한국클라우드산업협회 "명확한 CSAP 가이드라인 제시해야…하등급도 실증 필요"

한국클라우드산업협회(회장 윤동식)는 10일 국내 서비스형 소프트웨어(SaaS)·서비스형 플랫폼(PaaS)·클라우드관리서비스 사업자(MSP) 회원사 대상으로 클라우드 보안인증(CSAP) 등급제 고시 개정안에 대한 논의를 진행했다.

협회는 국내 SaaS·PaaS·MSP 21개 회원사 33명이 참석한 간담회 결과, ▲상·중·하등급에 대한 기준, 시행방안 및 적용 시스템의 명확한 가이드라인 제시, 하등급도 실증 필요 ▲CSAP 상·중·하등급 동시 시행 ▲SaaS와 IaaS의 차별화된 평가기준이 필요하다고 밝혔다.

첫 번째로 클라우드 보안인증 상·중·하등급에 대한 기준, 시행방안 및 적용 시스템에 대한 가이드라인을 명확히 제시해야 CSAP를 받은 기업과 받으려는 기업이 개정 고시에 맞춰 준비할 수 있다는 입장이다.

현재는 CSAP 상등급을 받은 서비스가 중·하등급에 해당하는 시스템에도 들어갈 수 있는지 가이드가 불명확한 상황이다. 협회는 "기존 SaaS 간편인증은 하등급으로 인정될 수 있다고 고시에 명시돼 있는데, SaaS 간편인증을 받은 서비스 중 개인정보를 포함하는 서비스의 경우 어느 등급에 해당되는지, 하등급으로 분류되지 않는다면 CSAP를 다시 받아야 하는지와 재인증에 따른 비용 발생에 대한 부분 등 명확한 시행방안이 제시돼야 한다"고 설명했다.

또한 상·중·하 등급별 시장 비율 및 각 등급의 레퍼런스를 제시할 필요가 있다고 밝혔다. 세부 정보와 CSAP 등급제의 방향이 아직 불명확하기 때문에 SaaS기업 입장에서는 무엇을 준비해야 하는지 알 수 없다는 입장이다.

더불어 하등급도 실증이 필요하다는 의견도 제시했다. 협회는 "SaaS와 관련하여 API 연동사업, 타서비스 결합 모델 등 다양한 사업이 진행될텐데 시스템에 연동돼 구축되는 경우 API로 제공하는 데이터는 상·중·하의 구분기준을 어떻게 마련할 것인지 명확하지 않기 때문"이라고 설명했다.

두 번째로 클라우드 보안인증 상·중·하등급 동시 시행이 필요하다고 주장했다. 앞서 언급된 상·중·하등급에 대한 기준, 시행방안 및 적용 시스템 명확화가 되지 않은 상황에서 하등급만 먼저 시행될 경우, SaaS 기업 입장에서는 어느 등급의 CSAP를 받아야 하는지 비교·검토가 불가하며 자신의 서비스가 상·중·하등급 중 어느 시스템에 사용되는지 알 수 없어 모든 등급에 대한 기준이 명확해지고 기준이 마련되었을 때 시행하는 것이 필요하다는 설명이다.

수요기관 또한 시스템의 등급에 대한 명확한 검토가 불가능해 당분간 어떤 사업도 시행될 수 없는 상황으로 보이는 점이 우려된다고 밝혔다.

마지막으로 SaaS와 IaaS의 차별화된 평가기준이 필요하다고 밝혔다. IaaS와 SaaS가 서비스 영역이 다른데 같은 잣대로 평가하는 것은 개선돼야 하며, SaaS·PaaS·IaaS의 보안인증 분리가 먼저이고 등급제는 그 다음에 고려해야 할 사항이라는 의견이다.

협회는 "보안인증 기준 130여개 중 간편인증에서 받아야 했던 것은 30여개였는데, 하등급으로 나온 항목은 50여개"라며 "SaaS 간편인증보다 하등급이 더 어려우므로 간편인증 기준에 맞춰 하등급을 30개 수준으로 줄이거나, 등급제 체크리스트를 조정할 필요가 있다"고 설명했다.