현재 국내 민간 기업이 공공부문에 자사 클라우드 서비스를 공급하기 위해 꼭 받아야 하는 것이 클라우드 보안인증(CSAP)다. 

 

연방정부의 안전한 클라우드 도입을 위해 시행 중인 미국의 클라우드 서비스 보안수준 평가·인증제도(FedRAMP)나 싱가포르의 MCTS(Multi-Tier Cloud Security)와 마찬가지로 한국도 CSAP 인증을 공공 클라우드 입찰의 필수 요건으로 내세우고 있다.

 

CSAP는 공공기관에 안정성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하는 것을 목표로 한다. 한국인터넷진흥원(KISA)이 인증 주관 기관이다. 지난 2016년부터 시행돼 2019년 12월 기준 총 18개 클라우드 서비스가 CSAP 인증을 받았다. 이중 9개는 서비스형 인프라(IaaS), 나머지는 9개는 서비스형 소프트웨어(SaaS) 인증을 획득했다.

 

CSAP를 처음 받은 국내 기업은 KT다. KT는 2016년 10월 공공기관용 클라우드 서비스(KT G-클라우드)로 IaaS 분야 인증을 받았다. 이후 2017년 네이버 비즈니스 플랫폼(NBP)과 가비아, NHN 3개 기업이 공공기관용 IaaS 인증을 받았다. 

 

2018년에는 LG CNS가 IaaS 인증을 받았으며, 하반기에는 SaaS 인증 기준을 마련되며 NBP가 ‘시스템 시큐리티 체커’와 ‘웹 시큐리티 체커’ 2개 서비스로 처음 SaaS 인증을 받았다.
 


2019년에는 가장 많은 11개 서비스가 CSAP를 받았다. 2019년 첫 인증 사업자는 코스콤(K-파스타 클라우드)으로 IaaS 분야 인증을 획득했다. 또 더존비즈온(위하고V), 삼성SDS, 스마일서브가 IaaS 인증을, 인프라닉스(M-콘솔), NBP(시큐리티 모니터링), 더존비즈온(위하고v), NHN(토스트-G 워크플레이스 두레이)가 SaaS 인증을 받았다.  

 

이와 함께 지난해에는 SaaS 인증이 표준등급과 간편등급으로 나눠졌다. 간편등급은 인증 점검항목이 기존 78개에서 30개로 대폭 간소화돼 인증에 걸리는 시간이 줄어든 것이 특징이다. 

 

보안 중요도가 상대적으로 낮은 도서관리, 주차관리와 같은 서비스를 제공하는 클라우드 기업은 인증부담을 덜게 됐다. 다만 전자결재, 회계관리 등 보안 중요도가 높은 서비스는 기존과 동일하게 표준등급 인증을 받아야 한다.

 

이에 따라 2019년에는 빅케어와 두드림시스템(이젠터치), 리눅스웨어(G-클라우드 메일시스템) 등 3개 클라우드 서비스가 SaaS 간편등급을 획득했다.

 

인증을 취득하면 IaaS 및 SaaS 표준등급은 5년, SaaS 간편등급은 3년의 유효기간을 갖는다. 물론 보안인증을 취득한 이후 매년 클라우드 서비스 보안 평가·인증 기준을 준수하고 있는지 확인하는 절차를 거친다.

 

한편 CSAP는 글로벌 클라우드 기업들의 국내 공공시장 진출을 막는다는 비판을 받고 있다. 미국 무역대표부(USTR)는 매년 국가별 무역장벽 보고서(NTE)를 통해 CSAP를 저격하고 있다. 인증기준 일부가 외국계 기업에 불리한 규제로 작용해 사실상 시장 진입 장벽이 되고 있다는 지적이다. 

 

미국의 IT 업종 로비 단체인 정보기술산업위원회(ITIC)은 “한국의 정부 부처와 공공기관 등이 클라우드 보안 인증제를 앞세워 미국 업체의 시장 진출을 막고 있다”며 “공공부문 클라우드 서비스 이용에 대한 가이드라인 개정이 필요하다”고 USTR에 의견서를 제출했다.

저작권자 © 딜라이트닷넷 무단전재 및 재배포 금지