[IT 기본학습] 클라우드 보안인증제도 CSAP 등급제 도입! SW 산업에 큰 물결 온다

안녕하세요, 토탈 IT 솔루션 기업 [이호스트ICT] 입니다!

최근 국내 클라우드 시장에서 CSAP 등급제에 관련한 이슈가 지속되고 있습니다. 과학기술정보통신부에서 '정보보호 규제개선 추진상황 및 계획' 을 발표 하면서 CSAP 인증에 등급제가 실시된다고 밝힌 것인데요. 

클라우드로 사용될 시스템의 중요도를 기준으로 하여 3등급으로 구분이 되며, 이에 따라 클라우드 보안인증의 평가 기준도 보안·완화 된다고 합니다. 특히, 민감한 정보 등을 다루는 클라우드에 대해서는 보안성을 더욱 높이도록 하며, 보안 위험이 상대적으로 낮은 공개 데이터를 다루는 클라우드에 대해서는 부담을 상대적으로 완화 한다는 것이 큰 골자인데요.

오늘 포스팅에서는 클라우드 시장에서 큰 변화를 가져올 것으로 예상되는 CSAP 등급제의 개념과 변화할 것으로 예상되는 부분들에 대해 짚어 보도록 하겠습니다. 

CSAP : 클라우드 보안인증제란 무엇인가요?

CSAP란 Cloud Security Assurance Program의 약자로 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다.

클라우드 보안인증제도는 클라우드 컴퓨팅 기술을 활용하여 정보시스템 Infra, 응용 프로그램, 개발 환경 중 어느 하나 이상의 서비스를 제공하는 기업이 그 대상이 됩니다. CSAP 획득이 필요한 이유는 바로 '보안' 때문인데요. KISA (한국인터넷진흥원)은 정보보호 기준 준수 여부 확인을 위한 인증 제도를 만들어, 공공기관에서 해당 인증 심사를 통과한 클라우드 서비스만 사용하도록 하고 있습니다.즉, 공공기관을 대상으로 클라우드 서비스를 공급하고 싶은 사업자라면 이 인증의 획득이 필수입니다. 

출처 : Byline Network

CSAP 등급제 도입으로 무엇이 달라지나요?


기존에도 클라우드 보안인증제도가 실시 되어 왔으나, 클라우드 인프라의 물리적 망분리 요건 충족 등 세밀한 요구 사항을 모두 갖춰야 했습니다. 또한 시스템이나 클라우드에 활용될 데이터 등에 관련 없이 높은 수준의 보안 체계를 요구 받아왔는데요. 이러한 이유로 클라우드 사업자들이 공공시장에 진입하기 위해서는 오랜 시간의 인증 절차가 반드시 필요했습니다. 

하지만 이번 CSAP 등급제가 실시된다면 IT 시스템의 중요도를 기준으로 3단계 구분이 되면서, 등급별로 차등화된 보안인증기준이 적용됩니다. 즉, 민감정보 등을 다루는 클라우드에 대해서는 보안성을 높이고 보안 위험이 상대적으로 낮은 공개데이터를 다루는 클라우드는 평가 기준을 완화한다는 방침인 것인데요. 

출처 : 전자신문

2022년 12월 29일, 과학기술정보통신부는 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 행정예고 했는데요. 위에서 서술한 바와 같이, 이 개정안의 핵심은 상/중/하 등급제 도입입니다. 민간 클라우드를 이용하고자 하는 국가/공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상/중/하 등급으로 분류하게 됩니다. 

평가 항목을 기준으로 상 등급 평가 기준은 보안, 강화하며 중 등급 평가 기준은 현행 수준을 유지, 하 등급 평가 기준은 완화됩니다. 세부적인 평가기준은 실증·검증을 거쳐 추후 마련할 예정이라고 하는데요. 

특히, '하' 등급의 경우 개인정보를 포함하지 않고 공개된 공공데이터를 운영하는 시스템을 대상으로 하며, 논리적 망분리를 허용하게 되면서 현행 수준으로부터 규제가 완화(간소화) 됩니다. 이에 따라 미국, 중국 등 해외 클라우드 기업의 국내 공공시장 진출 길이 열리게 된 것입니다. 

과기정통부 관계자는 “디지털플랫폼정부의 성공적 구현을 위해서는 민간의 클라우드 서비스를 활용한 대국민 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 측면이 함께 고려돼야 한다”면서 “하 등급 시스템에 대해서는 글로벌 경쟁 환경조성과 보안성 측면을 고려하고, 상·중 등급 시스템에 대해서는 신규 시장을 창출해 국내 클라우드 산업 전반의 성장을 위해 노력하겠다”고 전했습니다. 


