Your browser does not support JavaScript!

한국 클라우드 보안 인증의 현황과 과제

일반 리포트 2024년 12월 23일
goover

목차

  1. 요약
  2. CSAP 인증의 정의 및 필요성
  3. CSAP 인증의 도입 현황
  4. 국내 클라우드 시장의 CSAP 인증 현황
  5. CSAP 인증의 기업 및 정부 반응
  6. CSAP 인증의 도전 과제 및 향후 방향
  7. 결론

1. 요약

  • 이 리포트는 한국의 클라우드 보안 인증제도, CSAP의 현재 상황과 향후 과제를 다룹니다. CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 주관하는 제도로, 공공 부문에 클라우드 서비스를 제공하기 위한 필수 인증입니다. 리포트는 CSAP 인증의 도입 배경, 절차, 그리고 2023년 새로 도입된 등급제에 대해 설명하며, AWS와 MS와 같은 주요 클라우드 제공자의 시장 점유율을 분석합니다. 또한, 국내외 기업의 CSAP 인증 취득에 따른 부담과 클라우드 시장에서의 경쟁력 이슈를 다루며, 향후 개선 방향을 제안합니다.

2. CSAP 인증의 정의 및 필요성

  • 2-1. CSAP 인증 개요

  • CSAP(Cloud Security Assurance Program)는 클라우드 보안 인증 제도로, 한국인터넷진흥원(KISA)에서 주관합니다. CSAP 인증은 공공 부문에서 클라우드 서비스를 제공하기 위한 필수 인증으로 자리 잡고 있습니다. 공공 클라우드 활용을 목표로 하는 민간 기업은 KISA의 CSAP 인증을 취득해야 하며, 이를 통해 인증을 받은 서비스만이 공공 클라우드 사업에 입찰할 수 있습니다. 최근 CSAP 인증을 취득한 서비스 목록에는 디지털 사이니지 통합 관제 플랫폼, 도매시장 유통정보 시스템 등 다양한 SaaS 간편등급 서비스가 포함되어 있습니다. 현재까지 많은 서비스가 SaaS 간편등급을 목표로 하고 있으며, CSAP 인증이 제도적으로 요구되는 이유는 공공기관의 클라우드 서비스 도입을 위한 신뢰성 보장과 관련이 깊습니다.

  • 2-2. 공공부문에서의 클라우드 서비스 필요성

  • 공공부문에서는 클라우드 서비스를 통해 데이터 보안, 서비스 가용성, 고객 데이터 보호를 중점적으로 요구합니다. CSAP는 특히 공공기관 및 금융 분야에서 데이터 보호 요건을 충족하고, 클라우드 인프라의 보안과 서비스 운영 관리를 보장하는 인증 체계입니다. 예를 들어, 보안 인증 취득은 B2B SaaS 제품의 경우 평균 6개월에서 1년 정도 소요되며, 체계적인 준비가 필요합니다. CSAP 인증을 통해 공공기관은 클라우드 서비스를 보다 안전하고 신뢰할 수 있는 환경에서 이용하고 있으며, 이는 공공부문의 디지털 전환에 긍정적인 영향을 미치고 있습니다. 이러한 점에서 CSAP 인증은 공공부문에서 클라우드 서비스를 제공하는 기업에 있어 필수조건으로 작용하고 있습니다.

3. CSAP 인증의 도입 현황

  • 3-1. CSAP 인증 도입 배경 및 절차

  • CSAP(Cloud Security Assurance Program) 인증은 2016년부터 시행된 제도로, 국가가 지정한 인증기관(KISA, 한국인터넷진흥원)이 클라우드 서비스 제공자의 이용자 정보 보호 기준 준수 여부를 평가하여 인증하는 제도입니다. 클라우드 사업자가 정부, 공기업, 교육기관 등의 클라우드 서비스 시장에 진입하기 위해서는 반드시 CSAP 인증을 획득해야 합니다. CSAP 인증의 도입 배경은 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조2항에 근거하고 있으며, 인증 과정에서는 물리적 망분리, 물리적 위치, 보안 인증(CC 인증)과 같은 기준을 충족해야 합니다. 특히 민간 기업의 클라우드 데이터 센터와 공공의 데이터 센터를 하드웨어 단계에서 완벽히 분리하는 물리적 분리와, 가상머신과 운영체제 단계에서 분리하여 서로 데이터가 섞이는 것을 막는 논리적 분리의 개념이 중요하게 다루어졌습니다. 2024년 말까지 KISA의 CSAP 인증을 보유한 업체는 CC 인증을 따로 받지 않아도 클라우드 시장에 진입 가능하다는 한시적인 조항도 시행되고 있습니다.

