Your browser does not support JavaScript!

CSAP: 클라우드 보안의 규제와 이슈

일반 리포트 2024년 12월 24일
goover

목차

  1. 요약
  2. CSAP의 정의 및 필요성
  3. CSAP 인증의 유형
  4. CSAP 인증 평가 프로세스
  5. CSAP 인증 현황
  6. CSAP의 문제점 및 개선 필요성
  7. 결론

1. 요약

  • 본 리포트는 한국인터넷진흥원(KISA) 주관의 클라우드 보안 인증제도인 CSAP(Cloud Security Assurance Program)를 다루며, 그 정의, 인증 유형, 평가 프로세스, 현황, 및 문제점을 상세히 분석하고 있습니다. CSAP는 공공기관에 클라우드 서비스를 공급하려는 민간 기업에게 필수적으로 요구되는 인증으로, 서비스의 안전성과 신뢰성을 보장하기 위한 제도입니다. 리포트는 CSAP의 독소조항 및 규제 문제로 인해 글로벌 IT 기업들이 인증을 받기 어려운 상황과 그로 인해 발생하는 사회경제적 기회비용을 강조합니다. CSAP의 현재 인증 현황과 그로 인한 사회적 영향, 민간 분야로의 확산이 불러온 문제점들이 분석되어 있으며, 보다 유연한 인증 절차와 기준의 중요성을 시사합니다.

2. CSAP의 정의 및 필요성

  • 2-1. CSAP 도입 배경 및 필요성

  • CSAP는 공공기관에 클라우드 서비스를 공급하기 위한 필수 인증으로 자리잡았습니다. 국가·공공기관은 민감한 데이터와 정보를 다루기 때문에 안전한 보안 시스템 구축이 필수적입니다. CSAP 인증을 통해 공공기관은 인증된 클라우드 서비스를 통해 안전성을 확보하고, 이용자들은 신뢰할 수 있는 클라우드 서비스를 이용할 수 있게 됩니다. 또한, CSAP는 민간 기업이 공공 부문에 클라우드 서비스를 공급하기 위한 중요한 관문으로 작용하고 있습니다.

3. CSAP 인증의 유형

  • 3-1. CSAP 인증 분류(IaaS, DaaS, SaaS)

  • CSAP(Cloud Security Assurance Program) 인증은 클라우드 서비스 제공자가 제공하는 서비스를 기준으로 하여, 정보보호 수준의 향상 및 보장을 위해 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률' 제23조의2에 따라 보안인증 기준에 적합한 클라우드컴퓨팅 서비스에 대해 수행되는 제도입니다. CSAP 인증은 크게 세 가지 유형으로 나뉘며, 각 유형은 다음과 같습니다: 1. IaaS (Infrastructure as a Service): 클라우드 인프라 서비스로서 서버, 네트워크, 운영 체제 및 스토리지를 가상화하여 제공하고 관리합니다. 2. DaaS (Desktop as a Service): 서비스형 데스크톱으로 아웃소싱 형태로 가상화된 데스크톱 환경을 제공하고 관리합니다. 3. SaaS (Software as a Service): 서비스형 소프트웨어로 고객을 대신하여 소프트웨어와 데이터를 제공하고 관리합니다. 각각의 인증 등급은 상、中, 下 등급으로 구분되며, 인증의 유효기간은 모두 5년입니다.

  • 3-2. CSAP 인증 등급

  • CSAP 인증의 등급은 서비스 유형에 따라 다음과 같은 방식으로 진행됩니다: - IaaS는 상, 중, 하 등급으로, 서비스 구조에 따라 안전성을 평가하여 인증합니다. - DaaS는 상, 중, 하 등급으로 구분되며, 인증을 위한 신청이 가능합니다. - SaaS 또한 상, 중, 하 등급으로 나뉘며, 각 등급의 기준에 부합하여 평가를 받습니다. 현재까지의 CSAP 인증을 취득한 회사들은 다음과 같습니다: - 디지털 사이니지 통합 관제 플랫폼 (SaaS 간편등급) - Nov 30, 2022 ~ Nov 29, 2025 - 도매시장 유통정보 시스템 (SaaS 간편등급) - Nov 30, 2022 ~ Nov 29, 2025 - NAVER WORKS for 공공용 (SaaS 간편등급) - Oct 19, 2022 ~ Oct 18, 2025 - 하이웍스 단독 구축형 웹메일 (SaaS 간편등급) - Apr 7, 2022 ~ Apr 6, 2025 이 외에도 다수의 서비스들이 인증을 통해 공공기관에 클라우드 서비스를 제공하고 있습니다.

