회기 데이터 암호화, 기관 도입 전 보안팀이 확인할 5가지

상담 기관이 AI 기반 회기 기록·축어록 도구를 검토할 때 가장 먼저 마주하는 질문은 거의 같습니다. "회기 데이터 암호화는 어떻게 처리되나요?" 내담자의 발화에는 정신건강과 직결된 가장 민감한 정보가 담기기 때문에, 도구의 기능보다 데이터 보호 구조가 도입 여부를 좌우하는 경우가 많습니다. 이 글에서는 기관 보안·도입 담당자 시점에서 회기 데이터 암호화의 구성 요소, 전송·저장 구간의 차이, 접근 권한 분리, 그리고 도입 전 점검 체크리스트를 정리합니다.

회기 데이터 암호화가 기관 도입의 첫 관문인 이유

상담 회기 기록은 「개인정보 보호법」상 민감정보(정신건강 등 건강 관련 정보)로 다뤄질 수 있습니다. 민감정보는 별도 동의와 더 높은 수준의 안전조치가 요구되며, 이 안전조치의 핵심 축이 바로 암호화입니다(개인정보보호위원회, 2024). 기관이 외부 SaaS 도구에 회기 데이터를 위탁하는 순간, 그 도구의 암호화 정책은 곧 기관 자신의 정보보호 정책의 연장선이 됩니다.

특히 EAP 위탁이나 가족센터·복지법인처럼 다수 내담자의 기록을 다루는 기관은, 단일 사고가 미치는 범위가 넓습니다. 따라서 "암호화를 한다"는 단편적 답변이 아니라, 어느 구간을 어떤 방식으로 보호하는지를 구체적으로 확인하는 절차가 필요합니다.

전송 구간과 저장 구간, 두 가지 암호화를 구분합니다

회기 데이터 암호화는 크게 두 구간으로 나뉩니다. 두 구간은 보호하는 위협이 서로 다르기 때문에, 한쪽만 충족해도 안전하다고 보기 어렵습니다.

• 전송 중 암호화(in transit): 단말과 서버 사이를 오가는 음성·텍스트를 보호합니다. TLS 1.2 이상 적용 여부가 기본 기준입니다.
• 저장 시 암호화(at rest): 서버 디스크나 데이터베이스에 저장된 회기 기록을 보호합니다. AES-256과 같은 표준 대칭키 알고리즘 사용 여부를 확인합니다.

전송 구간만 암호화된 경우, 서버에 침투한 공격자나 내부자가 평문 데이터에 접근할 위험이 남습니다. 반대로 저장 암호화만 있고 전송이 평문이면 네트워크 구간에서 가로채기에 노출됩니다. 두 구간을 모두 확인하는 것이 출발점입니다.

회기 데이터 암호화에서 확인할 핵심 항목

도입 검토 단계에서 공급사에 다음 항목을 순서대로 질의하면, 정책의 실체를 비교적 빠르게 파악할 수 있습니다.

1. 전송·저장 구간 각각에 적용된 암호화 알고리즘과 버전(TLS, AES 등)
2. 암호화 키의 생성·보관·교체 주체와 주기 — 키와 데이터가 분리 보관되는지
3. 데이터가 저장되는 클라우드 리전과 물리적 위치
4. 내담자 데이터가 AI 모델 학습에 사용되는지 여부
5. 분석 종료 후 원본 오디오·식별정보의 파기 또는 보관 정책

키 관리는 특히 중요합니다. 데이터를 암호화해도 키가 같은 권한 경계 안에 함께 보관되면 실질적 보호 효과가 줄어듭니다. 미국 NIST는 키의 생성·저장·폐기 전 과정을 데이터와 분리해 관리하도록 권고합니다(NIST, 2020).

암호화만으로는 부족합니다 — 접근 권한 분리

회기 데이터 암호화가 갖춰져도, 누가 복호화된 데이터에 접근할 수 있는지가 통제되지 않으면 위험은 남습니다. 그래서 최소 권한 원칙과 접근 권한 분리가 함께 검토되어야 합니다.

실무적으로는 상담사 본인의 회기만 열람 가능한지, 관리자 권한이 어디까지 미치는지, 접근 로그가 남고 감사 가능한지를 확인합니다. 권한 경계가 명확하지 않으면 암호화가 견고해도 내부자에 의한 열람이라는 사각지대가 남기 때문입니다. 접근 기록이 변조 불가능한 형태로 보관되는지, 이상 접근을 탐지하는 절차가 있는지도 함께 점검하면 좋습니다. 국내 기관 도입 맥락에서는 정보보호 관리체계인 ISMS-P가 이러한 접근통제·암호화·로그관리 기준을 포괄적으로 다루므로, 인증 보유 여부를 단정하기보다 해당 기준에 부합하는 정책을 갖추었는지를 기준점으로 삼는 편이 현실적입니다(한국인터넷진흥원).

도구 측면에서 보면, 마음토스는 저장 시 암호화와 전송 구간 암호화, 접근 권한 분리, 비식별화, 내담자 데이터의 모델 학습 미사용을 공개 정책으로 두고 있습니다. 데이터 삭제는 사용자가 본인 계정 내 기록을 직접 삭제하거나 별도 삭제 요청으로 처리할 수 있으며, 구체적인 보관 기간·파기 절차와 키 관리 정책은 개인정보처리방침과 운영 보안 문서에 따라 운영되고 기관 도입 시 별도 안내됩니다. 이런 구조는 기관이 위탁 계약서에 명시할 안전조치 항목과 연결되므로, 공개 정책과 도입 상담 시 안내 항목을 구분해 확인하면 보안팀 검토 시간을 줄일 수 있습니다. 더 자세한 정책은 보안 페이지에서 확인할 수 있습니다.

기관 보안팀이 도입 전 확인할 체크리스트

아래 항목은 위탁 계약 전 보안팀이 문서로 확보해 두면 좋은 최소 기준입니다.

• 전송(TLS 1.2+)·저장(AES-256급) 암호화 적용 명세서
• 암호화 키와 데이터의 분리 보관 및 키 교체 정책
• 데이터 저장 리전과 국외 이전 여부
• 내담자 데이터 모델 학습 미사용 확약
• 분석 후 원본 데이터 파기 시점과 방식
• 접근 권한 분리·접근 로그·감사 가능 여부
• 개인정보 위탁계약서에 포함될 안전조치 조항

이 목록은 그대로 공급사 질의서로 전환할 수 있습니다. 답변이 문서로 제공되는지, 구두 설명에 그치는지도 신뢰도를 판단하는 신호가 됩니다.

도구 선택이 곧 데이터 보호 정책입니다

회기 데이터 암호화는 체크박스 하나로 끝나는 문제가 아니라, 전송·저장·키 관리·접근 통제·파기까지 이어지는 연결된 구조입니다. 도입을 검토하는 기관이라면, 위 체크리스트를 질의서로 만들어 공급사 답변을 문서로 확보하는 것에서 시작하시길 권합니다. 내담자의 신뢰를 지키는 일은 결국 그 기록을 어떻게 보호하느냐에 달려 있습니다.