 어디서 끝나는지 입니다.
데이터 학습 미사용 — 마음토스 보안의 출발점
생성형 AI 도구를 도입할 때 가장 흔히 묻는 질문이 "우리 회기 내용이 모델 학습에 쓰이지 않는다는 보장이 있느냐"입니다. 마음토스는 약관에 고객 데이터를 외부 모델 학습에 사용하지 않는다는 원칙을 명시하고 있으며, 분석에 사용하는 LLM 호출도 학습 옵트아웃이 적용된 기업용 채널을 거치도록 구성되어 있습니다.
이 부분이 중요한 이유는 단순 광고 문구의 문제가 아니라, 내담자가 동의서에 서명할 때 "이 도구가 향후 다른 사용자의 답변 생성에 내 발화를 흡수할 가능성"이 임상적으로 매우 다르게 해석되기 때문입니다. 학습 미사용 원칙이 약관에 명시되어 있어야, 동의서 작성 단계에서 상담사가 내담자에게 정확한 설명을 할 수 있고 사후 분쟁 발생 시에도 일관된 답변을 제공할 수 있습니다.
저장 전 암호화와 전송 구간 보호
저장 데이터는 업로드 직후 암호화되어 보관되며, 전송 구간은 TLS 로 보호됩니다. 마음토스 보안 설계에서는 '평문 상태로 디스크에 닿는 구간'을 최소화하는 것을 목표로 합니다. 회기 오디오는 업로드 직후 암호화되고, 분석을 위한 일시적 복호화 외에는 평문으로 노출되지 않습니다.
기관 도입 의사결정자가 자주 묻는 사항은 다음과 같이 정리해두면 검토가 수월합니다.
- 저장 시 암호화 알고리즘과 키 관리 주체
- 전송 구간 프로토콜 (TLS 버전, 인증서 발급 주체)
- 백업 데이터의 암호화 상태와 보관 기간
- 복호화 권한을 가진 운영자 역할의 범위
위 네 항목만 답을 받아도 기관 보안팀 1차 검토는 대부분 통과합니다. 더 깊은 검토가 필요한 경우 한국인터넷진흥원의 ISMS-P 통제 항목을 참조하여 항목별로 매핑하면 IT팀 회의 시간을 한층 줄일 수 있습니다.
접근 권한 분리와 감사 로그
내부 운영자가 어떤 조건에서 회기 데이터에 접근할 수 있는지가 임상 데이터를 다루는 도구의 핵심 신뢰 요소입니다. 마음토스 보안은 역할 기반 접근 제어(RBAC)를 적용해 일반 운영자는 콘텐츠 본문에 접근할 수 없도록 분리하며, 장애 대응 등 예외적 접근이 발생할 경우 감사 로그가 남도록 설계되어 있습니다.
특히 기관용 워크스페이스에서는 슈퍼바이저·임상가·일반 상담사가 서로의 사례에 어디까지 접근할 수 있는지 권한 매트릭스를 미리 정의할 수 있습니다. 이 권한 매트릭스는 위탁계약서나 내부 운영 매뉴얼에 그대로 첨부할 수 있는 형태로 제공되므로, 법무팀과의 협의 시간을 줄여줍니다.
분석 후 파기 옵션과 보관 정책
회기 분석이 끝난 뒤 오디오 원본을 즉시 파기할지, 일정 기간 보관할지 결정할 수 있는 옵션이 마음토스 보안 정책의 특징입니다. 슈퍼비전이나 사후 검토를 위해 보관이 필요한 상담사가 있는 반면, 동의서 조건상 회기 직후 파기를 원하는 사례도 있기 때문입니다.
- 즉시 파기: 분석 결과(축어록·요약)만 남기고 오디오 원본은 분석 완료 직후 자동 삭제
- 기간 보관: 사용자가 설정한 기간 동안 보관 후 자동 파기
- 사용자 삭제: 언제든 사용자가 직접 삭제 요청 시 즉시 처리
기관 단위로 이 옵션을 일괄 적용할 수도 있어, 위탁계약서에 명시된 데이터 보존 기간과 정확히 정렬할 수 있습니다. 보존 정책이 위탁계약과 어긋나는 도구를 도입하면 사후 감사 단계에서 가장 흔히 지적되는 항목이므로, 옵션 선택 전에 위탁계약서 조항을 먼저 확인해두는 것이 안전합니다.
기관 도입 담당자가 마음토스 보안을 검토할 때 확인할 항목
IT·법무·임상팀이 함께 검토하는 경우, 다음 체크리스트를 회의 자료에 첨부하면 합의 속도가 빨라집니다.
