CSAP 클라우드 보안인증: 제도 현황과 절차, FAQ 종합 가이드

1. 요약

• CSAP(Cloud Security Assurance Program) 클라우드 보안인증 제도는 한국인터넷진흥원(KISA) 주관으로 2019년에 도입되었으며, 이후 공공기관의 클라우드 서비스 신뢰성을 높이기 위한 필수 인증으로 자리잡고 있습니다. 이 제도의 도입 목적은 클라우드 서비스 사용에 따른 보안 우려를 해소하고, 공공기관이 요구하는 보안 기준을 충족하는 서비스를 제공하기 위함입니다. CSAP 인증의 주요 발전 과정은 2019년의 기초 마련 이후 2021년 및 2024년에 이르기까지 증가하는 인증 수요를 반영하고 있습니다. 민간 기업들이 공공 부문 진출을 준비함에 따라 CSAP 인증은 점점 더 중요한 요건으로 강조되고 있습니다. 이에 따라, 이 리포트에서는 CSAP 제도의 현황, 인증 절차, 비용 구조, 평가 기준 및 사후관리 절차를 분석하여 기업들이 인증 취득에 있어 필요한 정보를 제공합니다.

• 특히, 현재 진행 중인 인증 절차와 관련하여, 기업들은 KISA에 신청서를 제출하고, 필요한 문서를 철저히 준비해야 합니다. 인증 신청 전 정확한 서비스 유형과 필수 요건을 파악하는 것이 중심이 되어야 하며, 이는 성공적인 인증 획득을 위한 중요한 전략입니다. 인증 절차의 지연을 방지하기 위해서는 제출 마감 기한 준수 및 서류의 명확성을 요하는데, CSAP 인증 심사는 일반적으로 4~6개월 정도 소요되며, 이러한 일정에 따른 준비가 필수적입니다.

• 한편, 인증 수수료는 등급별로 다르게 책정되며, 특히 중소기업에 대한 지원 정책이 마련되어 있어, 이 점을 활용하여 경제적인 부담을 줄일 수 있습니다. 이와 같은 흐름은 중소기업의 공공기관 진출을 가속화하고 CSAP 인증의 활용도를 높이는 데 기여할 것으로 예상됩니다.

2. CSAP 제도 개요 및 발전 과정

• 2-1. 제도 도입 배경

• CSAP(Cloud Security Assurance Program) 클라우드 보안 인증 제도는 한국의 공공기관이 클라우드 서비스에 대한 신뢰성을 확보하기 위해 2019년 도입되었습니다. 이 제도의 필요성은 클라우드 서비스의 보안성과 신뢰성을 높이기 위한 것으로, 특히 공공기관이 클라우드 서비스를 사용할 때 제기될 수 있는 보안 우려를 해소하기 위해 마련되었습니다. CSAP는 한국인터넷진흥원(KISA) 주관으로 시행되며, 공공기관이 요구하는 보안 기준을 충족하는 클라우드 서비스를 제공하기 위해 반드시 획득해야 하는 인증입니다.

• 2-2. 주관 기관 및 법적 근거

• CSAP 제도는 한국인터넷진흥원(KISA)에서 주관하고 있으며, '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률'에 근거를 두고 있습니다. 이 법률은 클라우드 서비스의 안전한 이용을 다각적으로 지원하고 클라우드 서비스의 발전을 도모하기 위해 제정되었습니다. KISA는 이 법률의 운영과 함께 클라우드 서비스의 보안성과 안정성을 높이기 위한 다양한 인증 방안을 마련하여 산업계에 제공하고 있습니다.

