[스페셜리포트]국내 SaaS 업계, "CSAP 개편, SaaS 활성화 중심으로"

"중복인증·특정기술 강제 폐지"
추가 비용 유발 등 걸림돌 여전
서비스별 보안평가로 전환 강조

서비스형 인프라(IaaS) 중심으로 이뤄지고 있는 클라우드 보안인증제(CSAP) 개정안 공방을 두고, 서비스형 소프트웨어(SaaS) 업계가 SaaS 활성화 중심으로도 깊이 있는 논의가 필요하다고 주장했다. SaaS가 IaaS별로 CSAP 인증을 받아야 하는 등 개선 사항이 많다는 지적이다.

CSAP는 SaaS의 공공시장 진입과 직결된다. 공공 부문에 SaaS를 제공하기 위해서는 CSAP를 획득하고 디지털서비스로 등록돼야 한다. CSAP 기준 요건 개선에 업계가 목소리를 내는 이유다.

현재까지 CSAP를 획득해 SaaS로 공공에 진출한 기업은 많지 않다. 디지털서비스 이용지원시스템에 등록된 SaaS 제품은 43개에 불과하다. 중앙부처 등에 제품 공급을 위한 디지털서비스몰 등록 제품은 28개다. 이렇다 보니 공공 부문의 민간 클라우드 활용률도 저조하다.

업계 관계자는 “CSAP 받은 국내 IaaS 업체와 같이 일하는 SaaS 제품이 아니면 공공 진출이 거의 불가능에 가깝다”고 말했다.

이번 CSAP 등급제 도입으로 글로벌 CSP 기반 SaaS 기업의 공공 진출 진입 장벽이 해소됐다. SaaS 표준, SaaS 간편 등 기존유형에 대해서도 상벌규정 등 불필요한 평가항목은 통폐합 및 삭제했다. 이용기관별 테이블 분리 기준을 완화하는 등 규제를 간소화했다.

그럼에도 국내 SW업계는 CSAP 개선안에 재논의가 필요하다고 주장한다. 특히, SaaS가 IaaS별로 중복 인증을 받아야 하는 현행 제도를 폐지해야 한다고 한목소리를 냈다. 현행 기준이 지속되면 SaaS 업체들은 여전히 CSP별로 중복 인증을 받아야 한다.

이한주 SaaS추진협의회장은 “국산이든 외산이든 CSP별 IaaS 구분 없이 CSAP SaaS 인증이 이뤄져야, 인증기간 증가·추가 개발 등 비효율과 고비용이라는 부담을 덜게 돼 국산 SaaS가 활성화되고 국산 CSP도 이에 따라 성장할 수 있다”고 주장했다.

인증 기관이 SW 기업에 특정한 기술을 강제하지 말고, 보안 정책을 준수하는 것에 초점을 맞춰야 한다고도 강조했다. SaaS가 SW 관점에서의 보안 강화에 치중해야 한다는 지적이다.

이 회장은 “인증을 받을 때 특정한 기술을 사용하도록 요구하는 것도 큰 문제”라며 “등급을 나누는 것보다 이게 더 시급한 문제”라고 꼬집었다.

그는 “일원화된 보안 기준은 불필요한 비용과 관리 비용을 초래하므로 서비스별로 보안성 평가를 하고, 그 평가 결과에 따른 보안 정책을 준수하도록 제도가 변경돼야 한다”며 “SaaS마다 역할이 다 다른데 동일한 보안 시스템을 적용할 수 없다”고 역설했다.

권혜미기자 hyeming@etnews.com