2024년 4월, 과학기술정보통신부는 정보보호‧소프트웨어 인증제도 개선방안을 발표하면서,
정보보호‧SW 품질 수준은 유지하면서 혁신을 저해하는 불필요‧불합리한 부담은 대폭 경감할 수 있도록 획기적으로 개선하였습니다.
△인증 기간 최장 2개월 이내로 단축
△기업의 수수료 약 5백만~2천만 원으로 절감
△사후평가, 유효기간, 재인증 등 불편 해소 및 절차 간소화

이로 인해 IT 기업들의 공공 시장 진출에도 변화의 바람이 불었습니다.
바로 ‘클라우드 서비스 보안인증 제도(CSAP, Cloud Security Assurance Program)’ 때문입니다.

□ CSAP란?

클라우드서비스 제공자가 제공하는 서비스에 대해 정보보호 수준의 향상 및 보장을 위하여
보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 보안인증을 수행하는 제도입니다.

□ 목적 및 필요성

• 국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드서비스 공급
• 객관적이고 공정한 클라우드서비스 보안인증를 실시하여 이용자의 보안 우려를 해소하고, 클라우드서비스의 경쟁력 확보

□ 추진근거

• 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 의한 「제1차 클라우드컴퓨팅 기본계획」(2015)에 따른 클라우드
    서비스 보안인증제도 시행

• 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증에 관한 업무 수행

□ CSAP의 유형과 등급

클라우드 서비스 보안인증 유형은 서비스에 따라 IaaS, SaaS, DaaS가 있으며, 유효기간은 모두 5년입니다.
최초에는 IaaS용 CSAP 인증이 제정되었으며, 이후 SaaS 인증이 표준/간편 2가지 등급으로 나뉘어 추가되었습니다.

2020년에는 DaaS 인증이 시행되면서 총 3가지 유형으로 나뉘게 되었습니다.

• IaaS : 서버, 저장장치, 네트워크 등을 제공하는 서비스 인증
• SaaS : 소프트웨어 애플리케이션을 제공하는 서비스 인증
• DaaS : 가상 데스크톱 환경 제공을 위한 서비스 인증 (행정·공공기관 인터넷망 PC 대체)

클라우드 서비스 보안인증 등급은 유형에 상관없이 상/중/하 등급으로 구분됩니다.
CSAP 등급제가 시행되면서 표준/간편으로 SaaS 인증에만 부여되었던 등급이 모든 인증 유형에 적용되었습니다.
'하' 등급이 우선 시행되었으며 '상', '중' 등급은 별개의 보안인증 평가기준 검증을 거쳐 추가되었습니다.

• 상 : 민감정보를 포함하거나 행정 내부 업무 등을 운영하는 시스템
• 중 : 비공개 업무자료를 포함 또는 운영하는 시스템
• 하 : 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템

□ 인증평가 종류

• 최초평가 : 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가입니다.
  ※ 최초평가를 통해 인증을 취득하면, 5년의 유효기간을 부여합니다.

• 사후평가 : 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며,
                  보안인증 유효기간(5년) 안에 매년 시행됩니다.

• 갱신평가 : 보안인증 유효기간(5년)이 만료되기 전에 클라우드서비스에 대한 보안인증의 연장을 원하는 경우에 실시하는 평가입니다.

기존에는 인증 받은 SaaS를 동일한 구성·환경으로 다른 IaaS에 추가 구축하는 경우 각 IaaS별로 개별 평가를 받아야 했습니다.
하지만 2024년 6월 평가 방식이 개편되면서
첫 인증 평가 이후에는 서면 평가로 다른 IaaS 구축에 대한 CSAP 평가를 대체할 수 있게 되었습니다.

2025년에는 먼저 CSAP를 획득한 클라우드 서비스에 대해 사후관리가 강화됩니다.
서면평가에서 미흡한 결과를 받은 기업에 대해서는 샘플링 현장 점검을 추가 도입하고,
점검 결과가 미흡할 경우 매년 현장 평가를 실시하는 등 보안 수준 저하를 방지할 예정이라고 합니다.
또한 매년 수행되는 사후평가의 방식은 서면평가(무료)를 중심으로 전환됩니다.