• 2-3. 주요 발전 단계

• CSAP 제도는 도입 이후 몇 가지 주요 발전 단계를 거쳤습니다. 첫 번째로, 2019년 제도의 기초가 마련된 이후 클라우드 서비스의 다양한 위험성을 반영하기 위한 인증 기준이 점차 확립되었습니다. 두 번째로, 2021년에는 초기 인증 기업이 증가하면서 그 필요성이 더욱 부각되었고, 본격적으로 SaaS(Software as a Service) 등급에 대한 인증이 이루어지기 시작하였습니다. 세 번째로, 2024년에는 클라우드 보안 인증에 대한 민간기업들의 관심이 높아지면서 인증을 통과한 기업 수가 전국적으로 확대되었으며, 관련된 FAQ와 절차가 명확히 정리되어 보다 많은 기업이 인증을 희망하게 되었습니다. 이러한 발전 과정은 CSAP가 공공기관의 신뢰를 구축하는 데 중요한 역할을 하고 있음을 보여줍니다.

3. 인증 대상 및 범위

• 3-1. 공공·민간 공급 구분

• CSAP 인증은 클라우드컴퓨팅서비스 제공자들이 공공기관과 민간기업에 제공하는 서비스를 대상으로 한다. 일반적으로, CSAP 인증 대상은 퍼블릭 클라우드 서비스를 제공하는 업체로 그 범위는 정보시스템의 인프라(IaaS), 응용 프로그램(SaaS), 개발 환경(PaaS) 등을 포함한다. 따라서 인증을 받고자 하려는 서비스는 이러한 기준을 충족해야 하며, 공공기관에 서비스를 제공하는 경우 반드시 CSAP 인증을 취득해야 한다. 이와 관련하여 '클라우드컴퓨팅법' 제23조의2에 의거하여, 공공기관에 서비스를 제공할 때 CSAP 인증은 선택 사항이 아니라 필수적이다.

• 3-2. 서비스 유형별 필수 인증 요건

• 서비스 유형에 따라 인증 요건이 달라질 수 있으며, 각 서비스의 특성과 안전성 수준에 따라 차별적인 평가 기준이 설정된다. 예를 들어, SaaS는 기존의 IaaS 또는 PaaS 환경 위에서 운영되므로 서비스가 제공되기 전에 정해진 보안 기준을 충족해야 한다. 이 때, 인증에 필요한 필수 요건은 관리적, 물리적, 기술적 보호 조치를 포함하며, 각 조치들은 '클라우드컴퓨팅서비스 보안인증기준'에서 구체적으로 정리되고 있다. 서비스 제공자는 이들 기준을 바탕으로 평가받아야 하며, 필요한 문서를 철저히 준비해야 하므로 이 점에 유의해야 한다.

• 3-3. 적용 제외 사례

• CSAP 인증의 적용 제외 사례로는 특정 기관에만 서비스를 제공하는 프라이빗 클라우드와 같은 경우를 들 수 있다. 이러한 서비스는 공공기관에 다수의 고객을 대상으로 하지 않기 때문에 CSAP 인증 대상에서 제외된다. 또한, 클라우드 서비스와 관련된 시스템이 해외에 위치하는 경우에는 인증 기준을 충족하지 못할 가능성이 높으므로 그런 경우도 적용 제외 사례로 분류된다. 따라서, 인증을 고려하는 기업은 이러한 예외 사항을 반드시 사전에 확인하고 준비해야 하며, 특히 특정 기관만을 위해 구축된 서비스는 CSAP 인증이 필요하지 않다는 점을 유의하는 것이 중요하다.

4. 인증 절차 및 신청 방법

• 4-1. 신청 접수 방식

• CSAP 인증을 신청하려는 기업은 한국인터넷진흥원(KISA)에 공식적인 신청서류를 제출해야 합니다. 현재, 인증 기관으로 지정된 KISA에의 신청은 이메일(cloud@kisa.or.kr)을 통해 이루어집니다. 이에 따라 기업은 인증 신청서를 작성하고 제출하는 것이 필수적입니다.

