정부가 클라우드 보안인증(CSAP) 등급제 개편안을 두고 하 등급을 먼저 시작하려는 계획에 국내 클라우드 업체들이 반대 의견을 냈다. 업체들은 상·중·하 등급을 동시에 시행해야 하고, 제도 도입에 대한 시장 충격을 최소화할 수 있도록 하 등급에 대한 실증도 필요하다고 입을 모았다. 연초 시행 예정이었던 하 등급 관련 계획에 변동이 불가피할 전망이다.
11일 한국클라우드산업협회는 전날 21개 국내 SaaS(서비스 지향 소프트웨어)·MSP(클라우드 관리) 업체와 과학기술정보통신부가 추진 중인 CSAP 등급제 고시 개정안에 대한 논의를 진행했다.
그 결과 국내 SaaS·MSP 업체들은 과기정통부에 △CSAP 상·중·하 등급 동시 시행 △상·중 등급뿐 아니라 하 등급도 제도 시행에 따른 실증 필요 △상·중·하 등급 분류에 대한 명확한 가이드라인 제시 등을 요구하기로 입을 모았다.
앞서 5일에는 KT클라우드(회장사)·네이버클라우드·NHN클라우드·카카오엔터프라이즈 등 국내 CSP(클라우드 서비스 업체)가 모여 정부에 "CSAP 상·중·하 등급제를 형평성 있게 동시에 진행해야 한다"며 "상·중 등급만 실증을 진행하고 하 등급을 먼저 시행하는 것은 현행 CSAP 인증을 취득한 사업자에 대한 '역차별'"이라고 성명을 낸 바 있다.
CSAP 개편안을 두고 국내 CSP와 SaaS 업체간 의견이 갈릴 것이란 당초 예측과 달리 대부분의 국내 클라우드 업체가 상·중·하 등급제 동시에 시행해야 한다고 뜻을 모은 것이다. 이는 CSAP 등급제 개편은 기정사실로 받아들이되 등급제 개편으로 인한 시장 변화에 대응할 수 있는 시간을 확보하려는 전략으로 풀이된다.
과기정통부는 지난달 29일 기존에는 '인증'만 있던 CSAP를 글로벌 보안 기준에 맞춰 '상·중·하' 3등급으로 구분하는 내용을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 행정예고했다. 당시 과기정통부는 "연초에 하 등급 인증을 먼저 시행하고, 상·중 등급은 디지털플랫폼정부위원회와 관계부처 검증을 통해 세부 평가 기준을 마련해서 연내 시행할 계획"이라고 밝혔다. CSAP 상·중·하 3등급 구분은 과기정통부 고시 이후 국가정보원의 '시스템 중요도 분류 기준'에 따라 개별 행정 기관이 정하게 된다.
협회는 먼저 정부가 하 등급만 먼저 시행하고 상·중 등급을 따로 시행할 경우 어떤 등급의 CSAP를 받아야 하는지 비교 검토가 어렵고 클라우드 소프트웨어가 상·중·하 등급 중 어떤 시스템에서 사용되는지 알 수 없는 만큼 먼저 등급에 대한 기준을 명확히 하고 상·중·하 등급을 동시에 시행해야 한다고 강조했다.
이어 기존에 CSAP 인증을 받은 기업이 등급제에서 어떤 지위를 갖게 되는지 명확히 할 필요성이 있다고 밝혔다. 아주경제 취재에 따르면 기존 CSAP 인증 기업은 중 등급을 자동 취득하며 개편 후 상 등급을 받은 기업은 중·하 등급을, 중 등급을 받은 기업은 하 등급을 따로 받지 않아도 된다. 정부가 상·중·하 등급별 시장 비율과 각 등급의 사례(레퍼런스)를 제시하고, SaaS를 API 형태로 기존 공공 시스템과 연결할 때 상·중·하 구별 기준이 명확하지 않다는 의견도 나왔다.
SaaS 업체들은 CSP와 SaaS를 다른 기준으로 평가해야 한다는 의견도 냈다. 각자 서비스 영역이 다른 만큼 같은 잣대로 일괄되게 평가하기엔 무리가 있다는 것이다. SaaS 활성화를 위한 기존 CSAP 간편인증은 130여개 평가항목 중 30여개 수준을 충족하면 됐는데, CSAP 개편안 하 등급은 평가항목이 50여개에 달해 기존 간편인증보다 기업에 더 부담으로 작용한다는 주장이다.
