[데이터넷] ‘클라우드컴퓨팅서비스 보안인증에 관한 고시(CSAP)’ 개정이 행정예고돼 있는 가운데 한국소프트웨어산업협회(KOSA, 회장 조준희)는 산하 SaaS추진협의회 소속 기업들을 대상으로 CSAP 등급제 도입에 대한 긴급 의견 수렴을 진행했다고 20일 밝혔다.
SaaS 기업 대다수는 그간 원활하지 않았던 공공 클라우드 시장에서 민간 SaaS 도입이 활발해지는 계기가 마련돼야 하고, 이번 CSAP 개정은 이를 중점적으로 고려해야 한다고 의견을 모았다.
의견 수렴에 참여한 A 기업 관계자는 “기존 CSAP 제도에서는 ‘SaaS 간편인증’ 도입 등 지속적인 노력이 있었음에도 CSAP를 통과한 SaaS의 수는 총 64개(인증 취소 제외)로 공공에서 활용 가능 SaaS는 매우 적은 수”라며 “‘하’등급 개방으로 당장의 활발한 SaaS 도입을 기대하기보다는 이러한 시도가 국내 클라우드 시장을 변화시킬 수 있는 기회가 되길 기대한다”고 전했다.
B 기업 관계자는 “대다수가 중소기업인 국내 소프트웨어 시장에서 수요를 알 수 없는 공공시장을 위해 안정적 수익의 온프레미스를 두고 SaaS 전환이라는 모험을 하지는 않을 것”이라며 “등급제를 통해 공공 내 SaaS 수요를 확인할 수 있다면 중소 소프트웨어 기업들도 이를 참고해 SaaS 전환을 진지하게 고려할 것”이라고 언급했다.
C 기업 관계자는 “보안 등의 문제로 중앙부처의 디지털 전환이 어렵다면 하위 기관부터 디지털 전환을 시작해야 한다”며 “우선 덜 민감한 기관이나 지자체 등에서 민간 SaaS를 도입하고 상향식(Bottom Up) 방식으로 공공부문 내 민간 SaaS 도입을 이끌어내야 한다”고 주장했다.
또 “보안 요소를 고려한 체계적 CSAP 등급제 마련도 충분히 동의하지만, 신속한 클라우드 시장 확대를 위해서는 미흡하더라도 제도를 우선 시행하고 제도·기술적 보완을 뒷받침해야 한다”는 말도 덧붙였다.
한편 SaaS 솔루션을 제공 중인 D 기업 관계자는 “우수한 솔루션을 바탕으로 공공부문에서 적극적인 제안이 들어오고 있지만 새로운 IaaS 기반으로 서비스를 제공해야 한다는 점은 부담”이라며 “새로운 IaaS 내 SaaS를 구축하는 것은 신규 개발과 동일한 리소스가 투입된다는 점에서 공공 시장을 포기하게 되는 요인”이라고 밝혔다.
아울러 “CSAP 인증 시 사용 중인 CSP를 명시하거나 각 CSP별로 중복 인증을 진행하는 점은 중소 SaaS 기업에 부담인 만큼 이번 CSAP 등급제를 마중물 삼아 SaaS 전문 보안 인증 체계 마련이 필요하다”는 의견도 함께 내세웠다.
반면 우려의 목소리를 전하는 기업들도 있었다. E 기업 관계자는 “개인정보를 포함하지 않는 ‘하’등급 개방은 시장 확대 측면에서 충분하지 않아 면밀한 검토를 거쳐 개방 규모를 더 확대해야 한다”며 ‘중’·‘상’등급 개방에 대한 단계적 계획도 반드시 수반돼야 한다”는 의견을 제시했다.
F 기업 관계자는 “등급별 품목이 명확하지 않으면 시장 예측이 어려워 인증 획득을 준비하기 어렵다. 자칫하면 등급별로 중복 인증을 받아야 하는 상황이 초래될 수 있어 조속히 명쾌한 등급별 품목이 제시돼야 한다”고 강조했다.
KOSA 관계자는 “앞으로도 지속 SaaS 기업들의 의견을 수렴해 SaaS 중심의 생태계를 확립할 수 있는 CSAP가 될 수 있도록 힘을 보탤 계획”이라고 말했다.
