올해 초 과학기술정보통신부가 소프트웨어 인증제도 개선방안을 발표하면서 IT 기업들의 공공 시장 진출에도 변화의 바람이 불었습니다. 바로 ‘클라우드 서비스 보안인증 제도(CSAP)’ 때문인데요. 이번 포스팅에서는 CSAP의 개념과 최근 CSAP에 구체적으로 어떤 변화가 생기고 있는지 알아보겠습니다.
■ 클라우드 서비스 보안인증 CSAP란?
CSAP란 클라우드 서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보 보호 수준의 향상 및 보장을 위해 보안인증 기준에 적합한 클라우드 컴퓨팅 서비스에 대하여 보안인증을 수행하는 제도입니다.
CSAP의 목적
CSAP는 다음과 같은 목적으로 과기정통부와 한국인터넷진흥원(KISA)에서 운용되고 있습니다.
- 국가·공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
- 객관적이고 공정한 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스의 경쟁력 확보
CSAP의 유형과 등급
클라우드 서비스 보안인증 유형은 서비스에 따라 IaaS, SaaS, DaaS가 있으며, 유효기간은 모두 5년입니다.
최초에는 IaaS용 CSAP 인증이 제정되었으며, 이후 SaaS 인증이 표준, 간편 2가지 등급으로 나뉘어 추가되었습니다. 2020년에는 DaaS 인증이 시행되면서 총 3가지 유형으로 나뉘게 되었습니다.
| 인증 유형 | 정의 |
| IaaS | 서버, 저장장치, 네트워크 등을 제공하는 서비스 인증 |
| SaaS | 소프트웨어 애플리케이션을 제공하는 서비스 인증 |
| DaaS | 가상 데스크톱 환경 제공을 위한 서비스 인증 (행정·공공기관 인터넷망 PC 대체) |
클라우드 서비스 보안인증 등급은 유형에 상관없이 상/중/하 등급으로 구분됩니다.
CSAP 등급제가 시행되면서 표준, 간편으로 SaaS 인증에만 부여되었던 등급이 모든 인증 유형에 적용되었습니다. 하등급이 우선 시행되었으며 상/중등급은 별개의 보안인증 평가기준 검증을 거쳐 추가되었습니다.
| 등급 | 정의 |
| 상 | 민감정보를 포함하거나 행정 내부 업무 등을 운영하는 시스템 |
| 중 | 비공개 업무자료를 포함 또는 운영하는 시스템 |
| 하 | 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템 |
■ 클라우드 서비스 보안인증 CSAP, 최근 변화는?
CSAP는 클라우드 서비스를 공공기관에 공급하기 위해 거쳐야 하는 ‘필수 관문’이라 불리기도 합니다. 특히 SaaS(소프트웨어) 기업은 정부 공기업, 교육기관 및 행정기관에 클라우드 서비스를 제공하고자 할 경우 반드시 CSAP 인증을 획득해야 하는데요.
최근 지속적으로 개편되고 있는 CSAP에는 구체적으로 어떤 변화가 있었고, 앞으로 예고된 변화는 무엇일까요?
💡쉽게 이해하기: SaaS(Software as a Service) 그리고 IaaS(Infrastructure as a Service)
🔹 SaaS : 구글 Docs, 세일즈포스 (소프트웨어 특성)
🔹 IaaS : 구글 클라우드, 네이버 클라우드 (인프라 특성)
인증 평가 방식의 변화
기존에는 인증 받은 SaaS를 동일한 구성·환경으로 다른 IaaS에 추가 구축하는 경우 각 IaaS별로 개별 평가를 받아야 했습니다. 하지만 2024년 6월 평가 방식이 개편되면서 첫 인증 평가 이후에는 서면 평가로 다른 IaaS 구축에 대한 CSAP 평가를 대체할 수 있게 되었습니다.
| 변경 항목 | 기존 | 변경 |
| IaaS별 인증 (동일한 구성·환경으로 추가 구축 시) | IaaS별 개별 평가 (대면, 유료) | 첫 평가 이후 서면점검으로 대체 (무료) |
| 사후 평가 | IaaS별 개별 진행 (인증서 발급 시점 기준) | IaaS별 동시 점검 |
사후관리 평가 방식 개편 예정 (2025년)
2025년에는 먼저 CSAP를 획득한 클라우드 서비스에 대해 사후관리가 강화됩니다. 서면평가에서 미흡한 결과를 받은 기업에 대해서는 샘플링 현장 점검을 추가 도입하고, 점검 결과가 미흡할 경우 매년 현장 평가를 실시하는 등 보안 수준 저하를 방지할 예정이라고 합니다. 또한 매년 수행되는 사후평가의 방식은 서면평가(무료)를 중심으로 전환될 것입니다.
■ 업계 최초! CSAP 획득 전자계약, 전자서명 서비스 – 이폼사인
CSAP가 지속적으로 개편됨에 따라, 클라우드 서비스의 보안 기준 역시 계속 변화되고 있습니다. 이에 따라 도입을 고려하는 서비스가 어느 정도 수준의 보안을 갖추고 있는지 궁금해하실 수 있는데요.
이폼사인은 관련 제도의 변화와 무관하게 공공 진출에 필요한 안전성과 기술력을 모두 검증받았습니다. 그 결과 2023년 CSAP 서비스형 소프트웨어(SaaS) ‘표준’ 등급 인증을 획득했습니다.
이폼사인이 CSAP 인증을 획득한 것은 전자계약 업계에서는 최초의 성과이기도 합니다.
그뿐만 아니라 업계 유일 우수연구개발 혁신제품 지정, 업계 최초 AWS 인증 소프트웨어, GS 소프트웨어 품질인증 1등급 획득 등 보안 요건 충족으로 각종 국내‧외 공신력 있는 성과를 이루어냈습니다.
공공기관 클라우드 서비스 도입, 적절한 보안 요건을 갖춘 서비스인지 고민되시나요?
이폼사인은 다양한 인증으로 안전성을 검증받아 이미 정부, 공공기관에서 서명이 필요한 신청서, 동의서, 서약서 업무 등에 활용되고 있습니다.
신뢰할 수 있는 전자계약, 전자서명, 전자문서 서비스를 찾으신다면, 정답은 이폼사인입니다!