마음토스 SSO 연동 검토 7단계 — 기관 도입 전 보안·계정 체크리스트
마음토스 SSO 연동을 검토하는 기관 담당자를 위해 통합 인증·계정·보안을 점검하는 7단계 체크리스트를 우선순위대로 정리했습니다. 도입 상담 전에 짚어둘 항목을 확인해 보세요.
핵심 답변
기관이 상담 AI 도구의 통합 인증(SSO)을 검토할 때의 우선순위를 정리한 체크리스트입니다. 1순위는 우리 기관의 IdP 환경(SAML·OIDC) 파악, 2순위는 기관 플랜의 계정·권한 관리로 운영을 시작하는 것, 3순위는 계정 생성·해지 절차 정비입니다. 통합 인증 지원 여부는 도구마다 다르므로 도입 상담에서 확인하고, 그 전이라도 계정·권한 관리와 데이터 보호 정책부터 점검하는 순서를 기준으로 선정했습니다.
마음토스 SSO 연동을 검토 중인 기관 담당자라면, 가장 먼저 통합 인증(SSO)이 우리 조직의 계정 체계와 어떻게 맞물리는지부터 짚게 됩니다. 다만 SSO 지원 여부는 도구마다 다르고, 도입 시점에 별도 확인이 필요한 항목입니다. 이 글에서는 상담 AI 도구를 기관에 도입할 때 통합 인증·계정·보안을 검토하는 순서를 우선순위대로 정리했습니다. IT·보안 담당자가 도입 상담 전에 짚어둘 체크리스트로 활용해 보시기 바랍니다.
1. SSO 연동의 정의부터 정확히 — 통합 인증이 검토 1순위인 이유
SSO(Single Sign-On, 통합 인증)는 하나의 계정 자격으로 여러 시스템에 로그인하는 방식으로, 기관이 외부 도구를 도입할 때 가장 먼저 검토하는 보안·운영 항목입니다. 직원이 기존 기관 계정으로 도구에 접근하면 비밀번호 관리 부담이 줄고, 퇴사·전보 시 계정 회수도 한곳에서 처리할 수 있습니다.
SSO 검토가 1순위인 이유는 편의보다 통제 때문입니다. 계정이 도구마다 흩어져 있으면 누가 어떤 데이터에 접근하는지 파악하기 어렵습니다. 다만 특정 도구가 SSO를 표준으로 지원하는지는 제품마다 다르므로, 일반 개념과 실제 지원 여부를 분리해서 확인해야 합니다.
2. 우리 기관의 IdP 환경부터 파악 — SAML과 OIDC 중 무엇을 쓰는가
통합 인증을 검토하기 전에 우리 기관이 어떤 인증 기반(IdP, Identity Provider)을 쓰는지부터 확인하는 것이 순서입니다. 대표적인 표준은 SAML(Security Assertion Markup Language)과 OIDC(OpenID Connect)이며, 기관이 이미 쓰는 그룹웨어·계정 체계가 무엇을 지원하는지에 따라 연동 방식이 달라집니다.
자체 IdP가 없는 소규모 기관이라면 SSO를 무리하게 전제하기보다, 도구 자체의 계정 관리 기능으로 시작하는 편이 현실적입니다. 도입 검토 초기에 "우리는 SAML을 쓰는가, OIDC를 쓰는가, 아니면 별도 계정 체계인가"를 먼저 정리하면 이후 협의가 훨씬 간결해집니다.
3. 통합 인증이 아직 어렵다면 — 기관 플랜의 계정·권한 관리부터
SSO가 필수 요건이 아니라면, 기관 플랜의 계정·권한 관리 기능으로 운영을 시작하는 것이 가장 빠른 경로입니다. 마음토스 기관 플랜은 여러 상담사 계정과 권한 관리, 관리자 도구·팀 관리, 기관 양식 맞춤 템플릿, 도입 지원을 제공합니다. 마음토스 SSO 연동이 가능한지는 도입 상담에서 별도로 확인하되, 그 전이라도 기관 플랜의 계정·권한 관리로 다수 상담사 환경을 운영할 수 있습니다.
