[아이뉴스24 박진영 기자] 정부가 클라우드 보안인증(CSAP) 등급제의 상·중등급 평가체계를 조만간 확정하고 본격 시행한다. 다만 지난해 인증 수수료 유료화로 인한 혼란은 여전히 해소되지 않고 있어 중소 기업 대상으로 한 수수료 지원 확대가 필요하다는 지적이 나온다.
!['클라우드 서비스 보안인증(CSAP)' 인증마크 이미지. [사진=KISA 홈페이지 캡쳐]](https://image.inews24.com/v1/c8b54a5bf7f38f.jpg)
27일 한국인터넷진흥원(KISA)에 따르면, CSAP 등급제의 상·중등급 평가기준이 반영된 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안에 대한 의견 수렴을 마무리하고, 조만간 상·중등급 평가 체계를 확정·시행할 방침이다.
CSAP는 국가·공공기관에 제공되는 퍼블릭 클라우드 서비스의 보안성을 검증하기 위해 마련된 제도다. 지난해 1월 공공 부문 민간 클라우드 이용 활성화를 위해 'CSAP 등급제'를 도입했다. 등급별로 보안인증 평가기준을 차등화했고, △상등급은 기존 평가기준을 보완‧강화 △중등급은 현행 수준을 유지 △하등급은 합리적으로 완화했다.
이 가운데 최대 수 억원에 달하는 인증 수수료와 클라우드 서비스 제공사(CSP)별 중복인증 등으로 인한 혼란이 가중되고 있다. 지난해 CSAP 인증이 유료로 전환됨에 따라 적게는 수 천 만원에서 많게는 수 억원 대 수수료가 발생한다. CSAP 인증을 최초로 받은 이후 매년 사후평가와 5년 후 갱신평가를 받아야 하는데, 평가 때마다 매번 비용이 발생하기 때문이다.
일례로 SaaS(서비스형소프트웨어) 인증을 받기 위한 최초 평가비용은 표준 등급 기준 약 2947만원이다. 사후평가 비용은 1회당 2488만원으로, 총 4회의 평가 비용을 부담해야 한다. 또 유효기간 5년이 끝나면 갱신평가를 받는데, 최초 평가비용과 같은 금액을 지불해야 한다..
더욱이 SaaS의 경우 CSP별로 보안인증을 따로 받아야 하기 때문에 중복 인증으로 인한 수수료 부담도 크다. SaaS는 기본 인증을 받은 후, SaaS를 서비스하고 있는 CSP에 대한 인증도 별도로 요구된다. 예를 들어 2개의 CSP에서 SaaS 서비스를 제공하려면, 2번의 인증을 받아야하는 것이다.
SaaS 업계 관계자는 "SaaS의 경우 보통 복수의 CSP에서 서비스하고 있는데, CSP 별로 사후평가 갱신평가를 따로 받아야 하고, 별도로 수수료를 내야 하는 상황"이라면서 "공공 SaaS 활성화를 위해선 중복인증 구조로 인한 과도한 수수료 부담이 해소돼야 한다"고 토로했다.
이에 대해 KISA 측은 "과거 무료였던 인증 수수료가 유료화되면서 현장에서 이러한 중복인증 문제가 발생하고 있다"면서 "수수료 지원 외에 기업 부담 줄이는 방법에 대해 과기정통부와 논의 중"이라고 밝혔다.
/박진영 기자(sunlight@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기