CSAP의 글로벌 진입 장벽과 개선 방향

1. 요약

• 본 리포트는 클라우드 보안 인증제인 CSAP에 대한 포괄적 분석을 다루고 있으며, CSAP의 구조와 목적, 인증 절차 및 유형에 대한 구체적인 설명을 제공합니다. 한국인터넷진흥원(KISA)이 관리하는 이 제도는 공공기관에 안전하고 신뢰성 있는 클라우드 서비스를 공급하기 위한 필수 조건으로, IaaS, DaaS, SaaS 유형별로 나뉩니다. 그러나 CSAP의 까다로운 조건은 글로벌 기업들의 진입을 어렵게 하고, 그로 인해 데이터 경제와 AI 시대의 발전을 저해하고 있는 상황을 지적합니다. 최근 제도 개편 논의를 통해 등급제를 도입하고 물리적 분리 요건을 완화하려는 시도가 있음을 설명합니다.

2. CSAP 개요

• 2-1. CSAP의 정의 및 목적

• CSAP(Cloud Security Assurance Program)는 클라우드 서비스 제공자가 제공하는 서비스에 대해 정보보호 수준을 향상 및 보장하기 위해 보안 인증 기준에 적합한 클라우드 컴퓨팅 서비스에 대해 보안인증을 수행하는 제도입니다. 이 제도의 목적은 공공기관에 안전하고 신뢰성 있는 클라우드 서비스를 제공하기 위함입니다. CSAP 인증은 민간 기업이 공공 부문에 클라우드 서비스를 공급하기 위해 필수적으로 요구되는 프로세스입니다.

• 2-2. CSAP 도입 배경

• 한국 정부는 2016년부터 클라우드 서비스 도입에 따른 공공기관의 보안 우려를 해소하기 위해 CSAP를 시행하였습니다. CSAP는 한국인터넷진흥원(KISA)이 미국의 공공부문 클라우드 인증제인 FedRAMP를 참고하여 만들어졌으나, 두 인증 체계는 서로 다르게 설계되었습니다. CSAP는 모든 통제항목의 조건을 충족해야만 인증을 받을 수 있는 구조로, 이는 글로벌 기업들이 진입하기에 어려운 장벽을 형성하고 있습니다. 2019년 12월 기준으로, 미국의 Microsoft, AWS, IBM, Google과 같은 글로벌 클라우드 서비스 제공 기업들이 CSAP 인증을 받은 사례는 없습니다.

3. CSAP 인증 유형 및 절차

• 3-1. CSAP 인증의 유형 (IaaS, DaaS, SaaS)

• CSAP(Cloud Security Assurance Program) 인증 제도는 클라우드 서비스 제공자가 제공하는 서비스에 대해 안전성 및 신뢰성을 검증하기 위해 필요한 인증으로, 크게 세 가지 유형으로 분류됩니다. 이에는 IaaS(서비스형 인프라), DaaS(서비스형 데스크톱), SaaS(서비스형 소프트웨어)가 포함됩니다. 각 인증의 등급은 상, 중, 하로 나뉘며, 모든 인증의 유효 기간은 5년입니다. - IaaS: 서버, 네트워크, OS, 스토리지를 포함한 클라우드 인프라를 가상화하여 제공하는 서비스입니다. - DaaS: 아웃소싱 형태의 가상화된 데스크톱 환경을 제공하는 서비스입니다. - SaaS: 고객을 대신하여 소프트웨어와 데이터를 제공하는 서비스입니다.

• 3-2. CSAP 인증 절차 및 평가 방법

• CSAP 인증 절차는 인증 신청 후 여러 단계의 평가로 이루어집니다. 인증은 최초 평가, 사후 평가, 갱신 평가의 세 가지 단계로 진행됩니다. - 최초 평가: 인증을 처음 신청하거나 인증 범위에 변경 사항이 있을 경우 실시하는 평가입니다. - 사후 평가: 인증 취득 이후 보안 인증 기준의 준수 여부를 확인하는 평가로, 인증 유효 기간 내에 매년 1회 이상 수행해야 합니다. - 갱신 평가: 인증 유효기간이 만료되기 전에 연장을 원하는 경우 실시하는 평가로, 갱신 평가를 통과하면 5년의 유효기간이 다시 부여됩니다.

