클라우드서비스 보안인증제도(CSAP) 평가 기관이 복수로 늘어난다. 평가는 유료화하되 중소기업은 최대 70%까지 비용을 지원한다.
과학기술정보통신부, 한국인터넷진흥원(KISA)은 14일 '클라우드컴퓨팅서비스 정보보보호에 관한 기준 개정안 설명회'를 열고 클라우드서비스 보안인증제도(CSAP) 주요 변경사항을 발표했다.
설명회는 과기정통부가 지난 7일 행정예고한 '클라우드컴퓨팅서비스 보안인증에 관한 고시 개정'에 따른 CSAP 변경 사항을 소개하기 위해 열렸다.
CSAP는 클라우드 서비스 제공자가 제공하는 서비스의 정보보호 기준 준수여부를 확인해 평가·인증하는 제도다. 개정안은 CSAP 인증기관·평가기관 지정공고 방법, 제출서류, 업무수행 요건 능력 심사 세부기준 등을 담았다.
고시 개정에 따라 CSAP은 내년 1월 12일부터 전면 개편된다.
가장 큰 변화는 CSAP 평가 기관 신규 지정이다. 현재 KISA가 단독으로 평가·인증을 수행하지만 복수기관이 평가를 수행하게 된다. 기업 평가·인증 편의를 제고하기 위한 조처다.
수수료가 유료화되지지만 중기업, 소기업은 각각 50%, 70%까지 비용을 지원받을 수 있도록 했다.
이날 KISA가 밝힌 시스템 규모 500대 기준 서비스형 인프라(IaaS), 서비스형 데스크톱(DaaS) 서비스의 최초·갱신 평가 수수료는 약 5112만원이다. 비용 지원을 감안하면 중기업 실부담금은 2556만원, 소기업은 1534만원으로 줄어든다. 사후평가 비용은 2199만원에서 각각 1099만원, 660만원으로 낮아진다.
평가절차도 간소화한다. 보안취약점 점검은 평가기관이 직접 수행하는 방식에서 사업자 자체 평가를 확인하는 방식으로 전환한다. 자체 수행이 어려운 중소 사업자는 KISA 지원을 받는다.
기존 보안인증을 받은 서비스형 소프트웨어(SaaS)를 다른 IaaS 환경에 구축하는 경우 보안인증을 다시 받아야 했지만 앞으로는 변경사항 중심의 인증·평가만을 수행한다. 평가항목의 약 40%가량이 간소화되는 효과가 발생한다.
평가기관 관리감독 체계도 수립했다. 평가인력 자격, 보완조치기간 준수, 수수료 과다 책정 등 평기기관 운영 현황과 규정 준수여부를 항목으로 구성, 서면·현장평가를 실시할 계획이다.
과기정통부는 의견수렴을 거쳐 최종 고시 개정(안)을 수립하고 국무조정실 규제심사, 법제처 심사 등을 거쳐 내년 법률 시행 이후 공포한다는 계획이다.
김정삼 과기정통부 정보보호네트워크정책관은 “클라우드 보안인증 고시 개정은 제도운영 절차에 대한 법적근거를 마련하고 복수 평가기관 지정 등을 통해 사업자 인증 평가상 어려움을 해소하는데 초점을 맞췄다”면서 “의견을 수렴해 안전한 클라우드 이용환경 조성과 산업 활성화를 위한 정책 수립에 적극 반영하겠다”고 밝혔다.
최호기자 snoop@etnews.com