  • 3-2. 2023년 CSAP 인증 등급제 도입

  • 2023년에는 CSAP 인증을 보다 세분화하여 상·중·하 등급으로 나누는 등급제가 도입되었습니다. '상' 등급은 민감 정보를 포함하거나 행정 내부 업무 운영 시스템을 대상으로 하며, '중' 등급은 비공개 업무 자료를 포함하거나 운영하는 시스템을, '하' 등급은 개인 정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템으로 설정되었습니다. 특히, '하' 등급 시스템에 대해서는 국내 SaaS 사업자가 공공 시장에 신규 진입할 수 있도록 기존의 민간·공공 영역 간 '물리적 분리' 요건을 완화하고 '논리적 분리'를 허용하는 변화가 있었습니다. 이는 클라우드 시장 전반을 활성화하고 공공부문에서의 클라우드 서비스 이용을 촉진하기 위한 조치로 평가되고 있습니다.

4. 국내 클라우드 시장의 CSAP 인증 현황

  • 4-1. 국내 클라우드 시장 점유율 분석

  • 2023년 부가통신사업 실태조사 결과에 따르면, 국내 클라우드 시장은 AWS가 60%, MS가 24%, 기타 기업이 16%의 점유율을 차지하고 있습니다. AWS는 기술력, 안정성 및 글로벌 네트워크를 기반으로 공공 및 민간 시장에서 높은 신뢰를 얻으며, 시장에서 절대적인 강자로 자리잡고 있습니다. 반면, MS는 Office 365와 같은 기업 솔루션과 통합된 클라우드 서비스의 경쟁력을 바탕으로 시장 점유율을 확대하고 있습니다.

  • 4-2. CSAP 인증을 받은 기업 현황

  • 국내 클라우드 서비스 보안인증제(CSAP)는 한국인터넷진흥원(KISA)이 운영하며, 클라우드 서비스 제공자의 보안 기준 준수 여부를 평가하는 인증 제도입니다. 와탭은 클라우드 서비스를 제공하기 위해 약 반년의 노력 끝에 CSAP 인증을 취득하였으며, 이 인증을 통해 공공기관에 서비스를 제공할 수 있는 자격을 확보하였습니다. CSAP 인증은 상, 중, 하의 3단계로 등급이 나뉘며, 특히 공공기관에 제공되는 서비스는 엄격한 기준을 준수해야 합니다. 최근 마이크로소프트는 CSAP ‘하’ 등급 인증을 획득하여 공공시장에 진입함으로써, 국내 클라우드 시장의 경쟁 구도에 중요한 변화를 예고하고 있습니다.

5. CSAP 인증의 기업 및 정부 반응

  • 5-1. 국내 기업의 CSAP 인증 반응

  • 국내 기업들은 한국의 클라우드 보안 인증제도(CSAP)에 대해 여러 가지 반응을 보이고 있습니다. 특히, 공공부문의 클라우드 서비스에 CSAP 인증을 획득해야만 참여할 수 있는 상황에서 인증의 필요성과 더불어 그에 따른 부담에 대한 논의가 활발합니다. 예를 들어, 하급 등급의 CSAP 인증을 요구함에 따라 일부 중소기업들이 원활한 사업 참여에 어려움을 겪고 있는 실태가 보고되고 있습니다. 또, 공공부문에서 사용 가능한 CSAP 인증을 가진 SaaS는 약 94개에 불과하며, 전체 공공 클라우드 서비스 시장 규모에 비해 이는 매우 적은 수치입니다. 이러한 상황은 기업이 공공시장에 진입하기 위해 필수적으로 인증을 획득해야 하므로, 인증 부담을 덜기 위한 개선책이 반드시 필요하다는 의견이 많습니다.

  • 5-2. 해외 기업의 CSAP 인증 부담

  • 해외 기업들은 한국의 CSAP 인증 제도를 '부담스러운 무역장벽'으로 보고하고 있습니다. 미국의 클라우드 사업자들은 CSAP 자격을 취득하지 못해 한국 공공시장에 들어가기 어렵다는 점에서 강한 불만을 표명하고 있습니다. 예를 들어, 미국 정부는 한국의 클라우드 컴퓨팅 법률에 대한 가이드라인을 통해 자국 기업이 차별을 받는 현상을 문제 삼았습니다. 이와 함께, CSAP 인증을 받기 위해 드는 비용과 시간이 해외 기업들의 진입을 저해하고 있습니다. 특히, 인증 과정에서 소비되는 평균 컨설팅 비용이 약 5,500만 원이며, 초기 인증 비용과 사후 평가 비용 등도 상당한 부담을 주고 있습니다. 이러한 점은 해외 기업의 공공시장 진입을 더욱 어렵게 만드는 요소로 작용하고 있습니다.