4. CSAP의 사회경제적 영향

• 4-1. CSAP의 경제적 기회비용

• 클라우드 보안 인증제(CSAP)는 2016년부터 시행된 제도로, 공공기관에 안전하고 신뢰성 있는 클라우드 서비스를 제공하기 위해 도입되었습니다. 그러나 CSAP의 통제항목은 매우 엄격하며, 모든 조건을 충족해야 인증을 받을 수 있는 구조로 되어 있습니다. 이러한 규정 때문에 글로벌 Tech 기업들이 인증을 획득하지 못하고 있으며, 2016년 이후 현재까지 CSAP 인증을 받은 글로벌 기업은 없는 상황입니다. 이에 따라, CSAP는 극도로 제한적인 규정으로 인해 시장 진입 장벽이 높아지고 있으며, 결과적으로 데이터 경제와 AI 시대의 발전을 저해하고 있습니다. 정부의 디지털 전환 정책 로드맵과도 상충되는 모습입니다. CSAP가 극단적으로 보안 우려를 앞세워 경제적 기회비용을 증가시키고 있다는 점이 지적되고 있습니다.

• 4-2. CSAP가 가져오는 시장 진입 장벽

• CSAP는 한국인터넷진흥원(KISA)이 주관하는 인증 제도로, 공공부문에만 적용되며 클라우드 서비스 제공업체가 반드시 인증을 받아야 시장에 진입할 수 있습니다. 얼마 전, CSAP의 인증 체계가 개편되어 상·중·하 등급으로 나누어진다는 발표가 있었습니다. 이는 기존의 물리적 분리 요건을 완화하여 공공 시장에 민간 기업의 진입을 활성화하기 위한 조치입니다. 하지만 이러한 변화에도 불구하고, 현재까지도 CSAP가 요구하는 통제항목과 인증 기준이 특히 글로벌 기업에게는 상당한 장벽으로 작용하고 있습니다. 예를 들어, 민간 클라우드 데이터 센터와 공공 데이터 센터를 물리적으로 완전히 분리해야 하며, 데이터 저장 위치가 국내여야 한다는 조건은 글로벌 기업에게 큰 부담이 되는 요소입니다. 따라서 CSAP는 기존의 인증 구조로 인해 시장 진입 장벽을 여전히 유지하고 있으며, 이로 인해 공공부문의 디지털 전환이 저해될 수 있는 상황입니다.

5. CSAP의 문제점

• 5-1. CSAP 인증의 한계

• 클라우드 보안 인증제(CSAP)는 2016년부터 시행되고 있으며, 주로 공공기관에 안전하고 신뢰성 있는 클라우드 서비스를 제공하기 위해 도입되었습니다. 현재 CSAP 인증 제도는 글로벌 Tech 기업들이 전혀 획득하지 못하는 독소조항을 포함하고 있어, 시장 진입의 큰 장벽으로 작용하고 있습니다. 특히 CSAP는 모든 통제항목 조건을 충족해야 인증을 받을 수 있는 구조로 되어 있으며, 이는 FedRAMP와는 다른 특징입니다. CSAP 인증을 받기 위해서는 물리적 망분리, 물리적 위치, 보안 인증(CC 인증) 등의 기준을 충족해야 하는데, 이는 정부의 정책과 관련해 기존의 CSAP가 디지털 전환을 저해하고 있다는 비판을 받고 있습니다. 2019년 12월 기준, CSAP 인증을 받은 클라우드 서비스는 18개로, 이 중에서 글로벌 Tech 기업은 단 하나도 포함되어 있지 않았습니다.

• 5-2. 글로벌 기업의 CSAP 인증 미획득 현황

• 현재까지 Microsoft, AWS, IBM, Google 등 주요 클라우드 서비스 제공 기업들은 CSAP 인증을 획득하지 못하였습니다. 이러한 현상은 CSAP의 제한적이고 폐쇄적인 규정들이 글로벌 기업의 참여를 받지 못하게 만들고 있다는 것을 시사합니다. CSAP의 구조는 OECD 국가에서 유사한 사례를 찾아보기 어려운 특이한 한국만의 IT 규제로 인식되고 있으며, 이는 결국 CSAP의 목적을 저해하는 요소로 작용하고 있습니다. 특히, CSAP는 공공부문을 넘어 민간 분야인 보건 시장에서도 문제를 일으키고 있으며, 이러한 규제가 발생 가능한 보안 문제를 우려하며 증가하고 있는 사회경제적 기회비용을 초래하고 있습니다.

