클라우드 보안인증(CASP) 취소가 잇따르고 있다. 올해에만 CSAP 인증 취소가 11건이다. 지난 달에만 5건이 취소됐다. 중소 SW 기업 뿐만 아니라 대기업·중견기업까지 취소하고 있다.
CSAP는 클라우드 기업이 제공하는 서비스의 정보보호 기준 준수 여부를 인증기관이 평가·인증하는 제도다. 정부나 공공기관에 서비스형소프트웨어(SaaS) 등 클라우드 서비스를 공급하려면 필수로 받아야 하는 인증이다. 클라우드 서비스 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력을 확보하기 위한 취지다.
그럼에도 연이은 취소 사례는 당장 투입 대비 효과가 없기 때문이다. 적지 않은 비용을 투입해 CSAP 인증을 받아도 얻을 게 없다는 것이다.
기업은 CSAP 인증 비용이 부담되더라도 공공 사업 가능성을 보고 인증을 획득했다. 하지만, 공공 SaaS 시장이 당초 기대만큼 성숙되지 않고, 유지 비용까지 감수해야 하는 등 이중고 상황을 지속할 필요가 없다는 판단이다.
기업이 CSAP 인증을 취소한다는 것은 공공시장에서 SaaS 공급을 포기한다는 의미다. 행정망 사태 등으로 공공 클라우드 서비스 확산 필요성이 커지는 상황에서 CSAP 취소는 SaaS 등 공공 클라우드 서비스 확대에 장애물이 될 가능성도 배제할 수 없다. SaaS 등 클라우드는 공공 인프라 개혁 뿐만 아니라 디지털 혁신의 근간이다. CSAP 취소가 지속되면 우리나라 클라우드 서비스 저변이 축소될 수 있다.
무엇보다 CSAP 취소를 심각하게 인식해야 한다. 이를 줄이려면 공공 시장 파이부터 늘려야 한다. 정부 및 공공기관 등 공적 영역의 역할이 어느 때보다 절실하다.