클라우드 보안: CSAP 의미와 과제

1. 요약

• 이 리포트는 CSAP(Cloud Security Assurance Program)의 개념, 인증 체계, 현황 및 사회경제적 편익에 대해 다룹니다. CSAP는 한국인터넷진흥원(KISA)에서 주관하며, 국가 및 공공기관에 안전한 클라우드 서비스를 공급하기 위한 보안 인증 제도입니다. 인증에는 IaaS, SaaS, DaaS와 같은 다양한 유형이 있으며, 등급과 유효기간이 존재합니다. 또한 CSAP는 글로벌 인증 제도인 FedRAMP와 비교하여 더 엄격한 통제항목을 요구하며, 이는 글로벌 기업의 인증 획득을 어렵게 하고 있습니다. CSAP의 주요 목표는 공공기관의 보안 우려를 해소하는 것이지만, 제도의 폐쇄성으로 인해 국제 시장 진입에 장애가 되고 있다는 문제도 제기되고 있습니다.

2. CSAP의 개념 및 배경

• 2-1. CSAP 정의 및 목적

• CSAP(Cloud Security Assurance Program)란 클라우드 서비스 제공자가 제공하는 서비스에 대해 정보보호 수준의 향상 및 보장을 위한 보안 인증을 수행하는 제도입니다. 이 제도는 한국인터넷진흥원(KISA)이 주관하며, 국가와 공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 시행됩니다. CSAP 인증을 받은 경우, 사업자는 문서, 송장, 광고 등에 인증 마크를 표시할 수 있습니다. 그러나 이 인증을 받았다고 해서 클라우드 서비스가 100% 안전하다는 것을 의미하지 않으며, 최소한의 정보 보호 요건을 충족했음을 나타냅니다.

• 2-2. CSAP 도입 배경과 필요성

• CSAP 인증 제도는 국가 및 공공기관의 데이터를 안전하게 다루기 위해 필수적인 보안 시스템 구축을 목표로 하고 있습니다. 공공부문에 클라우드 서비스를 공급하기 위해 반드시 CSAP 인증을 받아야 하며, 이는 클라우드 서비스 제공자에게 중요한 기준으로 작용합니다. 법령에 따르면, 클라우드 서비스 보안 인증 제도는 클라우드 서비스의 신뢰성을 향상하고 이용자를 보호하기 위한 정당한 이유를 가지고 있습니다. 이러한 제도를 통해 클라우드 서비스 이용 시 발생할 수 있는 보안 우려를 줄이고, 클라우드 서비스의 경쟁력을 강화할 수 있는 발판이 마련된 것입니다.

3. CSAP 인증 체계

• 3-1. CSAP 인증의 종류 및 등급

• CSAP(Cloud Security Assurance Program) 인증은 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도로, 안전성 및 신뢰성이 검증된 민간 클라우드를 국가 및 공공기관에 공급하기 위한 필수적인 절차입니다. CSAP 인증의 유형으로는 IaaS(서비스형 인프라), SaaS(서비스형 소프트웨어), DaaS(서비스형 데이터)로 구분됩니다. 인증 등급은 상, 중, 하로 나뉘며, 인증의 유효기간은 5년입니다. 인증을 받은 사업자는 인증 마크를 문서, 송장, 광고 등에 표시할 수 있으며, 이는 클라우드 서비스 이용에 있어 일정 기준의 정보를 보호하고 있다는 것을 의미합니다.

• 3-2. CSAP 인증 평가 과정

• CSAP 인증의 평가 과정에는 최초 평가, 사후 평가, 갱신 평가가 포함됩니다. 최초 평가는 인증을 처음 신청하거나 인증 범위에 중대한 변경이 있을 때 실시되며, 사후 평가는 인증을 취득한 후 지속적으로 기준을 준수하는지 확인하기 위해 매년 시행됩니다. 갱신 평가는 인증 유효기간이 만료되기 전 유효기간 연장을 원하는 경우 실시합니다. 이러한 평가 여정은 클라우드 서비스 공급자가 안전한 서비스를 지속적으로 제공할 수 있도록 보장하는 역할을 하며, 클라우드 서비스의 신뢰성을 높이는 데 기여합니다.

