CSAP(Cloud Security Assurance Program) 이란?

1. CSAP 이란?

• IaaS : 인증항목 116개

• SaaS 표준등급 : 79개

• SaaS 표준등급 : 31개

• DaaS : 110개

• IaaS 및 DaaS : 유효기간 5년

• SaaS 표준등급 : 유효기간 5년

• SaaS 간편등급 : 유효기간 3년

• 하등급 : 64개

• 하등급 SaaS : 30개

• 중등급 및 상등급 : 추후 안내 예정(기사들을 찾아 봤을 때 아직 제도 정비중인걸로 알고 있습니다.)

2. 인증 필요 여부

CSAP SaaS 인증, '간편' 등급 대세 자리매김

서비스형 소프트웨어(SaaS) 클라우드 보안인증제도(CSAP)에 간편 등급을 도입한 지 3년 만에 간편 등급이 대세로 자리매김했다. 현재 발급된 SaaS 인증서 3분의 2가 간편 등급인 것으로 나타났다. 전체 66건 중 간...

https://www.etnews.com/20221216000195

1. 공공 클라우드 사업인가?
현실적으로 Proctormatic은 공공 클라우드 사업이라고 보기 어렵습니다. 하지만 대부분 기업들이 인증받은, 클라우드 기반의 SaaS 모델이라고 볼 수 있습니다. 공공 클라우드 사업이라고 보기는 어렵지만, 클라우드 기반의 SaaS 모델로서 인증의 타당성은 유효합니다.
 
다만, 보안인증 불필요 유형 예시에
• 단일 기관만을 위해 구축되는 Private Cloud 환경의 IaaS/SaaS/DaaS
• 단순 설치형 SW 형태의 SaaS 등
이란 조건이 있고, SaaS 보안인증 대상이 클라우드 서비스 보안인증을 받은 IaaS 서비스 환경에서 구축되어야 하며, 다수의 기관을 대상으로 한 Public한 형태로 소프트웨어를 제공해야 한다는 단서가 존재하기 때문에
 
클라우드 서비스 보안인증을 받은 IaaS 서비스 환경이란게
"CSAP 논란, 공포 마케팅 그만해야" [AWS 서밋 서울]
공공 클라우드 업계서 클라우드 보안인증(CSAP) 등급제를 두고 여전히 논란이 벌어지고 있다. 정부가 CSAP을 상중하 3단계로 나누고 하 등급에는 물리적 망 분리가 아닌 논리적 망 분리도 허용하는 등 규제 수위를 크게 낮추자 국내 클라우드 업계가 불편한 심기를 감추지 않고있기 때문이다.AWS 및 마이크로소프트 애저, 구글 클라우드 등 글로벌 사업자 입장에서는 CSAP 개편이 고무적이다. 다만 국내 클라우드 업체 입장에서는 민간 클라우드 시장을 장악한 글로벌 기업들이 공공 클라우드 시장까지 잠식, 궁극적으로는 전체 클라우드 시장이

https://www.econovill.com/news/articleView.html?idxno=610688

 

CSAP 개편에 따른 글로벌 업계의 공공 클라우드 시장 진입을 반대하는 또 다른 목소리로는 '국내 클라우드 기업의 어려움이 커진다'를 들 수 있다.

출처 : 이코노믹리뷰(https://www.econovill.com)

 
2023년 5월에 등록된 위 기사로 미루어 볼 때, 아직은 AWS나 Azure, Gcp같은 글로벌 클라우드 서비스 회사가 아직 CSAP의 서비스 환경에 포함되있지 않고, 개편을 통해 포함될 여지가 존재한다고 생각할 수 있습니다.
 
만약 제품 인증을 취득하기 위해 작업에 착수 한다고 하여도 AWS가 포함되지 않는다면 클라우드 서비스 환경을 옮겨야 하는 리스크가 생깁니다.
 