4. CSAP 인증 평가 프로세스

  • 4-1. 최초 평가

  • 최초 평가는 처음으로 인증을 신청하거나 인증 범위에 변경 사항이 있어 다시 인증을 신청한 경우에 실시됩니다. 이는 클라우드 서비스 제공자가 최초로 클라우드 서비스 보안 인증을 받고자 할 때의 평가로, 이에 따라 서비스의 안전성 및 신뢰성을 검증합니다.

  • 4-2. 사후 평가

  • 사후 평가는 보안인증을 취득한 후 인증 기준을 지속적으로 준수하는지를 확인하는 평가입니다. 이 평가는 인증 유효기간인 5년 안에 매년 1회 이상 수행되어야 하며, 이를 통해 클라우드 서비스 제공자의 보안 상태가 지속적으로 유지되고 있는지를 검토합니다.

  • 4-3. 갱신 평가

  • 갱신 평가는 보안인증의 유효기간이 만료되기 전, 인증 연장을 원하는 경우 실시하는 평가입니다. 이 평가는 성공적으로 수행되면 클라우드 서비스 제공자는 다시 5년의 인증 유효기간을 부여받게 됩니다.

5. CSAP 인증 현황

  • 5-1. CSAP 인증을 받은 기업 현황

  • 클라우드 보안 인증제도 CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)이 주관하여 민간 기업이 공공부문에 클라우드 서비스를 제공하기 위해 필요한 인증입니다. 2022년 11월 30일 기준으로 CSAP 인증을 받은 기업의 현황은 다음과 같습니다. 인증 기간과 함께 제공되는 서비스 유형은 아래와 같습니다. 1. 디지털 사이니지 통합 관제 플랫폼 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 2. 도매시장 유통정보 시스템 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 3. uPrism Meetings (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 4. NAVER WORKS for 공공용 (SaaS 간편등급) - 인증 기간: 2022년 10월 19일 ~ 2025년 10월 18일 5. Hyperbridge(AI 기록물 통합관리 시스템) (SaaS 간편등급) - 인증 기간: 2022년 10월 19일 ~ 2025년 10월 18일 6. 재난현장조치행동매뉴얼시스템(LiveDRMS) (SaaS 간편등급) - 인증 기간: 2022년 9월 23일 ~ 2025년 9월 22일 7. DIGITAL TWIN CLOUD (SaaS 간편등급) - 인증 기간: 2022년 8월 9일 ~ 2025년 8월 8일 8. StrategyGATE (전략성과관리솔루션) (SaaS 표준등급) - 인증 기간: 2022년 8월 9일 ~ 2027년 8월 8일 9. 한비자(Hanbiza) - 인사, 급여, 아웃소싱 (SaaS 표준등급) - 인증 기간: 2022년 5월 3일 ~ 2023년 8월 31일 10. 미세와치 (공기질 관리 서비스) (SaaS 간편등급) - 인증 기간: 2022년 5월 3일 ~ 2025년 5월 2일 11. CODE-RAY CLOUD (SaaS 표준등급) - 인증 기간: 2022년 3월 18일 ~ 2025년 3월 17일. 이와 같은 인증 현황은 CSAP 제도의 필요성을 강조하며, 공공기관에 안정성과 신뢰성을 제공하는 역할을 하고 있습니다.

