[스페셜리포트]CSAP, 어떻게 운영되나
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
클라우드보안인증제도(CSAP) 완화가 이슈로 부상하자, 공공 클라우드 사업을 준비하는 기업을 중심으로 CSAP에 대한 관심이 높아진다.
공공기관에 안정성과 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 객관적이고 공정한 인증제를 실시, 보안 우려를 해소하고 클라우드 서비스 경쟁력을 확보하는 게 목적이다.
처음엔 서비스형 인프라(IaaS)용 CSAP 인증이 제정됐고 2018년 서비스형 소프트웨어(SaaS) 인증이 추가(시행은 2019년)됐다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
클라우드보안인증제도(CSAP) 완화가 이슈로 부상하자, 공공 클라우드 사업을 준비하는 기업을 중심으로 CSAP에 대한 관심이 높아진다.
CSAP는 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률' 제5조에 의한 '제1차 클라우드컴퓨팅 기본계획'에 따라 2016년 6월 시행됐다.
공공기관에 안정성과 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 객관적이고 공정한 인증제를 실시, 보안 우려를 해소하고 클라우드 서비스 경쟁력을 확보하는 게 목적이다.
국가정보원장이 수립한 '국가 정보보안 기본지침'에 따라 과학기술정보통신부와 한국인터넷진흥원(KISA)이 CSAP를 운용한다.
처음엔 서비스형 인프라(IaaS)용 CSAP 인증이 제정됐고 2018년 서비스형 소프트웨어(SaaS) 인증이 추가(시행은 2019년)됐다. SaaS 인증은 표준과 간편 두 가지 모델이다. 2020년 서비스형 데스크톱(DaaS) 인증제도 시행됐다.
IaaS 인증은 117개 항목을 인증받아야 하며, 유효기간은 5년이다. SaaS 표준등급과 DaaS 인증은 각각 78개, 110개 인증 항목이 있으며 유효기간은 5년이다. SaaS 간편등급은 30개 항목을 인증 받아야 한다. 유효기간은 3년이다. 유효기간이 만료되기 이전 갱신평가를 통해 다시 3~5년의 유효기간을 부여한다.
정보보호 정책 및 조직, 인적보안, 자산관리, 침해사고관리, 물리적 보안, 가상화 보안, 접근통제, 데이터 보호 및 암호화, 공공부문 추가 보안요구 사항 등을 아우른다.
특히 '14.2.1-클라우드 시스템, 데이터 물리적 위치를 국내로 한정, 물리적 자원의 분리' 등 항목이 글로벌 CSP가 국내 공공 클라우드 시장 진입이 어렵다고 주장하는 내용이다.
CSAP 평가·인증 절차는 신청부터 인증서 발급까지 2~5개월이 소요된다. KISA가 평가와 인증기관으로서 평가 인증업무를 수행한다. KISA는 5~10인으로 구성된 인증위원회를 통해 평가 결과를 통한 인증을 심의·의결한다.
2022년 7월 현재까지 발급된 인증서는 총 68건, 유지되는 인증서는 63건이다.
안호천기자 hcan@etnews.com
Copyright © 전자신문. 무단전재 및 재배포 금지.