• 4-2. 제출 문서 및 서류 리스트

• 인증 신청을 위해서는 다음과 같은 서류를 제출해야 합니다:

• 1. 클라우드컴퓨팅서비스 보안인증 신청서 1부

• 2. 취약점 점검 및 모의침투 동의서 1부

• 3. 클라우드컴퓨팅서비스 보안인증 명세서 1부

• 4. 클라우드컴퓨팅서비스 보안운영 명세서 1부

• 5. 클라우드컴퓨팅서비스 관련 자산관리대장 1부

• 6. 사업자등록증 1부

• 7. 중소기업확인서 1부 (인증 수수료 지원 희망 시)

• 8. 수수료할인 증빙 서류 1부 (인증 수수료 할인 신청 시)

• 이 서류들은 인증 절차의 원활한 진행과 평가 결과의 신뢰성을 위해 필수적이며, 서류에 대한 보다 상세한 정보는 KISA의 홈페이지에서 확인할 수 있습니다.

• 4-3. 심사 일정 및 흐름

• CSAP 인증 심사 과정은 신청서 접수 후 보통 4~6개월이 소요됩니다. 이 기간 동안 다음과 같은 단계가 포함됩니다:

• 1. 신청일로부터 최대 2개월 간의 신청서 검토 및 자료 준비 기간

• 2. 최초 심사(최대 1주)

• 3. 보완조치 요청 및 이행 기간 (최대 1~3개월)

• 4. 이행 점검(최대 1주)

• 5. 최종 인증위원회 심의(최대 1개월)

• 이러한 과정은 잘 준비된 서류와 신청자체가 무엇보다 중요하므로, 적절한 사전 준비가 필요한 과정입니다. 또한, 예상 심사 일정에 대한 어느 정도의 유연성을 가질 필요가 있습니다.

5. 수수료 및 비용 구조

• 5-1. 등급별 수수료 체계

• CSAP 인증은 클라우드 서비스 제공자가 인증을 신청할 때, 제공하는 서비스의 유형과 자산 규모에 따라 수수료가 다르게 책정됩니다. 구체적으로 보안인증 등급은 상, 중, 하로 구성되어 있으며, 각 등급별로 평가 기준과 수수료가 차등 적용됩니다. 예를 들어, 하등급 인증은 상대적으로 낮은 기준으로 설정되어 있어, 비용 부담을 줄이는 데 도움을 줄 수 있습니다.

• 수수료의 구체적인 금액은 서비스 제공자가 신청한 보안인증의 유형에 따라 달라지며, 인증평가를 위한 직접 인건비, 제경비, 기술료 등이 포함됩니다. 이는 평가기관의 예비 점검 후, 정확한 인증 수수료가 확정되기 때문에, 신청자는 초기 예상 수수료를 참고하되 최종 수수료가 달라질 수 있음을 인지해야 합니다.

• 5-2. 결제 방식 및 납부 기한

• CSAP 인증 수수료는 신청기관이 지정된 인증기관에 직접 납부해야 하며, 이때 부가가치세, 환급세 등 추가 비용이 발생할 수 있습니다. 수수료는 인증 평가 시작일 이전에 납부되어야 하며, 이를 미흡할 경우 평가가 진행될 수 없습니다.

• 납부 기한은 인증 신청서 제출 후 2주 이내로 설정되며, 이를 지키지 않을 경우 인증평가의 지연이나 불가능성으로 이어질 수 있습니다. 따라서 신청자는 일정을 철저히 관리해야 합니다.

• 5-3. 할인 및 예외 규정

• CSAP 인증 수수료는 특정 조건을 충족하는 경우 할인 혜택을 받을 수 있습니다. 신청기업이 인증평가의 일부를 생략하는 경우, 해당 수수료의 10%를 할인받을 수 있으며, 이러한 생략 신청은 정보보호 관리체계 인증과 같은 다른 인증을 보유한 경우에 가능합니다.

• 또한, 중소기업에 해당하는 경우, 인증 수수료의 50%에서 70%까지 지원받을 수 있는 제도가 마련되어 있습니다. 이를 통해 중소기업의 인증 접근성을 높이기 위한 정책이 추진되고 있으며, 이 지원 제도는 신청 기업의 규정에 따르므로, 지원 수요가 많아지면 지원 비율이 조정될 수 있습니다.