4. CSAP 인증 현황

• 4-1. CSAP 인증을 받은 기업 현황

• CSAP(Cloud Security Assurance Program) 인증은 한국인터넷진흥원(KISA)에서 주관하는 클라우드 보안 인증 제도로, 민간기업이 공공부문에 클라우드 서비스를 제공하기 위해 필요한 인증입니다. 현재 CSAP 인증을 취득한 기업은 다음과 같습니다: 1. 디지털 사이니지 통합 관제 플랫폼 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 2. 도매시장 유통정보 시스템 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 3. uPrism Meetings (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 4. NAVER WORKS for 공공용 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 5. Hyperbridge (AI 기록물 통합관리 시스템) (SaaS 간편등급) - 인증 기간: 2022년 10월 19일 ~ 2025년 10월 18일 6. 재난현장조치행동매뉴얼시스템 (LiveDRMS) (SaaS 간편등급) - 인증 기간: 2022년 9월 23일 ~ 2025년 9월 22일 7. DIGITAL TWIN CLOUD (SaaS 간편등급) - 인증 기간: 2022년 8월 9일 ~ 2025년 8월 8일 8. StrategyGATE (전략성과관리솔루션) (SaaS 표준등급) - 인증 기간: 2022년 8월 9일 ~ 2027년 8월 8일 9. 크리니티 G-Cloud 보안메일 (SaaS 간편등급) - 인증 기간: 2022년 5월 24일 ~ 2025년 5월 23일 10. 건축물에너지소요량 간이평가시스템 (ZeBEST) (SaaS 간편등급) - 인증 기간: 2022년 5월 24일 ~ 2023년 5월 23일 11. 한비자(Hanbiza) - 인사, 급여, 아웃소싱 (SaaS 표준등급) - 인증 기간: 2022년 5월 3일 ~ 2023년 8월 31일 12. 미세와치(공기질 관리 서비스) (SaaS 간편등급) - 인증 기간: 2022년 5월 3일 ~ 2025년 5월 2일 13. 온더라이브 클라우드 (SaaS 간편등급) - 인증 기간: 2022년 4월 7일 ~ 2025년 4월 6일 14. Spiceware PII ANP (SaaS 표준등급) - 인증 기간: 2022년 4월 7일 ~ 2027년 4월 6일 15. Spiceware One (SaaS 표준등급) - 인증 기간: 2022년 4월 7일 ~ 2027년 4월 6일 16. 하이웍스 단독 구축형 웹메일 (SaaS 간편등급) - 인증 기간: 2022년 4월 7일 ~ 2025년 4월 6일 17. 예비군 원격교육 시스템 (SaaS 간편등급) - 인증 기간: 2022년 3월 18일 ~ 2025년 3월 17일 18. 민방위 교육훈련 통합관리 솔루션 (SaaS 간편등급) - 인증 기간: 2022년 3월 18일 ~ 2025년 3월 17일 19. CODE-RAY CLOUD (SaaS 표준등급) - 인증 기간: 정보 미제공

• 4-2. CSAP 인증의 글로벌 비교

• CSAP는 미국의 FedRAMP(Federal Risk and Authorization Management Program) 인증 제도를 모델로 만들어졌으나, 인증 체계와 절차는 서로 다릅니다. CSAP는 통제항목의 모든 조건을 충족해야 인증 자격을 획득할 수 있는 구조인 반면, FedRAMP는 보안 등급에 따라 인증 구조를 이중화한 특성을 가지므로, 글로벌 IT 기업이 CSAP 인증을 획득하기 어려운 구조입니다. 2016년 CSAP 인증 제도 시행 이래, 글로벌 Tech 기업들은 단 한 기업도 CSAP 인증을 받지 못하였습니다. 이로 인해 CSAP는 폐쇄적인 규제로 인식되고 있으며, 한국 내 다양한 산업 분야의 디지털 전환과도 상충하는 문제점을 안고 있습니다.

