Your browser does not support JavaScript!

클라우드 보안 필수 관문, CSAP

일반 리포트 2025년 01월 02일
goover

목차

  1. 요약
  2. CSAP의 개요
  3. CSAP 인증의 유형 및 등급
  4. CSAP 인증 평가 절차
  5. CSAP 인증 현황
  6. CSAP의 중요성
  7. 결론

1. 요약

  • 이 리포트는 한국인터넷진흥원이 주관하는 클라우드 보안 인증 제도인 CSAP에 대해 다루고 있습니다. CSAP는 공공 부문에서 클라우드 서비스를 제공하기 위해 필수적으로 요구되는 보안 인증입니다. 이 인증은 IaaS, DaaS, SaaS로 나뉘며, 각각 상, 중, 하의 등급으로 구분됩니다. 인증 절차는 최초 평가, 사후 평가, 갱신 평가로 이루어지며, 인증의 유효 기간은 5년입니다. CSAP는 법적으로 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의 2에 의해 시행됩니다. 현재까지 여러 기업이 다양한 클라우드 서비스에 대해 CSAP 인증을 받았으며, 이는 한국 인터넷진흥원(KISA)에서 주기적으로 업데이트됩니다. 이러한 인증 제도는 공공기관의 데이터 보호와 클라우드 서비스의 신뢰성 강화를 목표로 하고 있습니다.

2. CSAP의 개요

  • 2-1. CSAP의 정의

  • CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다. CSAP는 클라우드 서비스 제공자가 제공하는 서비스에 대하여 정보보호 수준의 향상 및 보장을 위해 보안인증 기준에 적합한 클라우드컴퓨팅 서비스에 대해 인증을 수행하는 시스템입니다. CSAP는 국가·공공기관에 안전성 및 신뢰성이 있는 클라우드 서비스를 공급하기 위해 민간 기업이 공공부문에 클라우드 서비스를 제공하기 위해 필수적으로 요구되는 인증입니다.

  • 2-2. CSAP의 필요성

  • CSAP 인증은 공공기관이 안전하고 신뢰할 수 있는 클라우드 서비스를 이용하기 위한 필수 관문으로 자리 잡았습니다. 한국인터넷진흥원(KISA)은 이용자의 보안 우려를 해소하고, 클라우드 서비스의 경쟁력 강화를 위해 CSAP 인증 제도를 정립하였습니다. CSAP 인증을 받은 클라우드 서비스는 법적으로 요구되는 정보보호 요건을 충족하고 있음을 의미합니다.

  • 2-3. CSAP의 법적 근거

  • CSAP 인증이 시행되는 법적 근거는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의 2입니다. 이 법령에서는 클라우드 서비스의 신뢰성 향상 및 이용자 보호를 위한 보안인증 기준을 규정하고 있습니다. 즉, 과학기술정보통신부장관은 정보보호 수준의 향상 및 보장을 위해 인증 기준에 적합한 클라우드 서비스에 대해 인증을 할 수 있도록 되어 있습니다. 인증의 유효 기간은 5년이며, 갱신을 원할 경우 유효기간의 연장을 신청해야 합니다.

3. CSAP 인증의 유형 및 등급

  • 3-1. CSAP 인증의 종류

  • CSAP(Cloud Security Assurance Program) 인증은 클라우드 서비스 제공자의 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안 인증을 수행하는 제도로서, 민간 기업이 공공 부문에 클라우드 서비스를 제공하기 위해 필수적으로 요구됩니다. CSAP 인증은 크게 IaaS(서비스형 인프라스트럭처), DaaS(서비스형 데스크톱), SaaS(서비스형 소프트웨어)의 세 가지 유형으로 구분됩니다.

  • 3-2. 인증 등급 및 유효 기간

  • CSAP 인증은 각 인증 유형에 따라 상, 중, 하의 세 가지 등급으로 나누어지며, 모든 인증의 유효 기간은 5년입니다. IaaS는 서버, 네트워크, 운영체제 및 저장소를 가상화하여 제공하는 서비스이고, DaaS는 가상화된 데스크톱 환경을 제공하는 서비스이며, SaaS는 고객을 대신하여 소프트웨어와 데이터를 제공하고 관리하는 서비스를 말합니다.

4. CSAP 인증 평가 절차

  • 4-1. 최초 평가

  • 최초 평가는 클라우드 서비스 제공자가 처음으로 인증을 신청하거나 인증 범위에 변경 사항이 있을 경우 다시 인증을 신청했을 때 실시하는 평가입니다. CSAP 인증의 필요성에 따라 민간 기업이 공공 부문에 클라우드 서비스를 제공하기 위해서는 필수적으로 이 최초 평가를 통과해야 합니다.

