클라우드 보안인증 등급제…SW기업들 "명확한 기준부터 세워야"

[이데일리 함정선 기자] 정부가 추진 중인 클라우드 보안인증(CSAP) 등급제 도입과 관련해 ‘상·중·하’ 등급에 대한 명확한 기준이 필요하다는 의견이 제기됐다.

한국클라우드산업협회는 국내 SaaS(서비스형 소프트웨어), PaaS(서비스형 플랫폼), MSP(클라우드 관리서비스 사업자)를 대상으로 CSAP 등급제 개정안에 대한 논의를 진행한 결과 이 같은 의견을 모았다고 11일 밝혔다.

21개 회원사 33명이 지난 10일 간담회를 진행한 결과 이들은 ‘상·중·하’ 등급에 대한 기준과 시행방안과 적용 시스템의 명확한 가이드라인 제시가 필요하다고 입을 모았다. 또한 이들은 네이버클라우드, KT 등 클라우드 서비스 사업자(CSP)와 마찬가지로 보안 ‘상·중·하’ 등급 동시 시행이 필요하다고 요구했다. 이와 함께 SaaS와 IaaS(서비스형 인프라)의 차별화한 평가기준이 필요하다고 밝혔다.

먼저 SaaS 등 SW기업들은 클라우드 보안인증 ‘상·중·하’ 등급에 대한 기준, 시행방안과 적용 시스템에 대한 가이드라인을 명확히 제시해야 CSAP를 받은 기업과 받으려는 기업이 개정 고시에 맞춰 준비할 수 있다고 강조하고 있다.

이를테면 CSAP 상등급을 받은 서비스가 ‘중·하’ 등급에 해당하는 시스템에도 들어갈 수 있는지 가이드가 불명확하고, 기존 SaaS 간편인증은 하등급으로 인정될 수 있다고 고시에 명시돼 있는데 SaaS 간편인증을 받은 서비스 중 개인정보를 포함하는 서비스의 경우 어느 등급에 해당하는지도 알 수 없다는 설명이다. 또, 하등급으로 분류되지 않는다면 CSAP를 다시 받아야 하는지와 재인증에 따른 비용 발생은 어떻게 진행되는지 등 명확한 시행방안이 우선 제시돼야 한다는 것이 기업들의 입장이다.

또한 이들은 ‘상·중·하’ 등급별 시장 비율과 각 등급의 기준을 제시할 필요가 있다고 밝혔다. 세부 정보와 CSAP 등급제의 방향이 아직 불명확하기 때문에 SaaS 기업 입장에서 무엇을 준비해야 하는지 알 수 없기 때문이라는 것. ‘하’ 등급도 실증이 필요하다는 의견에 대해서 SaaS 기업들은 응용프로그램인터페이스(API) 연동사업, 타서비스 결합 모델 등 다양한 사업을 진행하며 제공하는 데이터의 상·중·하 구분기준 마련에서 문제가 생길 수 있다는 점을 예로 들기도 했다.

이와 함께 기업들은 ‘상·중·하’ 등급에 대한 기준, 시행방안과 적용 시스템 명확화가 되지 않은 상황에서 ‘하’ 등급만 먼저 등급제를 시행할 경우, SaaS 기업 입장에서는 어느 등급의 CSAP를 받아야 하는지 비교·검토가 불가하다고도 주장했다.

자사의 서비스가 ‘상·중·하’ 등급 중 어느 시스템에 사용되는지 알 수 없어 모든 등급에 대한 기준이 명확해지고 기준이 마련되었을 때 시행하는 것이 필요하다는 입장이다. 수요기관 또한 시스템의 등급에 대한 명확한 검토가 불가능해 당분간 어떤 사업도 시행할 수 없으리라는 의견이 제기되기도 했다.

한편에서는 SaaS와 IaaS의 차별화된 평가기준이 필요하다는 지적이 나오기도 했다. IaaS와 SaaS가 서비스 영역이 다른데 같은 잣대로 평가하는 것은 개선돼야 한다는 것이 핵심이다.

한국클라우드산업협회는 클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중이며 기업들의 기술적·정책적 세밀한 검토 이후 의견을 제출할 예정이다.