CSP별 중복 인증 부담 가중
공공 진출 중소SW 10% 안돼
최대 수억원에 달하는 클라우드 보안인증(CSAP) 평가 수수료와 클라우드 서비스 제공사(CSP)별 중복 인증 구조가 도마에 올랐다. 공공시장에 서비스형 소프트웨어(SaaS)를 공급하려는 중소 소프트웨어(SW) 기업에 진입장벽으로 작용해 SaaS 확산을 막는다는 지적이 나온다.
10일 SW 업계에 따르면 올해부터 CSAP 평가 수수료가 유료로 전환되면서 공공 시장에 SaaS를 납품하려는 중소 SW 기업 부담이 커지고 있다.
CSAP는 공공 시장에 클라우드 서비스 공급을 위해 한국인터넷진흥원(KISA)으로부터 의무적으로 받아야 하는 보안 인증이다. 최초 평가를 받은 이후 매년 사후평가, 5년 후 갱신평가를 받아야 한다.
KISA가 평가·인증을 담당하던 지난해까지는 무료였지만 올해 민간 기관(한국정보통신진흥협회)에 평가 업무를 이양하면서 유료 체계로 전환됐다.
중소 SW 기업에는 CSAP 인증을 받기 위해 평균적으로 투자하던 컨설팅 비용 5500만원 가량도 큰 부담이었다.
여기에 SaaS 인증 받기 위해 최초 평가 비용 약 2947만원(표준등급 기준), 사후평가 비용 약 2488만원(1회당, 총 4회)을 추가로 부담하게 된 것이다. 유효기간이 5년 끝나면 갱신평가를 받는데 이 때도 최초 평가 비용과 같은 금액을 지불해야 한다.
SaaS 제품 1개의 CSAP 표준등급 인증 시 5년간 필요한 최초 평가·사후 평가 비용은 약 1억2899만원이다. 이는 기본 인증을 위한 비용이다. CSP에 서비스를 올리기 위해선 CSP별로 이에 준하는 비용을 추가로 지불해야 한다.
CSP 6개사에 모두 SaaS 표준인증을 받으려고 할 경우 기본인증 포함 총 7번 인증을 받아야 한다. 컨설팅 비용을 뺀 수수료만 약 9억원이다.
한국인터넷진흥원 관계자는 “CSP마다 클라우드 환경이 달라 보안 요구사항을 적용했는지 확인이 필요하기 때문에 CSP별로 CSAP 인증이 필요하다”며 “평가 과정에서 중복되는 건 일부 생략하며 SaaS 기업에 최초 평가 수수료 10% 할인을 제공한다”고 말했다.
그러나 SaaS 기업 관계자는 “아직 공공에 멀티 CSP를 사용하는 사례가 많지 않지만 점차 증가할 것”이라며 “최근 티맥스가 CSP 사업 계획을 밝힌 것처럼 CSP 사업자는 계속 늘어날 것”이라고 말했다.
이 같은 평가·인증 비용 부담은 공공 분야 Saas 확산을 가로막는 요인으로 꼽힌다. 국내 SaaS 기업은 1100여개가 넘지만 CSAP를 획득해 공공에 진출한 SaaS 제품은 10%도 안된다.
KISA에서 CSAP 인증 받아 공공시장 납품을 위한 디지털서비스 이용지원시스템에 등록된 SaaS 제품은 61개, 판매중지 제품을 빼면 58개다. 중앙부처에 납품할 수 있는 조달청 디지털서비스몰에 등록된 제품은 43개에 불과하다.
과학기술정보통신부가 소기업에 인증 수수료 70%, 중기업에 50%를 지원하고 있지만 SW 기업 우려는 사그라들지 않는다. 해당 수수료 지원 비율은 올해만 적용되며 내년 이후는 추가 논의가 필요하기 때문이다.
과기정통부 관계자는 그는 “올해 유료화 전환 후 수수료 지원을 진행하고 있는데 수요기관이 많아서 올해 할당된 예산이 떨어지면 지원은 멈추게 된다”면서 “내년 수수료 지원은 아직 정부 예산이 결정되지 않아서 할인 규모를 알 수 없으나 내년에도 수수료 지원은 할 것”이리고 말했다.
SW 기업 관계자는 “각 CSP별로 인증을 따로 받지 않게 CSAP 인증을 강화히고 표준화시켜 한번만 받는 식으로 개선해야 한다”며 “그래야 중소 SW기업의 공공 진출이 활발해지며 SaaS 시장도 성장할 것”이라고 강조했다. 그는 평가기관을 늘려 경쟁을 통해 평가 수수료를 낮추는 것도 검토해야 한다고 덧붙였다.
박두호 기자 walnut_park@etnews.com
