CSAP(Cloud Security Assurance Program) 이란?

한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도
김주혁's avatar
Nov 15, 2024
CSAP(Cloud Security Assurance Program) 이란?
 

1. CSAP 이란?


클라우드 보안 인증제도 CSAP는 Cloud Security Assurance Program의 약자로 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다.
 
인증 유형은 4가지입니다.
  • IaaS : 인증항목 116개
  • SaaS 표준등급 : 79개
  • SaaS 표준등급 : 31개
  • DaaS : 110개
 
유효기간은 5년 입니다.
  • IaaS 및 DaaS : 유효기간 5년
  • SaaS 표준등급 : 유효기간 5년
  • SaaS 간편등급 : 유효기간 3년
 
인증 등급은 상 중 하로 뉩니다.
  • 하등급 : 64개
  • 하등급 SaaS : 30개
  • 중등급 및 상등급 : 추후 안내 예정(기사들을 찾아 봤을 때 아직 제도 정비중인걸로 알고 있습니다.)
 

2. 인증 필요 여부


CSAP은 공공 클라우드 필수 관문, 이라고 흔히들 부릅니다.
 
민간기업이 공공부문에 클라우드 서비스를 제공하기 위해서 필요한 인증으로서, 현재 KISA 공식 홈페이지 기준으로 CSAP 인증을 취득한 회사는 아래와 같습니다.
 
인증 현황
인증번호
회사명
서비스명
인증기간
상태
CSAP-2022-027호
빛가람시스템
디지털 사이니지 통합 관제 플랫폼(SaaS 간편등급)
Nov 30, 2022 ~ Nov 29, 2025
유지
CSAP-2022-026호
에이콘컴퍼니
도매시장 유통정보 시스템(SaaS 간편등급)
Nov 30, 2022 ~ Nov 29, 2025
유지
CSAP-2022-025호
유프리즘
uPrism Meetings(SaaS 간편등급)
Nov 30, 2022 ~ Nov 29, 2025
유지
CSAP-2022-024호
네이버클라우드
NAVER WORKS for 공공용(SaaS 간편등급)
Nov 30, 2022 ~ Nov 29, 2025
유지
CSAP-2022-023호
아이티투게더
스마트 아이립스 (SaaS 간편등급)
Oct 19, 2022 ~ Oct 18, 2025
유지
CSAP-2022-022호
악어디지털
Hyperbridge(AI 기록물 통합관리 시스템) (SaaS 간편등급)
Oct 19, 2022 ~ Oct 18, 2025
유지
CSAP-2022-021호
인포빌
재난현장조치행동매뉴얼시스템(LiveDRMS) (SaaS 간편등급)
Sep 23, 2022 ~ Sep 22, 2025
유지
CSAP-2022-020호
옵스나우
OpsNow-G (SaaS 간편등급)
Sep 23, 2022 ~ Sep 22, 2025
유지
CSAP-2022-019호
이지스
DIGITAL TWIN CLOUD (SaaS 간편등급)
Aug 9, 2022 ~ Aug 8, 2025
유지
CSAP-2022-018호
이즈파크
StrategyGATE(전략성과관리솔루션) (SaaS 표준등급)
Aug 9, 2022 ~ Aug 8, 2027
유지
CSAP-2022-017호
알체라
AIIRPass (SaaS 표준등급)
Jun 30, 2022 ~ Jun 29, 2027
유지
CSAP-2022-016호
맑은소프트
맑은이러닝 (SaaS 간편등급)
Jun 30, 2022 ~ Jun 29, 2025
유지
CSAP-2022-015호
크리니티
크리니티 G-Cloud 보안메일 (SaaS 간편등급)
May 24, 2022 ~ May 23, 2025
유지
CSAP-2022-014호
SQI소프트
건축물에너지소요량 간이평가시스템(ZeBEST) (SaaS 간편등급)
May 24, 2022 ~ May 23, 2023
취소
CSAP-2022-013호
테이텀
테이텀 CSPM (SaaS 표준등급)
May 3, 2022 ~ May 2, 2027
유지
CSAP-2022-012호
위소프트
한비자(Hanbiza) - 인사, 급여, 아웃소싱 (SaaS 표준등급)
May 3, 2022 ~ Aug 31, 2023
취소
CSAP-2022-011호
이노디지털
미세와치(공기질 관리 서비스) (SaaS 간편등급)
May 3, 2022 ~ May 2, 2025
유지
CSAP-2022-010호
온더라이브
온더라이브 클라우드 (SaaS 간편등급)
Apr 7, 2022 ~ Apr 6, 2025
유지
CSAP-2022-009호
스파이스웨어
Spiceware PII ANP (SaaS 표준등급)
Apr 7, 2022 ~ Apr 6, 2027
유지
CSAP-2022-008호
스파이스웨어
Spiceware One (SaaS 표준등급)
Apr 7, 2022 ~ Apr 6, 2027
유지
CSAP-2022-007호
가비아
하이웍스 단독 구축형 웹메일 (SaaS 간편등급)
Apr 7, 2022 ~ Apr 6, 2025
유지
CSAP-2022-006호
한국공교육원
예비군 원격교육 시스템 (SaaS 간편등급)
Mar 18, 2022 ~ Mar 17, 2025
유지
CSAP-2022-005호
한국공교육원
민방위 교육훈련 통합관리 솔루션 (SaaS 간편등급)
Mar 18, 2022 ~ Mar 17, 2025
유지
CSAP-2022-004호
트리니티소프트
CODE-RAY CLOUD (SaaS 표준등급)
Mar 18, 2022 ~ Mar 17, 2027
유지
CSAP-2022-003호
모니터랩
AIONCLOUD Website Protection(SaaS 표준등급)
Mar 4, 2022 ~ Mar 3, 2027
유지
CSAP-2022-002호
와이즈넛
현명한 앤써니(SaaS 간편등급)
Feb 16, 2022 ~ Feb 15, 2025
유지
CSAP-2022-001호
디딤365
SMSNow (SaaS 간편등급)
Jan 13, 2022 ~ Jun 23, 2022
취소
 