5. CSAP의 사회경제적 편익

• 5-1. CSAP 개선의 필요성

• 한국 정부는 클라우드 서비스 도입에 따른 공공기관의 보안 우려를 해소하기 위해 2016년부터 클라우드 보안인증제(Cloud Security Assurance Program; 이하 CSAP)를 시행하고 있습니다. CSAP는 공공기관에 안정성과 신뢰성이 검증된 민간 클라우드를 공급하기 위한 제도로, 한국인터넷진흥원(KISA)이 미국의 FedRAMP 규정을 참고하여 만들어졌습니다. 그러나 CSAP와 FedRAMP의 인증 체계 및 절차는 완전히 다른 모습을 보이고 있으며, CSAP는 통제 항목의 모든 조건을 충족해야 인증 자격을 획득할 수 있는 구조입니다. 이는 한국만의 IT 규제로 인식되고 있으며, 특히 글로벌 IT 기업들이 이 인증을 획득하지 못하는 상황은 시장 진입 차단의 수단으로 활용되고 있습니다.

• 5-2. CSAP의 사회경제적 영향

• CSAP는 현재 극도의 제한적이고 폐쇄적인 규정으로 인해 데이터 경제 및 AI 시대에 발맞추려는 정부의 디지털 대전환 정책 로드맵과 정면으로 배치되고 있습니다. 2020년에는 CSAP가 공공부문을 넘어 민간 분야인 보건 시장에까지 영향을 미치고 있으며, 이는 더욱 심각한 문제로 작용하고 있습니다. CSAP는 발생 가능성이 낮은 보안 문제를 앞세워 다양한 기회비용을 증대시키는 진입 규제로 볼 수 있습니다.

결론

• 본 리포트는 CSAP의 필요성과 그 효과를 상세히 분석하였습니다. CSAP는 KISA에 의해 진행되며, 공공기관에 안전한 클라우드 서비스를 제공하는 데 필수적인 역할을 수행합니다. 이는 클라우드 서비스의 보안 수준을 높이는 데 이바지하고 있지만, 글로벌 IT 기업들이 이를 획득하는 데 어려움을 겪고 있어 제도가 지나치게 폐쇄적이라는 비판도 받고 있습니다. CSAP 제도의 개선이 이루어질 경우, 이는 더 많은 기업의 참여를 촉진하고 클라우드 서비스의 경쟁력을 향상시키는 데 기여할 것입니다. 장기적으로 CSAP는 단순한 보안 인증을 넘어 한국 클라우드 시장 전반에 긍정적인 영향을 미칠 수 있는 기반이 될 것입니다. 추가로, 디지털 대전환 흐름에 부합하도록 CSAP의 절차를 간소화하려는 노력이 필요합니다.

용어집

• CSAP [제도]: CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도로, 국가 및 공공기관에 안전하고 신뢰성이 검증된 클라우드 서비스를 제공하기 위해 도입된 제도입니다. CSAP 인증을 통해 클라우드 서비스의 보안 기준을 충족한 기업은 인증 마크를 부여받아 공공기관에 서비스 제공이 가능해집니다.

• KISA [기관]: 한국인터넷진흥원(KISA)은 한국의 정보 보호 및 인터넷 정책을 담당하는 기관으로, CSAP 인증 제도를 운영하여 클라우드 서비스의 보안성을 강화하는 역할을 수행하고 있습니다.

출처 문서

• 국가·공공기관 클라우드 보안 서비스 공급 필수관문, ‘CSAP’ 란? | SK쉴더스https://www.skshieldus.com/blog-security/security-trend-idx-15
• CSAP(Cloud Security Assurance Program) 이란? - vloguehttps://inblog.ai/vlogue/csapcloud-security-assurance-program-%EC%9D%B4%EB%9E%80-34885
• 클라우드 보안인증제(CSAP) 개선에 따른 사회경제적 편익의 ...https://scholarworks.bwise.kr/hanyang/bitstream/2021.sw.hanyang/138512/1/KCI_FI002792325.pdf
• 신시웨이 | 데이터베이스 보안 전문 기업https://www.sinsiway.com/kr/pr/blog/view/359/page/2