Your browser does not support JavaScript!

CSAP로 클라우드 서비스 안전성 확보

일반 리포트 2025년 01월 13일
goover

목차

  1. 요약
  2. CSAP의 정의 및 중요성
  3. CSAP 인증제도의 유형
  4. CSAP 인증 절차 및 평가
  5. CSAP 인증 현황
  6. 법적 근거 및 규정
  7. 결론

1. 요약

  • 본 리포트는 한국인터넷진흥원(KISA)이 주관하는 클라우드 보안 인증 제도인 CSAP(Cloud Security Assurance Program)의 중요한 측면을 다룹니다. CSAP의 목표는 공공기관에 안전하고 신뢰할 수 있는 클라우드 서비스를 제공하는 것으로, 이는 민간 기업이 공공 부문에 클라우드 서비스를 공급하기 위한 필수 관문이기도 합니다. CSAP의 구조와 절차는 IaaS, DaaS, SaaS 등 다양한 형태의 클라우드 서비스에 대한 평가를 통해 보안성과 신뢰성을 검증합니다. 본 보고서에서는 CSAP의 인증 절차와 평가방법, 현재 인증된 기업에 대한 정보를 제공하며, 관련 법률과 규정도 설명합니다.

2. CSAP의 정의 및 중요성

  • 2-1. CSAP의 개념

  • CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다. 이 제도는 클라우드 서비스 제공자가 제공하는 서비스에 대해 정보보호 수준을 향상시키고 보장하기 위해 설정된 보안 인증 기준에 적합한 서비스를 평가하여 인증을 수행하는 것입니다. 또한, CSAP는 공공기관의 안전한 보안 시스템 구축을 위해 필수적으로 요구되는 인증으로, 민간 기업이 공공 부문에 클라우드 서비스를 제공하기 위해 반드시 통과해야 하는 관문으로 여겨집니다.

  • 2-2. CSAP의 중요성

  • CSAP 인증은 공공기관과 민간기업 간의 클라우드 서비스 제공에서 매우 중요한 역할을 합니다. 이 인증을 통해 공공기관은 안전하고 신뢰할 수 있는 클라우드 서비스를 이용할 수 있으며, 이를 통해 정보보호 수준이 향상되고 사용자 보호가 강화됩니다. 또한, CSAP는 클라우드 서비스의 경쟁력 강화를 도모하며, 인증을 받은 서비스는 공공부문에 서비스를 제공할 수 있는 기회를 얻습니다. 특히, CSAP 인증은 클라우드 서비스의 수준을 검증함으로써 공공기관 및 이용자들 사이의 신뢰를 구축하는 데 기여하고 있습니다.

3. CSAP 인증제도의 유형

  • 3-1. CSAP 인증의 유형

  • CSAP(Cloud Security Assurance Program)는 클라우드 서비스 제공자가 제공하는 서비스에 대해 정보보호 수준의 향상 및 보장을 위하여 보안인증 기준에 적합한 클라우드컴퓨팅 서비스에 대하여 보안인증을 수행하는 제도입니다. CSAP 인증은 민간 기업이 공공 부문에 클라우드 서비스를 공급하기 위해 필수적으로 요구되는 인증으로, 안전성과 신뢰성이 검증된 클라우드 서비스를 제공하기 위한 목적이 있습니다.

  • 3-2. IaaS, DaaS, SaaS의 정의

  • CSAP의 인증은 클라우드 서비스 구축 형태에 따라 크게 IaaS, DaaS, SaaS로 구분됩니다. - IaaS(서비스형 인프라스트럭처): 서버, 네트워크, OS, 스토리지를 가상화하여 제공하고 관리하는 서비스입니다. - DaaS(서비스형 데스크톱): 아웃소싱 형태로 가상화된 데스크톱 환경을 제공하고 관리하는 서비스입니다. - SaaS(서비스형 소프트웨어): 고객을 대신하여 소프트웨어와 데이터를 제공하고 관리하는 서비스입니다. 각 인증의 등급은 상, 중, 하로 구분되며, 인증의 유효 기간은 5년입니다.

