클라우드 업계 "보안 인증 등급별 기준 명확히 제시해야"

기사내용 요약
한국클라우드산업협회, CSAP 관련해 추가논의
상·중·하 등급 기준과 시행방안 명확히 해야 업계 혼란 없을 것
전 등급 실증 실시해 동시에 시행…IaaS평가 기준 달라야

클라우드 보안 인증 마크 *재판매 및 DB 금지

【서울=뉴시스】송혜리 기자 = 국내 클라우드 사업자들이 클라우드 보안인증(CSAP)등급제 시행과 관련해 상·중·하 등급에 대한 명확한 기준과 등급별 시행 방안을 제시해줘야 한다고 주장했다.

한국클라우드산업협회는 국내 서비스형 소프트웨어(SaaS)·서비스형 플랫폼(PaaS)·클라우드 관리 서비스 사업자(MSP) 회원사 대상으로 CSAP 등급제 고시 개정안에 대한 논의를 진행한 결과 이같은 입장을 모았다고 10일 밝혔다.

이 자리에 참석한 국내 21개 SaaS·PaaS·MSP 기업 대표자는 정부가 CSAP 상·중·하등급에 대한 기준, 시행방안 및 적용 시스템에 대한 가이드라인을 명확히 제시해줄 것을 피력했다.

구체적으로 CSAP 상등급을 받은 서비스가 중·하등급에 해당하는 시스템에도 들어갈 수 있는지 가이드가 불명확하다고 지적했다.

아울러 하등급으로 분류된다고 알려진 'SaaS 간편인증'을 받은 서비스 중 개인정보를 포함하는 서비스의 경우, 어느 등급에 해당되는지 명확하지 않다고 덧붙였다. 만약 하등급으로 분류되지 않는다면 CSAP를 다시 받아야 하는 지와, 재인증에 따른 비용 발생에 대한 부분 등 명확한 시행방안이 제시돼야 한다고 언급했다. 이와 더불어 상·중·하 등급별 시장 비율 및 각 등급의 레퍼런스를 제시할 필요가 있다고 밝혔다. 세부 정보와 CSAP 등급제의 방향이 아직 불명확하기 때문에 SaaS기업 입장에서는 무엇을 준비해야 하는지 알 수 없다는 입장이다.

이들은 CSAP 하등급도 실증을 실시해야 하며 이를 통해 상·중·하등급을 동시에 시행해야 한다고 강조했다. 또 SaaS와 서비스형인프라(IaaS)의 차별화된 평가기준이 필요하다고 강조했다. 특히, 상·중·하등급에 대한 기준, 시행방안 및 적용 시스템 명확화가 되지 않은 상황에서 하등급만 먼저 시행될 경우, SaaS 기업 입장에서는 어느 등급의 CSAP를 받아야 하는지 비교·검토가 어렵다고 설명했다.

또 자신의 서비스가 상·중·하등급 중 어느 시스템에 사용되는지 알 수 없어 모든 등급에 대한 기준이 명확해지고 기준이 마련됐을 때 시행하는 것이 필요하다는 입장이다.

아울러 SaaS와 IaaS의 차별화된 평가기준이 필요하다고 지적했다. IaaS와 SaaS가 서비스 영역이 다른데 같은 잣대로 평가하는 것은 개선돼야 하며 SaaS·PaaS·IaaS의 보안인증 분리가 먼저이고 등급제는 그 다음에 고려해야 할 사항이라고 의견을 제시했다.

한국클라우드산업협회는 "클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중에 있으며 기업들의 기술적·정책적 세밀한 검토 이후 의견을 제출할 예정"이라고 설명했다.

☞공감언론 뉴시스 chewoo@newsis.com