클라우드 보안인증(CSAP) 평가 수수료가 중소 SW기업에 부담으로 작용하고 있다. 특히 서비스형 소프트웨어(SaaS)를 제공하는 중소 SW기업이 부담을 토로하고 있다.
CSAP는 클라우드 서비스의 정보보호 기준 준수 여부를 인증기관이 평가·인증하는 제도다. 정부 혹은 공공기관에 클라우드 서비스를 제공하려면 필수로 받아야 하는 인증이다. 클라우드서비스 이용자의 보안 우려를 해소하고, 클라우드서비스 경쟁력을 확보하기 위한 취지다.
하지만, 중소SW 기업은 CSAP 획득을 위해 상당한 준비기간과 막대한 비용을 투입해야 한다. CSAP 인증 컨설팅 비용이 약 5500만원 수준이다. CSAP는 최초 평가 이후 매년 1번씩 총 4번의 사후평가를 받아야 한다. SaaS표준평가 기준으로 최초(갱신) 평가 비용은 2947만원, 사후평가 1회당 2488만원이다. 4년간 인증비용으로만 1억 2899만원이 소요된다. 사정이 이렇다보니 국내 SaaS 기업은 1100여개가 넘지만 CSAP를 획득해 공공에 진출한 SaaS 제품은 10%도 안된다.
중소SW기업은 CSAP 항목에 불필요하거나 중복된 항목을 제거하면 그나마 인증 비용을 줄일 수 있을 것이라는 대안을 제시하고 있다. 사후평가 과정 간소화 또는 평가 횟수를 줄이자는 의견도 적지 않다.
CSAP 제도 자체는 필수불가결하다. 하지만, 과도한 비용으로 CSAP 시도가 줄면 본래 취지가 희석될 수 밖에 없다.
공공부문에 이용 가능한 SaaS 저변 확대는 물론이고 SaaS 경쟁력을 훼손하는 장애물이 될 가능성도 배제할 수 없다. 비용 때문에 중소SW 기업이 CSAP 획득을 주저하는 현실은 바뀌어야 한다.