  • 5-2. CSAP 인증의 사회적 영향

  • CSAP 인증은 2016년에 시행된 이후, 공공부문 클라우드 서비스의 보안 우려를 해소하기 위한 제도로 자리잡았습니다. 하지만 CSAP는 글로벌 IT 기업인 Microsoft, AWS, IBM 및 Google과 같은 주요 클라우드 서비스 제공 업체들이 인증을 취득하는 데 어려움을 겪고 있으며, 이는 CSAP의 규제적 특성이 문제로 지적되고 있습니다. 2019년 12월 기준, 인증을 받은 18개 클라우드 서비스 중 글로벌 Tech 기업은 단 한 곳도 포함되지 않았습니다. 이러한 상황은 한국의 디지털 전환 정책과 상반되는 결과를 초래하며, 과도한 규제로 인해 사회경제적 기회비용이 증가하고 있는 것으로 평가됩니다. 특히 민간 분야로의 적용 확대는 여러 가지 문제를 유발하고 있으며, CSAP의 인증 절차와 기준이 과거보다도 더 유연한 개선이 필요하다는 의견이 제기되고 있습니다.

6. CSAP의 문제점 및 개선 필요성

  • 6-1. CSAP의 독소조항 및 규제 문제

  • 클라우드 보안 인증제도 CSAP는 한국인터넷진흥원(KISA)에서 주관하며, 공공 클라우드 서비스 제공에 필수적인 인증으로 자리잡고 있습니다. 하지만 CSAP는 여러 독소조항을 포함하고 있어 글로벌 IT 기업들의 시장 진입을 차단하는 수단으로 인식되고 있습니다. 2016년 CSAP 인증제도 시행 이후, Microsoft, AWS, IBM, Google과 같은 글로벌 클라우드 서비스 제공자(CSP) 중 단 한 곳도 CSAP 인증을 획득하지 못한 상황입니다. 특히, CSAP는 FedRAMP와 비교하면 모든 조건을 충족해야 비로소 인증을 받을 수 있는 구조를 가지고 있어 인식되고 있으며, 이는 OECD 국가에서는 보기 힘든 독특한 한국 특유의 IT 규제로 작용하고 있습니다. 이러한 점들은 CSAP가 지향하는 보안 강화의 목적성을 상실하게 만드는 요소로 작용하고 있습니다.

  • 6-2. 사회경제적 기회비용

  • CSAP의 극도로 제한적이고 폐쇄적인 규정은 디지털 전환 정책과도 정면으로 배치되며, 정부의 목표인 클라우드 서비스의 민간 부문으로의 확산에 심각한 악영향을 미치고 있습니다. 2020년부터 CSAP는 공공부문을 넘어 민간 분야인 보건 시장으로까지 적용되며 문제를 더 확대시키고 있습니다. 이로 인해 발생 가능한 보안 문제에 비해 여러 사회, 경제적 기회비용이 증가하고 있으며, 이는 더 이상 무시할 수 없는 현상이 되었습니다. CSAP의 개선 또는 완화가 이루어진다면 이러한 기회비용을 줄이고, 보다 효과적인 클라우드 서비스의 도입이 가능해질 것으로 예상됩니다.

결론

  • CSAP는 공공 부문에 클라우드 서비스 제공을 위한 필수적인 보안 인증이지만, 지나친 규제로 인해 민간 기업, 특히 글로벌 IT 기업들이 이 인증을 획득하는 데 큰 어려움을 겪고 있습니다. 이는 KISA가 운영하는 CSAP의 규제적 특성으로 인한 문제로, 한국의 디지털 전환 정책에 저해 요인으로 작용하고 있습니다. 이러한 규제의 완화와 CSAP의 개선이 이루어진다면 사회경제적 기회비용을 줄이는 동시에, 보다 많은 공공 및 민간 부문에서 안전하고 신뢰성 있는 클라우드 서비스의 보급이 가능해질 것입니다. 미래에는 CSAP의 유연한 인증 체계 도입과 국제적 기준과의 조화를 통해 글로벌 기업들도 쉽게 참여할 수 있는 보안 인증 환경이 조성되어야 할 것입니다.

용어집

  • CSAP [클라우드 보안 인증제도]: CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도이다. 공공기관에 안정성 및 신뢰성이 검증된 클라우드 서비스를 공급하기 위해 민간 기업이 필수적으로 인증을 받아야 하며, 이는 클라우드 서비스의 보안 기준을 강화하는 데 기여하고 있다.
  • KISA [기관]: 한국인터넷진흥원(KISA)은 클라우드 보안 인증제도 CSAP를 운영하는 기관으로, 정보보호 및 클라우드 서비스의 안전성을 높이는 역할을 담당하고 있다.

출처 문서