  • 4-2. 사후 평가

  • 사후 평가는 클라우드 서비스 제공자가 보안인증을 취득한 이후 인증 기준을 준수하고 있는지를 확인하기 위해 실시하는 평가입니다. 이 평가는 인증 유효기간인 5년 안에 매년 1회 이상 수행되어야 하며, 이는 클라우드 서비스의 지속적인 안전성을 유지하기 위한 중요한 절차입니다.

  • 4-3. 갱신 평가

  • 갱신 평가는 보안인증의 유효기간이 만료되기 전에 인증을 연장하고자 하는 경우 실시되는 평가입니다. 갱신 평가를 통과하면 클라우드 서비스 제공자는 5년의 새로운 유효기간을 부여받게 됩니다. 이를 통해 인증은 지속적으로 유지되고, 클라우드 서비스의 안전성과 신뢰성이 보장됩니다.

5. CSAP 인증 현황

  • 5-1. CSAP 인증을 받은 기업 현황

  • CSAP(Cloud Security Assurance Program) 인증을 받은 기업 현황은 다음과 같습니다. 인증 현황은 한국인터넷진흥원(KISA) 공식 홈페이지 기준으로 아래의 서비스들이 인증을 받았습니다. 1. 디지털 사이니지 통합 관제 플랫폼 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 2. 도매시장 유통정보 시스템 (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 3. uPrism Meetings (SaaS 간편등급) - 인증 기간: 2022년 11월 30일 ~ 2025년 11월 29일 4. NAVER WORKS for 공공용 (SaaS 간편등급) - 인증 기간: 2022년 10월 19일 ~ 2025년 10월 18일 5. Hyperbridge (AI 기록물 통합관리 시스템) (SaaS 간편등급) - 인증 기간: 2022년 10월 19일 ~ 2025년 10월 18일 6. 재난현장조치행동매뉴얼시스템 (LiveDRMS) (SaaS 간편등급) - 인증 기간: 2022년 9월 23일 ~ 2025년 9월 22일 7. DIGITAL TWIN CLOUD (SaaS 간편등급) - 인증 기간: 2022년 8월 9일 ~ 2025년 8월 8일 8. StrategyGATE (전략성과관리솔루션) (SaaS 표준등급) - 인증 기간: 2022년 8월 9일 ~ 2027년 8월 8일, 추가로 2022년 6월 30일 ~ 2027년 6월 29일, 2022년 6월 30일 ~ 2025년 6월 29일 9. 크리니티 G-Cloud 보안메일 (SaaS 간편등급) - 인증 기간: 2022년 5월 24일 ~ 2025년 5월 23일 10. 건축물 에너지 소요량 간이 평가 시스템 (ZeBEST) (SaaS 간편등급) - 인증 기간: 2022년 5월 24일 ~ 2023년 5월 23일과 추가로 2022년 5월 3일 ~ 2027년 5월 2일 11. 한비자(Hanbiza) - 인사, 급여, 아웃소싱 (SaaS 표준등급) - 인증 기간: 2022년 5월 3일 ~ 2023년 8월 31일 12. 미세와치(공기질 관리 서비스) (SaaS 간편등급) - 인증 기간: 2022년 5월 3일 ~ 2025년 5월 2일 13. 온더 라이브 클라우드 (SaaS 간편등급) - 인증 기간: 2022년 4월 7일 ~ 2025년 4월 6일 14. Spiceware PII ANP (SaaS 표준등급) - 인증 기간: 2022년 4월 7일 ~ 2027년 4월 6일 15. Spiceware One (SaaS 표준등급) - 인증 기간: 2022년 4월 7일 ~ 2027년 4월 6일 16. 하이웍스 단독 구축형 웹메일 (SaaS 간편등급) - 인증 기간: 2022년 4월 7일 ~ 2025년 4월 6일 17. 예비군 원격교육 시스템 (SaaS 간편등급) - 인증 기간: 2022년 3월 18일 ~ 2025년 3월 17일 18. 민방위 교육훈련 통합관리 솔루션 (SaaS 간편등급) - 인증 기간: 2022년 3월 18일 ~ 2025년 3월 17일 19. CODE-RAY CLOUD (SaaS 표준등급) - 인증 기간: 2022년 3월 16일부터 계속 진행 중입니다.