6. 인증 평가 절차 및 사후관리·갱신

• 6-1. 평가 항목과 기준

• CSAP 인증의 평가 항목은 클라우드 서비스의 정보보안 수준을 측정하기 위한 기준으로, 주로 관리적, 물리적, 기술적 보호조치를 포함합니다. 관리적 보호조치는 정보보안 정책과 절차, 조직 구조 및 역할 분담을 포함하며, 물리적 보호조치는 데이터 센터와 같은 시설의 보안 강화를 다룹니다. 기술적 보호조치는 데이터 암호화, 네트워크 보안과 같은 기술적 수단을 포함하고 있습니다. 이 모든 항목은 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’와 ‘클라우드컴퓨팅법’에 의해 명시된 기준에 따라 평가됩니다.

• 6-2. 현장심사 vs 서류심사

• CSAP 인증에서는 두 가지 주요 심사 방법이 사용됩니다: 현장심사와 서류심사. 현장심사는 인증기관의 평가팀이 실제 클라우드 서비스 제공 시설을 방문하여 ISMS(Information Security Management System) 구현과 운영의 적합성을 평가하는 과정입니다. 반면 서류심사는 요청된 서류와 자료를 기반으로 평가하는 방법으로, 조직의 보안 정책과 운영 절차가 기준에 부합하는지를 확인합니다. 이런 이중 심사를 통해 인증의 신뢰성을 극대화할 수 있습니다.

• 6-3. 갱신 주기 및 사후관리 절차

• CSAP 인증은 유효 기간이 있으며, 일반적으로 인증을 취득한 후 2년 이내에 갱신을 요구합니다. 갱신의 경우, 인증기관은 신청기업의 정보보안 상태가 개선되었는지, 기준을 지속적으로 잘 유지하고 있는지를 재평가합니다. 이에 따라 기업은 인증 갱신 전 내·외부 감사나 점검을 통해 미비점을 개선하고 준비해야 합니다. 사후관리 절차는 보통 정기적인 점검과 평가를 포함하며, 이는 인증을 유지하기 위한 중요한 단계입니다.

7. 사례 연구: Wh aTap Labs의 CSAP 인증 경험

• 7-1. 인증 준비 과정

• Wh aTap Labs는 공공기관에 클라우드 서비스를 제공하기 위해 약 반년 동안 CSAP(클라우드 보안인증) 인증을 준비했습니다. 이 과정은 공공기관의 보안 우려를 해소하고, 서비스의 신뢰성을 높이기 위해 필수적였습니다. 인증 준비의 첫 단계로, 와탭은 한국인터넷진흥원(KISA)으로부터 사전 컨설팅을 받았습니다. 사전 컨설팅은 인증 진행에 필요한 중요한 정보와 포괄적인 가이드를 제공하며, 이후 단계의 효율성을 높이기 위한 기반을 마련합니다.

• 사전 컨설팅 후, 취약점 점검 결과를 바탕으로 조치를 취하여 본 점검을 준비하게 되었습니다. 사전 점검에서 식별된 취약점을 보완하고, 기존 프로세스를 개선하는 것이 인증 획득의 중요한 단계 중 하나였습니다. 이처럼 철저한 준비가 요구되는 이유는 CSAP 인증이 엄격한 기준에 따라 이루어지며, 공공기관에 대한 서비스 제공 시 신뢰성이 결정적이기 때문입니다.

• 7-2. 주요 도전 과제와 해법

• 와탭이 CSAP 인증을 준비하는 과정에서 직면한 주요 도전 과제는 복잡한 평가 절차와 보안 기준을 충족하는 것이었습니다. 본 점검에서는 인증 총괄 담당자 및 여러 심사 전문 인력들과 함께 4일 동안 현장 평가가 진행되었습니다. 이 과정에서 다수의 취약점이 발견되었고, 이는 빠른 수정이 필요했습니다.