핵심은 "통합 인증이 갖춰져야만 도입할 수 있다"는 전제를 풀어두는 것입니다. 먼저 계정·권한 관리로 운영 틀을 잡고, 통합 인증은 기관의 IdP 환경과 도입 규모가 명확해진 뒤 협의 항목으로 다루면 검토가 멈추지 않습니다.
4. 계정 생성·해지 절차를 누가 관리하는가 — 오프보딩 점검
계정 관리에서 자주 누락되는 지점은 생성이 아니라 해지(오프보딩)입니다. 상담사가 기관을 떠나거나 부서를 옮길 때 도구 계정이 즉시 회수되지 않으면, 내담자 데이터 접근 권한이 남아 보안 공백이 생깁니다. 도입 검토 단계에서 "계정 생성·해지를 누가, 어떤 절차로 처리하는가"를 명확히 정해 두어야 합니다.
통합 인증 환경이라면 IdP에서 계정을 비활성화하는 즉시 접근이 차단되도록 설계하는 것이 이상적입니다. 통합 인증 없이 운영한다면, 관리자 도구로 계정을 직접 회수하는 책임자와 점검 주기를 사전에 정해 운영 규정에 반영해 두시기 바랍니다.
5. 접근 권한 분리와 비식별화 — 상담 데이터 보호의 기본기
상담 AI 도구 검토에서 통합 인증만큼 중요한 것이 접근 권한 분리와 비식별화입니다. 마음토스는 접근 권한 분리와 비식별화 처리를 보안 정책으로 두고 있어, 누가 어떤 데이터에 접근하는지를 구분하고 식별정보를 비식별 처리하는 흐름을 지원합니다. 통합 인증이 "누가 로그인하는가"를 다룬다면, 권한 분리는 "로그인한 사람이 무엇까지 볼 수 있는가"를 다룹니다.
기관 보안 담당자라면 통합 인증 지원 여부와 별개로, 상담 회기 데이터에 대한 접근이 역할·업무 범위에 맞게 구분되는지를 함께 확인하는 것이 안전합니다. 세분화된 권한 체계의 구체 수준은 도입 상담에서 기관 환경에 맞춰 협의하는 항목입니다.
6. 데이터 암호화와 학습 미사용 정책 확인
상담 데이터는 민감정보이므로, 통합 인증 검토와 함께 저장·전송 구간의 보호 수준을 반드시 확인해야 합니다. 마음토스는 저장 시 암호화와 전송 구간 암호화를 적용하며, 내담자 데이터를 모델 학습에 사용하지 않습니다. 외부 모델 제공자에게도 학습 미사용 원칙이 동일하게 적용됩니다.
암호화 키 관리 방식, 보관 기간, 인증 취득 등 더 구체적인 항목은 확정 사실로 공개되기보다 도입 시 별도 안내되는 영역입니다. 보안 심의 자료가 필요한 기관이라면 이러한 세부 항목을 도입 상담에서 문서로 요청해 정리해 두시기를 권합니다.
7. 도입 상담에서 SSO·보안 요건을 함께 협의하기
마지막 단계는 지금까지의 검토 항목을 도입 상담에서 한 번에 협의하는 것입니다. 통합 인증 지원 여부, 계정·권한 관리 범위, 데이터 보호 정책, 위탁 계약에 포함될 보안 조항은 기관 환경과 도입 규모에 따라 달라지므로, 협의 자리에서 우선순위를 정리하는 편이 효율적입니다.
검토 자료를 미리 준비하면 협의가 빨라집니다. 우리 기관의 IdP 환경, 필요한 상담사 계정 수, 보안 심의에 요구되는 문서 목록을 정리해 가면 통합 인증과 보안 요건을 한 번의 상담으로 좁힐 수 있습니다. 마음토스 SSO 연동을 포함한 기관 보안 요건은 이렇게 도입 상담에서 함께 다루는 것이 가장 정확합니다.