- 개인정보 위탁계약서 항목: 처리 위탁 범위·보관 기간·재위탁 여부·파기 절차
- 데이터 흐름도: 업로드부터 분석·파기까지 한 페이지로 정리된 다이어그램 요청
- 정책 문서: 보유 정책·운영 기준 문서 (인증 마크는 문서로 직접 확인)
- 장애·침해 대응: 사고 통지 절차와 시점 기준, 책임 분담 조항
- SLA·리전: 데이터 보관 리전, 가용성 보장 수준, 장애 시 보상 범위
이 체크리스트는 일반 SaaS 도입 절차에 정신건강 정보 특수성을 더한 형태로, 보건복지부와 개인정보보호위원회 가이드라인을 함께 참조하면 더 촘촘해집니다.
기관에서 상담 AI 도구를 도입할 때 보안은 협상 카드가 아닌 출발선입니다. 마음토스 보안 정책이 학습 미사용·저장 전 암호화·분석 후 파기를 기본값으로 둔 이유도 임상 의사결정자의 검토 시간을 단축하기 위해서입니다. 위 체크리스트로 IT팀·법무팀과 한 번에 합의할 수 있는 검토 일정을 마련해 보시기를 권합니다.
참고 자료
- 1.
개인정보 보호 가이드라인 — 위탁·재위탁·파기 절차 기준 참조
- 2.
정신건강복지 정보 보호 관련 정책 자료 — 임상 데이터 특수성 참조
자주 묻는 질문
마음토스 보안 정책상 내담자 데이터가 외부 AI 모델 학습에 사용되나요?
마음토스는 약관에 고객 데이터를 외부 모델 학습에 사용하지 않는다는 원칙을 명시하고 있으며, 분석에 사용하는 LLM 호출도 학습 옵트아웃이 적용된 기업용 채널을 거치도록 구성되어 있습니다. 이 원칙이 약관에 명시되어 있어야 내담자 동의서 작성 단계에서 상담사가 정확한 설명을 제공할 수 있습니다.
회기 녹음 파일은 분석이 끝나면 어떻게 처리되나요?
사용자가 보관 정책을 직접 선택할 수 있습니다. 즉시 파기·기간 보관·사용자 수동 삭제 세 가지 옵션을 제공하며, 기관 단위로 일괄 적용도 가능합니다. 위탁계약서에 명시된 보존 기간과 정렬해 운영할 수 있도록 설계되어 있습니다.
기관에서 마음토스 보안을 검토할 때 별도 자료를 받을 수 있나요?
개인정보 위탁계약서 초안, 데이터 흐름도, 운영 정책 문서를 기관 도입 담당자에게 제공합니다. IT·법무·임상팀이 한 번에 검토할 수 있도록 한 페이지 요약본도 별도로 마련되어 있어 검토 회의 시간을 단축할 수 있습니다.
내부 운영자가 회기 데이터에 임의로 접근할 수 있나요?
역할 기반 접근 제어(RBAC)를 적용해 일반 운영자는 콘텐츠 본문에 접근할 수 없도록 분리합니다. 장애 대응처럼 예외적 접근이 발생할 경우 감사 로그가 남도록 설계되어 있어, 사후 추적이 가능합니다.
상담사 개인 사용자도 기관과 같은 수준의 보안 옵션을 쓸 수 있나요?
기본 보안 정책(학습 미사용·암호화·파기 옵션)은 개인 사용자에게도 동일하게 적용됩니다. 다만 권한 매트릭스, SSO, 위탁계약 기반 보관 정책 같은 기관 전용 기능은 워크스페이스 단위 도입 시 활성화됩니다.
마음토스가 처음이신가요?
축어록
축어록 자동화 살펴보기
무료로 시작하기관련 글
마음토스마음토스 가격 구조와 기관 도입 견적 — 검토 담당자 가이드
마음토스 가격을 기관 도입 담당자 시점에서 어떻게 읽어야 할까요. 가격 구조, 견적 산정 항목, 보안·연동 비용, 비용 대비 효과를 측정하는 임상 ROI 지표까지 정리했습니다.
마음토스마음토스 축어록 기관 도입 가이드: 화자 분리·보안·운영 절차
마음토스 축어록은 회기 녹음을 화자 분리된 발화 단위 텍스트로 자동 변환합니다. 기관 도입 담당자가 보안·운영·계약 관점에서 확인할 체크리스트와 파일럿 운영 팁을 동료 상담사 시점에서 정리했습니다.
마음토스마음토스 기관 도입 가이드 — 보안 검토부터 온보딩까지
마음토스를 기관에 도입할 때 IT·법무·임상 책임자가 확인해야 할 보안 항목, 계약 조항, 파일럿 절차, 운영 시나리오, 도입 후 모니터링 흐름을 단계별 체크리스트로 정리했습니다.