• 특히, 시스템 코드에서 발견된 10, 542건의 취약점은 매우 심각하게 평가되어야 했습니다. 와탭은 이 문제를 해결하기 위해 모든 인력을 동원하여 취약점을 30일 이내에 100% 조치하는 목표를 세웠습니다. 이는 보안 인증 취득에 필수적이며, 인증서를 확보하기 위한 긴밀한 협업을 이끌어냈습니다. 또한, 최대 3개월의 연장 가능성도 고려하면서 신속한 대응 체계를 구축했습니다.

• 7-3. 획득 성과 및 활용 방안

• 최종적으로, 와탭은 사전 컨설팅, 본 점검, 이행 점검을 통해 CSAP 인증서를 성공적으로 획득했습니다. 이 인증은 공공기관과의 신뢰를 구축하는 데 중요한 역할을 하며, 와탭의 서비스가 보안 기준을 충족하였음을 공식적으로 입증한 사례가 되었습니다.

• 이러한 성과는 향후 와탭이 공공기관에 제공하는 모니터링 서비스의 신뢰성을 높이고, 더 나아가 비즈니스 확장의 기회를 포착하는 데 큰 영향을 미칠 것입니다. 인증을 기반으로 한 서비스 제공은 비교 우위를 제공하며, 고객의 신뢰를 얻는 데 필수적인 요소로 작용할 것입니다. 또한, CSAP 인증의 유효기간이 3년에서 5년으로 설정된 만큼, 주기적으로 갱신과 지속 관리 방안에 대해서도 철저히 준비할 필요가 있습니다.

결론

• 2025년 5월 현재, CSAP 클라우드 보안인증 제도는 공공 부문 시장 진출을 위한 필수 관문으로 인식되고 있습니다. 이 제도는 제도 도입 초기부터 현재까지 지속적으로 발전해 왔으며, 특히 최근 공개된 FAQ(2024년 12월 기준) 자료는 인증을 준비하는 기업들에게 유용한 정보를 제공합니다. 기업들은 이를 통해 상세한 절차 및 비용 구조를 이해하고, 인증 절차를 보다 예측 가능하게 진행할 수 있습니다.

• 민간 기업은 CSAP 인증을 신청하기 전에 자신의 서비스 범위와 인증 등급을 명확히 파악해야 하며, 문서 준비와 일정 관리를 체계적으로 수행해야 합니다. 특히, 갱신 주기와 사후관리 계획을 세운다면 향후 인증의 유효성을 지속적으로 유지할 수 있을 것입니다. 인증의有效期限은 2년이며, 따라서 기업들은 만료 시점인 2025년 11월 이후에도 철저한 관리가 필요합니다.

• 앞으로 CSAP 제도의 개편 및 변화에 대한 모니터링을 통해 공공 클라우드 서비스 보안 강화와 관련된 가이드라인을 적시에 활용하는 것이 중요합니다. 이로 인해 기업들은 공공기관과의 신뢰를 더욱 구축하고 시장에서 경쟁력을 높일 수 있을 것입니다.

용어집

• CSAP: CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 주관하는 클라우드 보안 인증 제도로, 공공기관과 민간기업이 클라우드 서비스를 신뢰할 수 있도록 보안 기준을 충족하는지를 평가하고 인증하는 프로그램입니다. 2019년 도입 이후 계속 발전하고 있으며, 인증을 통해 서비스의 신뢰성을 높이는 데 기여하고 있습니다.

• 클라우드 보안인증: 클라우드 보안인증은 클라우드 서비스 제공자가 관련된 보안 기준을 충족하는지 평가받고 인증을 취득하는 과정입니다. 이 인증은 공공기관의 서비스 이용 시 필수 요건으로 자리 잡았으며, 클라우드 서비스의 안전한 이용을 위해 다양한 기준이 설정되어 있습니다.

