한국클라우드산업협회 "IaaS·SaaS 보안인증 분리 필요"

게티이미지뱅크

한국클라우드산업협회가 클라우드 보안인증제(CSAP) 상·중·하 등급제 고시 개정과 관련해 서비스형 소프트웨어(SaaS)와 서비스형 인프라(IaaS)의 차별화된 평가기준이 필요하다고 목소리를 냈다.

협회는 IaaS와 SaaS가 서비스 영역이 다른데 같은 잣대로 평가하는 것은 개선돼야 한다며 보안인증 분리가 먼저라고 주장했다.

현행 SaaS 간편인증은 보안인증 기준 130여개 중 30개를 충족해야 한다. 하 등급으로 나온 항목은 50여개로 SaaS 간편인증보다 하 등급이 더 어려우므로 간편인증 기준에 맞춰 하등급을 30개 수준으로 줄이거나 등급제 체크리스트를 조정할 필요가 있다는 의견이다.

협회는 상·중·하 등급에 대한 기준과 시행방안 및 적용 시스템에 대한 가이드라인을 명확히 제시해야 CSAP를 받은 기업과 받으려는 기업이 개정 고시에 맞춰 준비할 수 있다고 밝혔다.

기존 SaaS 간편 인증은 하 등급으로 인정될 수 있다고 고시에 명시됐다. 이를 두고 SaaS 간편인증을 받은 서비스 중 개인정보를 포함하는 서비스의 경우 어느 등급에 해당되는지, 하 등급으로 분류되지 않는다면 CSAP를 다시 받아야 하는지와 재인증에 따른 비용 발생에 대한 부분 등 명확한 시행방안이 제시돼야 한다고 언급했다.

한편 협회는 CSAP 고시 개정안에 대해 회원사 대상으로 의견을 수렴, 과학기술정보통신부에 제출할 예정이다.

권혜미기자 hyeming@etnews.com