4. CSAP 인증 절차 및 평가

  • 4-1. CSAP 인증 절차

  • CSAP 인증 획득 과정은 크게 준비단계, 평가단계, 인증단계의 총 3단계로 구성됩니다. 준비 단계에서는 기획 및 설계를 진행하고, 이후 신청서를 제출합니다. 서류 검토 및 보안인증계약 체결 후 예비 점검이 이뤄지며, 특별한 문제가 없을 경우 예비 점검을 기반으로 협의된 일정에 따라 인증 심사가 진행됩니다. 인증 심사 후 결함 및 보완조치 사항에 대한 조치를 이행한 후, 이행 점검이 실시됩니다. 마지막 인증 단계에서는 인증위원회를 개최하여 인증서가 발급됩니다. CSAP 인증을 위한 전체적인 준비 기간은 인증 유형에 따라 최소 6개월에서 최대 12개월까지 소요될 수 있습니다.

  • 4-2. CSAP 평가의 종류

  • CSAP 인증은 최초평가, 사후평가, 갱신평가의 3단계로 진행됩니다. 최초 평가는 인증 신청이 처음이거나 인증 범위에 변경 사항이 발생했을 때 실시됩니다. 사후 평가는 인증을 받은 후 인증 기준 준수 여부를 점검하는 평가로, 보안인증 유효기간 내에 매년 1회 이상 시행되어야 합니다. 마지막으로 갱신평가는 인증 유효기간이 만료되기 전에 인증 연장을 원할 경우 수행되는 평가로, 이 평가를 통과하면 인증의 유효기간이 5년 연장됩니다.

5. CSAP 인증 현황

  • 5-1. 현재 CSAP 인증을 받은 기업

  • 현재 CSAP 인증을 받은 기업 목록은 다음과 같습니다: 1. 디지털 사이니지 통합 관제 플랫폼 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 2. 도매시장 유통정보 시스템 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 3. uPrism Meetings (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 4. NAVER WORKS for 공공용 (SaaS 간편등급) - 인증 기간: 2022년 10월 19일 ~ 2025년 10월 18일 5. Hyperbridge (AI 기록물 통합관리 시스템) (SaaS 간편등급) - 인증 기간: 2022년 10월 19일 ~ 2025년 10월 18일 6. 재난현장조치행동매뉴얼시스템 (LiveDRMS) (SaaS 간편등급) - 인증 기간: 2022년 9월 23일 ~ 2025년 9월 22일 7. DIGITAL TWIN CLOUD (SaaS 간편등급) - 인증 기간: 2022년 8월 9일 ~ 2025년 8월 8일 8. StrategyGATE (전략성과관리솔루션) (SaaS 표준등급) - 인증 기간: 2022년 8월 9일 ~ 2027년 8월 8일 9. 크리니티 G-Cloud 보안메일 (SaaS 간편등급) - 인증 기간: 2022년 5월 24일 ~ 2025년 5월 23일 10. 건축물에너지소요량 간이평가시스템 (ZeBEST) (SaaS 간편등급) - 인증 기간: 2022년 5월 24일 ~ 2023년 5월 23일 11. 한비자 (Hanbiza) - 인사, 급여, 아웃소싱 (SaaS 표준등급) - 인증 기간: 2022년 5월 3일 ~ 2023년 8월 31일 12. 미세와치 (공기질 관리 서비스) (SaaS 간편등급) - 인증 기간: 2022년 5월 3일 ~ 2025년 5월 2일 13. 온더라이브 클라우드 (SaaS 간편등급) - 인증 기간: 2022년 4월 7일 ~ 2025년 4월 6일 14. Spiceware PII ANP (SaaS 표준등급) - 인증 기간: 2022년 4월 7일 ~ 2027년 4월 6일 15. Spiceware One (SaaS 표준등급) - 인증 기간: 2022년 4월 7일 ~ 2027년 4월 6일 16. 하이웍스 단독 구축형 웹메일 (SaaS 간편등급) - 인증 기간: 2022년 4월 7일 ~ 2025년 4월 6일 17. 예비군 원격교육 시스템 (SaaS 간편등급) - 인증 기간: 2022년 3월 18일 ~ 2025년 3월 17일 18. 민방위 교육훈련 통합관리 솔루션 (SaaS 간편등급) - 인증 기간: 2022년 3월 18일 ~ 2025년 3월 17일 19. CODE-RAY CLOUD (SaaS 표준등급)

  • 5-2. 인증 현황 데이터

  • CSAP 인증을 받은 기업들의 인증 기간과 등급 정보를 포함하여, 인증 현황 데이터는 다음과 같습니다: - 다양한 서비스가 인증을 받아 각각의 인증 등급과 기간을 명시하고 있으며, 이는 KISA의 공식 홈페이지에서 확인할 수 있습니다. 공공부문에 클라우드 서비스를 제공하고자 하는 민간기업은 CSAP 인증을 통해 신뢰성을 확보할 수 있습니다.