  • 5-2. 인증된 클라우드 서비스 목록

  • CSAP 인증을 받은 클라우드 서비스 목록은 다음과 같습니다: - 디지털 사이니지 통합 관제 플랫폼 (SaaS 간편등급) - 도매시장 유통정보 시스템 (SaaS 간편등급) - uPrism Meetings (SaaS 간편등급) - NAVER WORKS for 공공용 (SaaS 간편등급) - Hyperbridge (AI 기록물 통합관리 시스템) (SaaS 간편등급) - 재난현장조치행동매뉴얼시스템 (LiveDRMS) (SaaS 간편등급) - DIGITAL TWIN CLOUD (SaaS 간편등급) - StrategyGATE (전략성과관리솔루션) (SaaS 표준등급) - 크리니티 G-Cloud 보안메일 (SaaS 간편등급) - 건축물 에너지 소요량 간이 평가 시스템 (ZeBEST) (SaaS 간편등급) - 한비자(Hanbiza) - 인사, 급여, 아웃소싱 (SaaS 표준등급) - 미세와치(공기질 관리 서비스) (SaaS 간편등급) - 온더 라이브 클라우드 (SaaS 간편등급) - Spiceware PII ANP (SaaS 표준등급) - Spiceware One (SaaS 표준등급) - 하이웍스 단독 구축형 웹메일 (SaaS 간편등급) - 예비군 원격교육 시스템 (SaaS 간편등급) - 민방위 교육훈련 통합관리 솔루션 (SaaS 간편등급) - CODE-RAY CLOUD (SaaS 표준등급) 이 목록은 KISA에 의해 정기적으로 업데이트되며, 각 서비스의 인증 상태는 서비스 제공업체의 공식 발표 및 KISA의 웹사이트에서 확인할 수 있습니다.

6. CSAP의 중요성

  • 6-1. 공공기관의 클라우드 서비스 보안

  • CSAP(Cloud Security Assurance Program)는 클라우드 서비스 제공자가 제공하는 서비스에 대하여 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여 보안인증 기준에 적합한 클라우드컴퓨팅 서비스에 대하여 보안인증을 수행하는 제도입니다. 이 인증 제도는 공공기관이 국가와 공공의 데이터를 다루기 때문에 안전한 보안 시스템 구축이 매우 중요합니다. 한국인터넷진흥원(KISA)은 이용자의 보안 우려를 해소하고 클라우드 서비스의 경쟁력을 강화하기 위해 CSAP 인증을 요구하고 있습니다. 공공기관에 '안전성'과 '신뢰성'이 검증된 클라우드 서비스를 공급하기 위한 필수 관문이 되었습니다.

  • 6-2. 민간 기업의 CSAP 인증 필요성

  • 민간 기업이 공공 부문에 클라우드 서비스를 공급하기 위해서는 CSAP 인증이 필수적입니다. CSAP 인증은 클라우드 서비스의 안전성과 신뢰성을 보장하는 중요한 수단으로 작용합니다. CSAP 인증의 주요 보안 영역으로는 클라우드 서비스 보안, 서비스 가용성 및 고객 데이터 보호가 있습니다. 또한, 인증은 IaaS, DaaS, SaaS로 나뉘며 각각의 인증은 상, 중, 하로 구분됩니다. 이 인증을 취득하는 과정은 복잡하고 긴 시간이 요구되며, 지속적인 관리와 평가가 필요합니다. 따라서 민간 기업은 CSAP 인증을 준비하기 위해 체계적인 계획과 경영진의 지원이 반드시 필요합니다.

결론

  • CSAP는 한국인터넷진흥원(KISA)이 주관하는 중요한 클라우드 보안 인증 제도로, 공공기관에 안전하고 신뢰성 있는 클라우드 서비스를 제공하기 위해 필수적입니다. 이 인증은 클라우드 서비스의 보안성을 높이고, 데이터 보호를 법적으로 뒷받침하는 역할을 수행합니다. 그러나, CSAP 인증 취득은 복잡한 절차와 지속적인 관리가 필요하므로, 민간 기업은 충분한 준비와 경영진의 지원이 필수적입니다. 이는 클라우드 서비스 제공자에게 신뢰성을 부여하며, 사용자가 안전한 서비스를 이용할 수 있도록 돕습니다. 미래에는 CSAP 인증이 클라우드 보안 분야에서 더욱 중요하게 자리잡을 것으로 예상되며, 이러한 환경 하에서 기업들이 인증 획득을 통해 시장에서의 경쟁력을 강화할 수 있을 것입니다.

용어집

  • CSAP [인증 제도]: CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도로, 공공기관에 안전성이 검증된 클라우드 서비스를 제공하기 위한 필수 관문입니다. CSAP 인증을 통해 공공기관의 데이터 보호와 클라우드 서비스의 신뢰성을 높이는 데 기여하고 있습니다.
  • KISA [기관]: 한국인터넷진흥원(KISA)은 사이버 보안과 인터넷 환경 개선을 위한 정부 기관으로, CSAP 인증을 관리하고 운영하는 역할을 맡고 있습니다. KISA는 클라우드 서비스 제공자의 보안 인증 기준을 수립하고, 인증 평가를 수행하여 신뢰할 수 있는 클라우드 서비스를 보장합니다.

출처 문서