인증 현황을 보시면 알겠지만, 대부분이 SaaS 간편등급입니다.
또한, 2022년 12월 기사를 보면 CSAP의 SaaS 인증의 대부분이 간편등급을 타겟으로 잡고 있는 것이 다시 한 번 확인됐습니다.
 
이에 따라, 에딘트에서 Proctormatic 관련 CSAP 인증을 받는다면 CSAP SaaS 간편등급을 목표로 잡는다고 생각하고 인증 필요 여부를 따져보겠습니다.
 
일단 기본적으로 KISA에서는 CSAP 인증을 받은 서비스만을 공공 클라우드 사업에 입찰하도록 하고 있습니다.
 
3가지 항목으로 나뉜 필요여부는 다음과 같습니다.
 
  1. 공공 클라우드 사업인가?
    1. 현실적으로 Proctormatic은 공공 클라우드 사업이라고 보기 어렵습니다. 하지만 대부분 기업들이 인증받은, 클라우드 기반의 SaaS 모델이라고 볼 수 있습니다. 공공 클라우드 사업이라고 보기는 어렵지만, 클라우드 기반의 SaaS 모델로서 인증의 타당성은 유효합니다.
       
      다만, 보안인증 불필요 유형 예시에
      • 단일 기관만을 위해 구축되는 Private Cloud 환경의 IaaS/SaaS/DaaS
      • 단순 설치형 SW 형태의 SaaS 등
      이란 조건이 있고, SaaS 보안인증 대상이 클라우드 서비스 보안인증을 받은 IaaS 서비스 환경에서 구축되어야 하며, 다수의 기관을 대상으로 한 Public한 형태로 소프트웨어를 제공해야 한다는 단서가 존재하기 때문에
       
      클라우드 서비스 보안인증을 받은 IaaS 서비스 환경이란게
       
      CSAP 개편에 따른 글로벌 업계의 공공 클라우드 시장 진입을 반대하는 또 다른 목소리로는 '국내 클라우드 기업의 어려움이 커진다'를 들 수 있다.
      출처 : 이코노믹리뷰(https://www.econovill.com)
       
      2023년 5월에 등록된 위 기사로 미루어 볼 때, 아직은 AWS나 Azure, Gcp같은 글로벌 클라우드 서비스 회사가 아직 CSAP의 서비스 환경에 포함되있지 않고, 개편을 통해 포함될 여지가 존재한다고 생각할 수 있습니다.
       
      만약 제품 인증을 취득하기 위해 작업에 착수 한다고 하여도 AWS가 포함되지 않는다면 클라우드 서비스 환경을 옮겨야 하는 리스크가 생깁니다.
       
      위 기사에서는,
      정부가 올해 초 클라우드 보안인증(CSAP) 등급제 개편을 추진하며,
      국내 기업에만 허용하던 공공 클라우드 시장에 해외 기업 진출할 수 있도록 하면서 해외 클라우드 기업들의 국내 시장 진출 가속에 영향을 끼친 것으로 분석된다.
      라고 나와있지만, 오피셜로 해외 클라우드 사업자가 진출하는 방안은 아직 찾을 수가 없습니다. 결국 추진했지만, 아직입니다.
       