6. CSAP 인증의 도전 과제 및 향후 방향

  • 6-1. 업계의 CSAP 인증에 대한 우려

  • 클라우드 서비스 시장에서 CSAP(Cloud Security Assurance Program) 인증은 필수적으로 요구되는 인증입니다. 하지만 업계에서는 CSAP 인증 절차의 복잡성과 인증을 위한 비용 부담이 기업들에게 큰 부담으로 작용하고 있습니다. CSAP 인증을 받기 위해서는 물리적 망분리, 물리적 위치 등의 엄격한 기준을 충족해야 하며, 이는 중소기업에게 특히 큰 도전이 됩니다. 예를 들어, 클라우드 사업자가 공공기관의 클라우드 서비스 시장에 진입하기 위해서는 CSAP 인증을 반드시 확보해야 하고, 인증 절차는 평균 6개월에서 1년이 소요되는 대형 프로젝트로 간주되고 있습니다. 이러한 인증 절차의 복잡함과 시간 소요는 기업들이 인증을 추진하는 데 있어 큰 장벽으로 작용하고 있습니다.

  • 6-2. 정부의 CSAP 인증 정책 개선 필요성

  • 2023년 2월 6일 작성된 '금융IT 이슈 따라잡기' 기사에 따르면, 정부는 CSAP 인증 제도를 개편하여 클라우드 보안 인증 등급제를 도입할 계획을 세우고 있습니다. 이 개편은 클라우드 시장의 활성화와 더불어 민간 클라우드 이용이 제한적이었던 공공 영역의 개방을 목표로 하고 있습니다. 현재의 단일 보안 인증 체계를 상, 중, 하 등급으로 세분화할 예정입니다. 이러한 개선안은 특히 하 등급 시스템에 대해 기존의 '물리적 분리' 요건을 완화하고 '논리적 분리'를 허용하는 방향으로 진행되고 있습니다. 이는 공공 시장에 신규 진입할 수 있는 기회를 제공하고, 인증 절차의 간소화 및 기업의 부담 경감에 기여할 수 있는 방향으로 나아가고 있습니다.

결론

  • CSAP(Cloud Security Assurance Program)는 한국의 공공 부문에서 클라우드 서비스 도입을 위해 필수적인 인증 제도로서, 기업들에게 중요한 과제를 안겨주고 있습니다. AWS와 MS 등 여러 기업들이 이 인증을 취득하기 위해 직면하고 있는 비용 및 절차 상의 도전은 시장 진입의 주요 장벽으로 작용하고 있습니다. 정부는 CSAP 인증의 복잡성을 완화하고 물리적 위치 요건 등의 개선을 통해 기업의 부담을 덜어주는 정책이 필요합니다. 미래에는 CSAP 인증이 보다 유연하게 운영되도록 하여, 국내 클라우드 서비스의 경쟁력을 높이고, 다양한 이해관계자 간의 협력이 이루어져야 합니다. 이를 통해 공공 및 민간 부문 모두에서 클라우드 서비스 이용이 더욱 활성화될 것입니다.

용어집

  • CSAP [제도]: CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증으로, 공공부문에 클라우드 서비스를 제공하기 위해 필수적으로 요구되는 인증입니다. 이 인증은 클라우드 서비스 제공자의 보안 기준 준수 여부를 평가하여 공공기관이 안전하게 클라우드 서비스를 도입할 수 있도록 보장합니다.
  • AWS [기업]: Amazon Web Services(AWS)는 클라우드 컴퓨팅 서비스를 제공하는 아마존의 자회사로, 국내 클라우드 시장에서 높은 점유율을 기록하고 있습니다. CSAP 인증을 통해 공공 부문에도 진입하고자 하였으나, 인증 절차에서 발생하는 어려움과 규제에 대한 우려를 표명하고 있습니다.
  • MS [기업]: Microsoft는 Azure 클라우드 서비스를 통해 국내 클라우드 시장에 진입하고 있으며, CSAP 인증을 통해 공공부문 시장을 확대하고자 하는 노력을 기울이고 있습니다. 그러나 인증 절차의 복잡성으로 인해 진입 장벽이 존재하며, 이는 공공 SaaS 시장에 대한 도전 과제가 되고 있습니다.

출처 문서