[아이뉴스24 박진영 기자] 한국클라우드산업협회(회장 윤동식)는 지난 10일 국내 서비스형소프트웨어(SaaS)·서비스형플랫폼(PaaS)·클라우드관리서비스 사업자(MSP) 회원사 대상으로 클라우드 보안인증(CSAP) 등급제 고시 개정안에 대한 논의를 진행했다고 11일 발표했다.
협회는 국내 SaaS·PaaS·MSP 21개 회원사 33명이 참석한 간담회 결과 ▲상·중·하등급에 대한 기준, 시행방안 및 적용 시스템의 명확한 가이드라인 제시 ▲하등급도 실증 필요 ▲CSAP 상·중·하등급 동시 시행 ▲SaaS와 IaaS의 차별화된 평가기준이 필요하다고 전했다.
우선 클라우드 보안인증 상·중·하등급에 대한 기준, 시행방안 및 적용 시스템에 대한 가이드라인을 명확히 제시해야 CSAP를 받은 기업과 받으려는 기업이 개정 고시에 맞춰 준비할 수 있다는 입장이다.
CSAP 상등급을 받은 서비스가 중·하등급에 해당하는 시스템에도 들어갈 수 있는지 가이드가 불명확하다. 또 기존 SaaS 간편인증은 하등급으로 인정될 수 있다고 고시에 명시돼 있는데 SaaS 간편인증을 받은 서비스 중 개인정보를 포함하는 서비스의 경우 어느 등급에 해당되는지, 하등급으로 분류되지 않는다면 CSAP를 다시 받아야 하는지, 재인증에 따른 비용 발생에 대한 부분 등 명확한 시행방안이 제시돼야 한다고 언급했다.
또 상·중·하 등급별 시장 비율 및 각 등급의 레퍼런스를 제시할 필요가 있다고 밝혔다.세부 정보와 CSAP 등급제의 방향이 아직 불명확하기 때문에 SaaS기업 입장에서는 무엇을 준비해야 하는지 알 수 없다는 입장이다.
더불어 하등급도 실증이 필요하다는 의견이 나왔다. SaaS와 관련하여 API 연동사업, 타서비스 결합 모델 등 다양한 사업이 진행될텐데 시스템에 연동되어 구축되는 경우 API로 제공하는 데이터는 상·중·하의 구분기준을 어떻게 마련할 것인지 명확하지 않기 때문이다.
아울러 클라우드 보안인증 상·중·하등급 동시 시행이 필요하다는 입장이다.
앞서 언급된 상·중·하등급에 대한 기준, 시행방안 및 적용 시스템 명확화가 되지 않은 상황에서 하등급만 먼저 시행될 경우, SaaS 기업 입장에서는 어느 등급의 CSAP를 받아야 하는지 비교·검토가 불가하다. 또 자신의 서비스가 상·중·하등급 중 어느 시스템에 사용되는지 알 수 없어 모든 등급에 대한 기준이 명확해지고 기준이 마련됐을 때 시행하는 것이 필요하다는 것이다.
마지막으로 SaaS와 IaaS의 차별화된 평가기준이 필요하다는 입장이다. IaaS와 SaaS가 서비스 영역이 다른데 같은 잣대로 평가하는 것은 개선돼야 하고 SaaS·PaaS·IaaS의 보안인증 분리가 먼저고 등급제는 그 다음에 고려해야 할 사항이라는 의견이다.
협회는 클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중에 있으며, 기업들의 기술적·정책적 세밀한 검토 이후 의견을 제출할 예정이다.
/박진영 기자(sunlight@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기