글로벌 클라우드 기업, 韓시장 공략 가속···"높은 성장률 매력적"
[서울파이낸스 이도경 기자] 최근 공공 부문에 대한 민간 클라우드 서비스 개방 등 국내 클라우드 시장의 가파른 성장세에 글로벌 기업들의 국내 시장 공세가 거세지고 있다.13일 업계에 따르면 AWS(아마존 웹서비스)는 지난 11일 서울 삼성동 코엑스에서 열린 'AWS 인더스트리 위크' 행사를 열고 오는 2027년까지 한국에 약 7조8500억원을 투자할 계획이라고 밝혔다. 이는 지난 2018년부터 지난해까지 5년간 투자한 금액(2조7300억원)의 약 3배 수준이다.AWS는 최근 생성형 인공지능(AI)를 중심으로 증가 중인 한국의 클라우

https://www.seoulfn.com/news/articleView.html?idxno=497935

위 기사에서는,

정부가 올해 초 클라우드 보안인증(CSAP) 등급제 개편을 추진하며,

국내 기업에만 허용하던 공공 클라우드 시장에 해외 기업 진출할 수 있도록 하면서 해외 클라우드 기업들의 국내 시장 진출 가속에 영향을 끼친 것으로 분석된다.

서울파이낸스(http://www.seoulfn.com)

라고 나와있지만, 오피셜로 해외 클라우드 사업자가 진출하는 방안은 아직 찾을 수가 없습니다. 결국 추진했지만, 아직입니다.
 

2. 대중적이며, 권위가 있는 인증인가?
간단하게 설명드리면, 위에서 설명했던 GS 인증보다는 대중적이지 못하며 그 효력이 아쉽고 밑에서 설명한 ISMS 보다는 권위가 떨어지는 인증입니다.
GS 인증은 중소기업에게 중소기업청 성능인증시성능검사 면제와 소프트웨어 기술성 평가 면제 및 공공SW사업자 선정 평가시가산점 부여 등 다양한 혜택을 부여 받는 등 제도권 안에서의 큰 혜택을 보장한다면, CSAP 인증은 공공 클라우드 사업에 CSAP 인증을 받도록 할 뿐 중소기업에게 어떤 혜택을 준다거나 하는 제도권 안에서의 혜택이 존재하지 않습니다.

3. 합리적인 비용으로 자격을 얻을 수 있는가?
CSAP 평가 '유료' 전환에… 업계서 "정부 지원" 목소리
[한국클라우드신문=유인영 기자] 클라우드 기업들이 올해 클라우드서비스 보안인증제도(CSAP) 평가 수수료 유료 전환과 함께 수천만원의 추가 비용을 떠안아야 할 것으로 보인다. 특히 최근 공공 부문의 클라우드 도입 움직임이 본격화한 상황에서 귀추가 주목된다. 기업이 막대한 비용을 들여 CSAP를 획득해도 공공 수요가 충분치 않으면 손해가 발생할 수밖에 없다. 이에 업계에서는 중소기업 지원 외에 더 '세밀한' 지원을 요구하는 목소리가 나온다. ◇평가기관 '복수' 변경에 수수료 '유료' 전환18일 관련 업계에 따르면 '클라우드컴퓨팅서비스

https://www.kcloudnews.co.kr/news/articleView.html?idxno=12536

위 기사에서는 CSAP 인증이 최소 6개월이 걸리며, 평가 수수료가 1000 ~ 5000만원 사이라고 합니다.
Proctormatic 제품 인증 작업을 Pro를 병행하며, 진행하는 것은 어렵다고 판단되며 Pro가 출시된 후 제품 인증을 수행한다고 해도 빨라도 내년 말에나 인증을 취득할 확률이 높습니다.
일반적으로 컨설팅 업체를 끼고 인증을 진행하기 때문에, 비용 리소스를 충분히 고려하여 판단해야 합니다.
 

3. 신청 절차

• SaaS 간편 등급(총 14일)의 경우 "사전 컨설팅 2일 → 서면/현장 평가(4일)·취약점 점검(4일) (동시 진행) 4일 → 모의 침투 테스트 5일 → 이행 점검 3일" 순서로 진행됩니다.

• 사전 컨설팅 후 보완 취약점이 발견되면 조치하여 인증을 신청하고 인증 평가 단계에서 나온 취약점을 다시 보완하여 이행 점검을 진행하기 때문에 위에 작성된 일정은 실제로 점검이 진행되는 일정만 포함되어 있어서 실제 인증 완료까지 걸리는 시간은 최소 2달부터 최대 반년 이상의 시간이 걸릴 수 있습니다.