과기정통부는 오는 13일 오전 한국지능정보사회진흥원(NIA)에서 CSAP 등급제 추진 방향에 대한 국내 주요 클라우드 사업자들의 의견을 듣고 해당 의견 수렴 결과를 최종 고시 개정안에 반영할 계획이다.
11일 한국클라우드산업협회는 전날 21개 국내 SaaS(서비스 지향 소프트웨어)·MSP(클라우드 관리) 업체와 과학기술정보통신부가 추진 중인 CSAP 등급제 고시 개정안에 대한 논의를 진행했다.
그 결과 국내 SaaS·MSP 업체들은 과기정통부에 △CSAP 상·중·하 등급 동시 시행 △상·중 등급뿐 아니라 하 등급도 제도 시행에 따른 실증 필요 △상·중·하 등급 분류에 대한 명확한 가이드라인 제시 등을 요구하기로 입을 모았다.
앞서 5일에는 KT클라우드(회장사)·네이버클라우드·NHN클라우드·카카오엔터프라이즈 등 국내 CSP(클라우드 서비스 업체)가 모여 정부에 "CSAP 상·중·하 등급제를 형평성 있게 동시에 진행해야 한다"며 "상·중 등급만 실증을 진행하고 하 등급을 먼저 시행하는 것은 현행 CSAP 인증을 취득한 사업자에 대한 '역차별'"이라고 성명을 낸 바 있다.
CSAP 개편안을 두고 국내 CSP와 SaaS 업체간 의견이 갈릴 것이란 당초 예측과 달리 대부분의 국내 클라우드 업체가 상·중·하 등급제 동시에 시행해야 한다고 뜻을 모은 것이다. 이는 CSAP 등급제 개편은 기정사실로 받아들이되 등급제 개편으로 인한 시장 변화에 대응할 수 있는 시간을 확보하려는 전략으로 풀이된다.
과기정통부는 지난달 29일 기존에는 '인증'만 있던 CSAP를 글로벌 보안 기준에 맞춰 '상·중·하' 3등급으로 구분하는 내용을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 행정예고했다. 당시 과기정통부는 "연초에 하 등급 인증을 먼저 시행하고, 상·중 등급은 디지털플랫폼정부위원회와 관계부처 검증을 통해 세부 평가 기준을 마련해서 연내 시행할 계획"이라고 밝혔다. CSAP 상·중·하 3등급 구분은 과기정통부 고시 이후 국가정보원의 '시스템 중요도 분류 기준'에 따라 개별 행정 기관이 정하게 된다.
협회는 먼저 정부가 하 등급만 먼저 시행하고 상·중 등급을 따로 시행할 경우 어떤 등급의 CSAP를 받아야 하는지 비교 검토가 어렵고 클라우드 소프트웨어가 상·중·하 등급 중 어떤 시스템에서 사용되는지 알 수 없는 만큼 먼저 등급에 대한 기준을 명확히 하고 상·중·하 등급을 동시에 시행해야 한다고 강조했다.
이어 기존에 CSAP 인증을 받은 기업이 등급제에서 어떤 지위를 갖게 되는지 명확히 할 필요성이 있다고 밝혔다. 아주경제 취재에 따르면 기존 CSAP 인증 기업은 중 등급을 자동 취득하며 개편 후 상 등급을 받은 기업은 중·하 등급을, 중 등급을 받은 기업은 하 등급을 따로 받지 않아도 된다. 정부가 상·중·하 등급별 시장 비율과 각 등급의 사례(레퍼런스)를 제시하고, SaaS를 API 형태로 기존 공공 시스템과 연결할 때 상·중·하 구별 기준이 명확하지 않다는 의견도 나왔다.
SaaS 업체들은 CSP와 SaaS를 다른 기준으로 평가해야 한다는 의견도 냈다. 각자 서비스 영역이 다른 만큼 같은 잣대로 일괄되게 평가하기엔 무리가 있다는 것이다. SaaS 활성화를 위한 기존 CSAP 간편인증은 130여개 평가항목 중 30여개 수준을 충족하면 됐는데, CSAP 개편안 하 등급은 평가항목이 50여개에 달해 기존 간편인증보다 기업에 더 부담으로 작용한다는 주장이다.
과기정통부는 오는 13일 오전 한국지능정보사회진흥원(NIA)에서 CSAP 등급제 추진 방향에 대한 국내 주요 클라우드 사업자들의 의견을 듣고 해당 의견 수렴 결과를 최종 고시 개정안에 반영할 계획이다.