검토 우선순위 요약
| 우선순위 | 검토 항목 | 확인 방법 |
|---|---|---|
| 1 | 우리 기관 IdP 환경(SAML·OIDC·별도 계정) | 내부 IT 확인 |
| 2 | 계정·권한 관리 범위 | 기관 플랜 안내 |
| 3 | 계정 생성·해지 절차 | 운영 규정 수립 |
| 4 | 접근 권한 분리·비식별화 | 보안 정책 확인 |
| 5 | 암호화·학습 미사용 | 보안 정책 확인 |
| 6 | 통합 인증·세부 보안 요건 | 도입 상담 협의 |
통합 인증은 기관 도입의 출발점이 아니라, 계정·권한·데이터 보호를 정리한 뒤 협의로 좁혀 가는 항목입니다. 이 순서대로 검토하면 통합 인증 지원 여부가 확정되지 않은 단계에서도 안전하게 도입을 시작할 수 있습니다. 우리 기관에 맞는 구성을 정리하는 데 이 체크리스트가 도움이 되기를 바랍니다.
참고 자료
- 1.
정보보호·인증 관련 국내 기준 안내
- 2.
개인정보 처리·위탁 관련 법령 및 가이드
- 3.
통합 인증 SAML 표준 규격
- 4.
OIDC 통합 인증 표준 규격
자주 묻는 질문
마음토스가 SSO(SAML·OIDC) 통합 인증 연동을 지원하나요?
통합 인증 지원 여부는 확정된 표준 기능으로 공개 안내되지 않으며, 기관의 IdP 환경에 따라 달라지므로 도입 상담에서 확인하는 것이 정확합니다. 다만 기관 플랜에서는 여러 상담사 계정과 권한 관리, 관리자 도구·팀 관리를 제공하므로, 통합 인증 없이도 다수 상담사 환경을 운영할 수 있습니다.
SSO 없이도 기관에서 여러 상담사 계정을 관리할 수 있나요?
가능합니다. 마음토스 기관 플랜은 여러 상담사 계정과 권한 관리, 관리자 도구·팀 관리, 기관 양식 맞춤 템플릿을 제공합니다. 통합 인증은 IdP 환경과 도입 규모가 명확해진 뒤 협의 항목으로 다루고, 그 전에는 기관 플랜 계정 관리로 운영 틀을 잡는 것이 현실적입니다.
상담 데이터는 어떻게 보호되나요?
마음토스는 저장 시 암호화와 전송 구간 암호화를 적용하고, 접근 권한 분리와 비식별화 처리를 보안 정책으로 둡니다. 내담자 데이터는 모델 학습에 사용하지 않으며, 외부 모델 제공자에게도 학습 미사용 원칙이 동일하게 적용됩니다.
기관 도입 시 암호화 키 관리나 보관 기간 같은 세부 보안 요건은 어디서 확인하나요?
키 관리 방식, 데이터 보관 기간, 인증 취득 등 구체 항목은 도입 시 별도 안내되는 영역입니다. 보안 심의 자료가 필요한 기관이라면 도입 상담에서 필요한 문서 목록을 미리 정리해 요청하면 검토가 빨라집니다.
본 글은 마음토스 임상 심리 가이드라인 기반 시스템으로 작성·검수되었습니다. 학회 가이드라인, 정신건강복지법, 임상 표준 절차를 master document 로 두고 다중 AI 검수를 거칩니다.
마음토스가 처음이신가요?
축어록
축어록 자동화 살펴보기
무료로 시작하기관련 글
마음토스무료 가계도 프로그램 추천 — 상담사를 위한 AI 가계도 가이드
무료 가계도 프로그램과 AI 가계도 생성 도구를 상담사 관점에서 비교하고, 제노그램 기본 기호 읽는 법과 회기 활용법까지 정리했습니다.
마음토스마음토스 기관 견적 문의 전 점검 7가지 — 도입 담당자 체크리스트
마음토스 기관 견적 문의 전 도입 담당자가 점검할 7가지를 정리했습니다. 사용 규모 추정부터 기관 플랜 범위, 보안 확인 항목, 견적 요청에 담을 정보까지 순서대로 확인해 보세요.
마음토스마음토스 축어록, 기관 도입 전 확인할 7가지 체크포인트
마음토스 축어록을 기관에서 도입할 때 확인할 7가지를 화자 분리·상세도 선택·비식별화·보안 정책·기관 플랜 순으로 정리했습니다.