6. 법적 근거 및 규정

  • 6-1. 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률

  • 「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」은 클라우드 서비스의 신뢰성 향상과 이용자 보호를 위해 마련된 법령입니다. 이 법령의 제4장에서는 클라우드 서비스의 안전한 이용을 위한 규정을 두고 있으며, 특히 23조의 2항에서 클라우드 컴퓨팅 서비스의 보안 인증에 대한 세부 사항을 규정하고 있습니다. 이 조항은 과학기술정보통신부장관이 정보보호 수준을 향상시키기 위해 보안 인증 기준에 적합한 클라우드 컴퓨팅 서비스에 대해 인증을 할 수 있도록 규정하고 있습니다. 또한, 보안 인증의 유효 기간 및 갱신에 대한 조건도 포함되어 있습니다.

  • 6-2. CSAP의 법적 규제

  • CSAP(Cloud Security Assurance Program)은 한국인터넷진흥원(KISA)이 주관하는 클라우드 서비스 보안 인증 제도로, 공공기관에게 안전하고 신뢰성 있는 민간 클라우드 서비스를 제공하기 위해 시행되고 있습니다. CSAP 인증을 갖춘 클라우드 서비스 제공자는 인증 마크를 문서, 송장 및 광고에 표시할 수 있으나, 이는 100% 안전을 보장하지는 않습니다. CSAP 인증은 클라우드 서비스 이용을 위한 최소한의 정보 보호 요건을 충족했음을 의미합니다. CSAP의 인증 유형은 IaaS, SaaS, DaaS로 분류되며, 인증 등급은 상, 중, 하로 나뉩니다. 평가의 종류로는 최초 평가, 사후 평가, 갱신 평가가 있으며, 최초 평가는 첫 인증 신청 시 혹은 인증 범위에 중요한 변경이 있을 때 실시됩니다. 사후 평가는 인증 후 기준 준수를 확인하는 평가이며, 갱신 평가는 인증의 유효 기간이 만료되기 전에 실시하는 평가입니다.

결론

  • CSAP(Cloud Security Assurance Program)는 공공기관과 민간 기업 간의 클라우드 서비스 제공에서 필수적인 보안 인증 제도로, KISA에 의해 운영되고 있습니다. 이 인증은 클라우드 서비스의 정보보호 수준을 향상시키고, 사용자의 보호를 강화하여 신뢰성 있는 서비스 제공을 가능하게 합니다. 그러나 CSAP 인증이 모든 보안 문제를 해결하는 것은 아니며, 인증을 받은 클라우드 서비스도 지속적인 관찰과 관리가 필요합니다. 앞으로 CSAP 인증 제도의 발전은 클라우드 서비스의 신뢰성 향상에 기여할 것으로 기대됩니다. 더불어, 민간 기업은 CSAP 인증을 통해 공공 부문 시장에 진입할 수 있는 기회를 확보할 수 있습니다.

용어집

  • CSAP [보안 인증 제도]: CSAP는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도로, 공공기관에 안전성과 신뢰성이 검증된 클라우드 서비스를 제공하기 위한 필수 인증입니다. 이 인증은 민간 기업이 공공 부문에 클라우드 서비스를 공급하기 위해 반드시 취득해야 하며, 인증의 유효 기간은 5년입니다.
  • KISA [기관]: KISA(한국인터넷진흥원)는 정보보호와 클라우드 서비스의 안전성을 증진하기 위한 정책과 제도를 수립하고 운영하는 정부 기관으로, CSAP 인증제도를 관리하고 있습니다.
  • 클라우드 서비스 [기술]: 클라우드 서비스는 인터넷을 통해 서버, 스토리지, 데이터베이스, 네트워크, 소프트웨어 등의 컴퓨팅 리소스를 제공하는 서비스로, 다양한 형태(IaaS, DaaS, SaaS)로 제공됩니다.

출처 문서