  1. 대중적이며, 권위가 있는 인증인가?
    1. 간단하게 설명드리면, 위에서 설명했던 GS 인증보다는 대중적이지 못하며 그 효력이 아쉽고 밑에서 설명한 ISMS 보다는 권위가 떨어지는 인증입니다.
      GS 인증은 중소기업에게 중소기업청 성능인증시성능검사 면제와 소프트웨어 기술성 평가 면제 및 공공SW사업자 선정 평가시가산점 부여 등 다양한 혜택을 부여 받는 등 제도권 안에서의 큰 혜택을 보장한다면, CSAP 인증은 공공 클라우드 사업에 CSAP 인증을 받도록 할 뿐 중소기업에게 어떤 혜택을 준다거나 하는 제도권 안에서의 혜택이 존재하지 않습니다.
  1. 합리적인 비용으로 자격을 얻을 수 있는가?
    1. 위 기사에서는 CSAP 인증이 최소 6개월이 걸리며, 평가 수수료가 1000 ~ 5000만원 사이라고 합니다.
      Proctormatic 제품 인증 작업을 Pro를 병행하며, 진행하는 것은 어렵다고 판단되며 Pro가 출시된 후 제품 인증을 수행한다고 해도 빨라도 내년 말에나 인증을 취득할 확률이 높습니다.
      일반적으로 컨설팅 업체를 끼고 인증을 진행하기 때문에, 비용 리소스를 충분히 고려하여 판단해야 합니다.
       
결론적으로, 현실적인 CSAP 취득 시기를 고려해 봤을 때 당장에 취득에 대해 착수할지 말지를 논하기 보다는 Pro 출시에 맞춰서 고민해봐야 합니다.
 
Pro 출시 이후, 공공기관 클라우드 기반 SaaS 모델 입찰을 희망한다면 취득에 대해 긍정적 검토를 할 수 있고 그렇지 않다면 취득의 필요성이 크게 보이지 않습니다.
 

3. 신청 절차


 
보안인증 절차는 아래의 이미지를 통해 알 수 있습니다.
notion image
신청절차는 와탭랩스의 SaaS 보안 인증 취득을 토대로 작성했습니다.
 
  • SaaS 간편 등급(총 14일)의 경우 "사전 컨설팅 2일 → 서면/현장 평가(4일)·취약점 점검(4일) (동시 진행) 4일 → 모의 침투 테스트 5일 → 이행 점검 3일" 순서로 진행됩니다.
  • 사전 컨설팅 후 보완 취약점이 발견되면 조치하여 인증을 신청하고 인증 평가 단계에서 나온 취약점을 다시 보완하여 이행 점검을 진행하기 때문에 위에 작성된 일정은 실제로 점검이 진행되는 일정만 포함되어 있어서 실제 인증 완료까지 걸리는 시간은 최소 2달부터 최대 반년 이상의 시간이 걸릴 수 있습니다.
 
1.사전 컨설팅 신청하기
사전 컨설팅 신청은 한국인터넷진흥원 클라우드 보안인증제 자료실에서 사전 컨설팅 신청에 필요한 문서들을 다운로드 받은 후 작성하여 메일로 신청할 수 있습니다.
사전 컨설팅은 인증 총괄 1명, 서면/현장 평가 수행 담당자 1명, 취약점 점검 담당자 1명, 총 3명이 방문한다고 합니다.
2. 본 점검 진행
사전 컨설팅 때 나온 취약점을 보완하고, 난 후 본점검을 신청하면 인증총괄 1명, 서면/현장 평가 1명, 취약점 점검 4명(CCE 2명, CVE 2명), 소스코드 점검 1명 총 7명이 방문하여 4일간 점검이 진행된다고 합니다.
보완조치는 30일 이내에 100%조치가 완료되어야 하며 기간 내에 조치가 어려울 경우에는 보완 조치 연장 공문을 보내어 연장이 최대 3개월 내까지 가능하다고 합니다.
3. 이행점검
이행점검은 본점검에 나온 취약점들의 보완여부를 확인하는 점검으로 이행조치 시 신규로 생성된 자산에 대해서는 점검 대상에 포함되지 않았습니다.
이행 점검에는 인증총괄 1명, 서면/현장평가 1명, 취약점 점검(CCE 2명, CVE 1명), 소스코드 1명 총 6명이 방문하여 3일간 진행 된다고 합니다.
 

 
보안인증 항목은 아래와 같습니다.
 
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
notion image
 
Share article

vlogue