[데이터넷] 국내 클라우드 서비스 제공업체(CSP)들에 이어 서비스형 소프트웨어(SaaS)·서비스형 플랫폼(PaaS)·매니지드 서비스(MSP) 기업들도 최근 정부가 공개한 클라우드 보안인증(CSAP) 등급제 시행에 우려의 목소리를 냈다. 클라우드 보안인증 등급제와 관련해 명확한 가이드라인이 없다는 것이 가장 큰 이유다.
11일 한국클라우드산업협회는 국내 SaaS·PaaS·MSP 21개 회원사가 진행한 간담회 결과 ▲ 상·중·하등급에 대한 기준, 시행 방안 및 적용 시스템의 명확한 가이드라인 제시 ▲하등급도 실증 필요 ▲CSAP 상·중·하등급 동시 시행 ▲SaaS와 IaaS의 차별화된 평가 기준 마련 등의 의견이 도출됐다고 밝혔다.
우선 클라우드 보안인증 상·중·하등급에 대한 기준, 시행 방안 및 적용 시스템에 대한 가이드라인을 명확히 제시해야 CSAP를 받은 기업과 받으려는 기업이 개정 고시에 맞춰 준비할 수 있다는 입장이다.
CSAP 상등급을 받은 서비스가 중·하등급에 해당하는 시스템에도 들어갈 수 있는지 가이드가 불명확할뿐더러 기존 SaaS 간편인증은 하등급으로 인정될 수 있다고 고시에 명시돼 있는데 SaaS 간편인증을 받은 서비스 중 개인정보를 포함하는 서비스의 경우 어느 등급에 해당되는지, 하등급으로 분류되지 않는다면 CSAP를 다시 받아야 하는지와 재인증에 따른 비용 발생에 대한 부분 등 명확한 시행방안이 제시돼야 한다고 언급했다.
또 상·중·하 등급별 시장 비율 및 각 등급의 레퍼런스를 제시할 필요가 있다고 입을 모았다. 세부 정보와 CSAP 등급제의 방향이 아직 불명확하기 때문에 SaaS 기업 입장에서는 무엇을 준비해야 하는지 알 수 없다는 입장이다.
더불어 하등급도 실증이 필요하다는 의견으로, SaaS와 관련해 API 연동사업, 타 서비스 결합 모델 등 다양한 사업이 진행될 텐데 시스템에 연동돼 구축되는 경우 API로 제공하는 데이터는 상·중·하의 구분 기준을 어떻게 마련할 것인지 명확하지 않기 때문이다.
두 번째로 클라우드 보안인증 상·중·하등급 동시 시행이 필요하다고 촉구했다. 앞서 언급된 상·중·하등급에 대한 기준, 시행 방안 및 적용 시스템 명확화가 되지 않은 상황에서 하등급만 먼저 시행될 경우, SaaS 기업 입장에서는 어느 등급의 CSAP를 받아야 하는지 비교·검토가 불가하며, 자신의 서비스가 상·중·하등급 중 어느 시스템에 사용되는지 알 수 없기 때문이다.
이에 모든 등급에 대한 기준이 명확해지고 기준이 마련됐을 때 등급제를 시행하는 것이 마땅하며, 수요기관 또한 시스템의 등급에 대한 명확한 검토가 불가능해 당분간 어떤 사업도 시행될 수 없는 상황으로 보이는 점이 우려된다고 강조했다.
마지막으로 SaaS와 IaaS의 차별화된 평가기준이 필요하다는 입장이다. IaaS와 SaaS가 서비스 영역이 다른데 같은 잣대로 평가하는 것은 개선돼야 한다는 것. SaaS/PaaS/IaaS의 보안인증 분리가 먼저이고 등급제는 그 다음에 고려해야 할 사항이라는 의견으로, CSAP 중 클라우드의 보안항목과 맞지 않아 클라우드에 맞게 변경을 요청했던 사항인데 상·중·하 등급제만 발표된 상황이라고 언급했다.
보안인증 기준 130여개 중 간편인증에서 받아야 했던 것은 30여 개였는데, 하등급으로 나온 항목은 50여 개로 SaaS 간편인증보다 어려워졌기에 간편인증 기준에 맞춰 하등급을 30개 수준으로 줄이거나 등급제 체크리스트를 조정할 필요가 있다는 의견이다.
한편 한국클라우드산업협회는 클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중에 있으며, 기업들의 기술적·정책적 세밀한 검토 이후 의견을 제출할 예정이다.