*물리적 분리 : 민간 기업이 쓰는 클라우드 데이터센터와 공공이 쓰는 클라우드 데이터센터를 하드웨어(서버·스토리지·네트워크 등) 단계부터 완벽히 분리하는 행위

*논리적 분리 : 민간과 공공이 하드웨어는 같이 쓰되 소프트웨어(가상머신·운영체제·컨테이너) 단계에서 분리함으로써 서로 데이터가 섞이는 것을 막는 기술

국내 공공 클라우드 시장, 외국 기업 빗장 열어준다!

아마존웹서비스(AWS), 마이크로소프트, 구글클라우드 등 해외 클라우드 기업은 물리적 인프라 분리를 하지 않고 논리적(소프트웨어) 인프라 분리만 함으로써 CSAP 인증을 받지 못해왔습니다. 이 이유로 인해 그동안은 국내 공공 클라우드 시장에 진입하지 못했었는데요. 

AWS를 위시한 해외 업체들은 CSAP가 보안 인증보다 해외 업체의 공공 시장 참여를 막는 무역 장벽의 역할을 한다며 제도의 폐지 또는 수정을 꾸준히 요구해왔습니다. 이를 의식한 듯 미국 무역대표부(USTR)는 '2022년도 국별무역장벽보고서'를 통해 CSAP를 한국 무역장벽의 대표적인 사례로 지목하기도 했는데요. 

CSAP 등급제가 도입될 경우 하위 등급의 공공 분야에서는 아마존웹서비스(AWS), 구글, 마이크로소프트 뿐 아니라 알리바바와 텐센트 등 중국 클라우드 기업들의 본격적인 시장 공략이 예상됩니다. 

국내 CSP* 사업자는 2023년도부터 외산과 경쟁 돌입 


KT클라우드, 네이버클라우드, 카카오엔터프라이즈, NHN클라우드 등 대기업 계열 클라우드 전문사들은 정부의 규제완화에 크게 긴장하고 있습니다. 공공 클라우드 시장을 글로벌 기업에 개방하는 신호탄 격인 클라우드 보안인증제도 CSAP 등급제가 시행되면 경쟁이 불가피해지기 때문인데요. 

일각에선 기존 클라우드 보안 인증 요건에 따라, 물리적 망 분리를 완료하고 비용을 투입한 국내 기업들이 오히려 역차별을 받게 된 것이란 비판도 제기되고 있는 모습입니다. 한 CSP 업체 관계자는 "공공까지 외산 놀이터가 되지 않도록, 국내 기업 성장을 가로채지 않도록 정부가 앞으로 주시해줬으면 한다"고 전했습니다. 


*CSP (Cloud Service Provider) : 클라우드 서비스 제공 업체

반면 MSP*, SaaS** 사업자에게는 선택지가 넓어지고 오히려 시장이 확대될 예정인데요. 

메가존클라우드, 베스핀글로벌 등 전문 기업들과 삼성SDS, LG CNS 등 국내 IT 서비스 회사들은 공공기관에 제안할 상품군이 늘어나고, 이를 바탕으로 공공사업 참여 기회 또한 대폭 확대될 것으로 보입니다.

클라우드 업계 한 관계자는 "클라우드 보안 인증 개정으로 인프라 투자 규모가 적은 중소 SaaS 기업과 외산 서비스형인프라(IaaS)를 기반으로 SaaS를 제공하는 국내 사업자들에 공공시장 진출 기회가 생길 것"이라고 기대했습니다.



*MSP (Managed Service Provider) : 클라우드 매니지드 서비스 사업

**SaaS (Software as a Service) : 서비스로서의 소프트웨어. 클라우드 애플리케이션과 기본 IT 인프라 및 플랫폼을 인터넷 브라우저를 통해 최종 사용자에게 제공하는 클라우드 컴퓨팅 형태이다. 

국내 SW 산업에 큰 물결을 몰아칠 CSAP 등급제의 실시. 여러분께서는 어떻게 생각 하시나요? 

글로벌 CSP사들이 국내 공공 클라우드 시장에 침투하면서 국내 CSP사의 경쟁력이 저하될 것이라는 우려를 낳고 있는데요. 반면 MSP, SaaS 사업자에게는 기회가 될 것으로 예상되기도 합니다. 

국내 클라우드 시장의 생태계를 지켜내면서도 상호 Win-Win 할 수 있는 사회적 합의가 도출 되어야 할 것입니다. 경쟁을 통해 국내 클라우드 기업이 더욱 성장할 수 있는 발판 역할을 함과 동시에, 글로벌 경쟁 환경 조성으로 보안성을 더욱 강화한다면 성공적인 구현이 가능하지 않을까 합니다. 대한민국의 데이터 주권 문제 또한 반드시 고려 되어야 할 것인데요. 단편적으로 이 개편안을 평가 하는 것이 아닌 중장적 관점에서, 정밀한 논의와 함께 실증검증이 이루어지기를 고대합니다.