6. CSAP 인증 개편 논의

• 6-1. CSAP 개편 배경

• CSAP(Cloud Security Assurance Program)는 2016년부터 시행된 클라우드 보안 인증 제도로, 클라우드 서비스 제공자가 정보보호 기준을 준수하는지를 평가하기 위해 국가에서 지정된 인증기관, 즉 한국인터넷진흥원(KISA)에서 인증을 수행하고 있습니다. 이 제도는 클라우드 서비스 시장에 진입하려는 기업들에게 필수적인 인증으로 자리잡고 있으며, 공공기관에 안전하고 신뢰성 있는 클라우드 서비스를 공급하기 위해 도입되었습니다. 최근 클라우드 보안 인증제의 개편이 논의되고 있으며, 이에는 CSAP의 등급제를 도입하자는 요구가 포함되어 있습니다. 이는 공공 부문에서 클라우드 서비스의 이용을 활성화하기 위해 민간 클라우드 이용이 제한되었던 기존의 정책을 개선하고자 하는 노력의 일환입니다.

• 6-2. CSAP 등급제 도입의 필요성

• CSAP 등급제 도입은 기존 인증 체계의 단일성을 해소하고, 공공기관의 필요와 클라우드 서비스 제공자의 상황을 반영한 세분화된 인증을 가능하게 합니다. 현재 CSAP 인증은 IaaS, DaaS, SaaS 유형으로 구분되지만, 인증 등급이 상ㆍ중ㆍ하로 나뉘면서 보다 구체적인 기준을 통해 비공식적인 서비스들까지 포괄할 수 있는 가능성을 열어줄 것으로 전망됩니다. 특히, 등급제가 도입됨으로써 민간 클라우드 업체들이 공공 시장에 진입할 수 있는 기회가 제공되며, '하' 등급 시스템에 대해서는 기존의 물리적 분리 요건을 완화해 '논리적 분리'를 허용하는 방향으로 변화할 전망입니다. 이러한 변화는 공공 부문의 디지털 전환을 촉진할 수 있습니다.

결론

• 리포트는 CSAP가 클라우드 서비스 시장에서 중요하지만, 현재의 인증 구조가 글로벌 기업의 진입을 막고 있음을 강조합니다. KISA가 관리하는 이 제도의 복잡성과 높은 기준이 공공부문 디지털 전환을 저해하고 있으며, 이는 공공기관의 클라우드 서비스 제공에 있어 안전성과 신뢰성을 보장하는 CSAP의 본래 목적을 역행하고 있습니다. CSAP의 개편 요구에는 등급제 도입 및 물리적 분리 완화가 포함되어 있으며, 이는 공공부문뿐만 아니라 민간 클라우드 업체의 시장 접근성을 높여 디지털 전환을 촉진할 수 있습니다. 따라서 이러한 변화는 시장 활성화를 위한 필수적인 방향입니다. 향후 더 많은 글로벌 기업들이 참여할 수 있도록 CSAP 규제의 유연성을 강화하고 국제 표준과의 조화로운 절합이 필요합니다.

용어집

• CSAP [클라우드 보안 인증제]: CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 관리하는 클라우드 서비스 보안 인증 제도로, 공공기관에 안전하고 신뢰성 있는 클라우드 서비스를 제공하기 위해 도입되었습니다. CSAP의 인증을 받은 클라우드 서비스는 국가와 공공기관에서 사용될 수 있으며, 인증을 통해 정보보호 기준을 준수하고 있음을 입증합니다.

• KISA [기관]: KISA(한국인터넷진흥원)는 한국의 정보보호와 인터넷 발전을 위해 설립된 기관으로, CSAP 인증을 관리하고 평가하는 주체입니다. KISA는 클라우드 서비스 제공자에 대한 보안 기준을 개발하고, 인증을 통해 서비스의 안전성을 검증합니다.

출처 문서

• 국가·공공기관 클라우드 보안 서비스 공급 필수관문, ‘CSAP’ 란? | SK쉴더스https://www.skshieldus.com/blog-security/security-trend-idx-15
• 클라우드 보안인증제(CSAP) 개선에 따른 사회경제적 편익의 ...https://scholarworks.bwise.kr/hanyang/bitstream/2021.sw.hanyang/138512/1/KCI_FI002792325.pdf
• 신시웨이 | 데이터베이스 보안 전문 기업https://www.sinsiway.com/kr/pr/blog/view/359/page/2
• 금융IT 이슈 따라잡기(읽기)<뉴스룸https://www.koscom.co.kr/portal/bbs/B0000065/view.do?nttId=29533&searchCnd=&searchWrd=&gubun=&delcode=0&searchBgnDe=&searchEndDe=&useAt=&replyAt=&menuNo=200621&sdate=&edate=&deptId=&isk=&ise=&viewType=&type=&year=&pageIndex=