• KISA: KISA(한국인터넷진흥원)는 한국의 인터넷 및 정보 보안 관련 기관으로, CSAP 등 다양한 인증 제도를 운영하며 클라우드 서비스의 안전성을 높이기 위해 관련 정책과 프로그램을 개발 및 추진하고 있습니다.

• 인증절차: 인증절차는 CSAP 인증을 신청하고 최종 승인을 받기까지의 일련의 과정을 의미합니다. 이에는 신청서 제출, 서류 검토, 심사 및 보완조치 이행 등이 포함되며, 일반적으로 4~6개월이 소요됩니다.

• 수수료: CSAP 인증 수수료는 인증 신청자가 KISA에 납부해야 하는 비용으로, 서비스 유형 및 자산 규모에 따라 달라집니다. 등급별로 차등 적용되며, 중소기업에 대한 할인 혜택이 존재합니다.

• 사후관리: 사후관리는 CSAP 인증을 취득한 후 인증의 유효성을 유지하기 위한 점검 및 관리 작업을 포함합니다. 인증은 일반적으로 2년 유효하며, 갱신 시에는 인증 기준 충족 여부에 대한 재평가가 이루어집니다.

• 갱신: 갱신은 CSAP 인증 유효 기간이 만료되기 전에 기존 인증을 유지하기 위해 재신청하는 과정입니다. 인증을 갱신하기 위해서는 정보 보안 상태의 개선 여부를 평가받아야 합니다.

• 공공기관: 공공기관은 정부 및 공공 서비스를 제공하는 조직으로, CSAP 인증은 이들 기관에 클라우드 서비스를 제공하기 위한 필수 조건으로 설정되어 있습니다.

• 민간기업: 민간기업은 비영리 및 비정부 조직으로, 공공기관에 클라우드 서비스를 제공하기 위해 CSAP 인증을 취득해야 하며, 이러한 인증을 통해 시장 진출 기회를 확대하고 있습니다.

• Wh aTap Labs: Wh aTap Labs는 CSAP 인증을 준비하며 공공기관에 클라우드 서비스를 제공하는 기업으로, 인증 취득을 통해 서비스의 신뢰성을 높이고 있습니다.

• FAQ: FAQ(자주 묻는 질문)는 CSAP 인증과 관련된 다양한 정보와 절차에 대한 질문과 답변을 제공하는 자료입니다. 2024년 12월 기준으로 최신 정보가 갱신되었습니다.

• SaaS: SaaS(Software as a Service)는 클라우드 기반 소프트웨어 제공 모델로, CSAP 인증 절차에서 중요한 평가 기준 중 하나로 자리잡고 있습니다.

• IaaS: IaaS(Infrastructure as a Service)는 클라우드에서 제공하는 인프라 서비스 모델로, CSAP 인증 대상 서비스의 하나입니다.

• PaaS: PaaS(Platform as a Service)는 클라우드에서 제공하는 플랫폼 서비스 모델로, CSAP 인증 절차에서 고려되는 서비스 범주 중 하나입니다.

• 정보보호 관리체계: 정보보호 관리체계는 기업의 정보자산을 보호하기 위해 수립한 정책적 및 절차적 시스템으로, CSAP 인증 평가 시 중요한 요소로 작용합니다.

출처 문서

• https://isms.kisa.or.kr/board/file/bbs_0000000000000004/71/FILE_000000000001092/20241004171238000-2128754228;jsessionid=907A8A3E09A48B4F8C13A47D11FB7479
• CSAP(Cloud Security Assurance Program) 이란? - vloguehttps://inblog.ai/vlogue/csapcloud-security-assurance-program-%EC%9D%B4%EB%9E%80-34885
• 와탭! CSAP(클라우드 보안인증제) 인증 받다 > 블로그 | WhaTaphttps://www.whatap.io/bbs/board.php?bo_table=blog&wr_id=43&page=9