[KISA] 클라우드서비스 보안인증(CSAP) – SaaS(Software as a Service) 부문!!

 

 

 

 

1. CSAP란 무엇인가

• CSAP은 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제 23조-2(클라우드컴퓨팅서비스의 보안인증) 등을 근거로, 클라우드서비스 제공 사업자가 정보보호 수준을 일정 기준 이상 충족하였는지를 평가·인증해주는 제도입니다. KISA+2isms.kisa.or.kr+2
• 인증 대상은 IaaS(인프라형 서비스), SaaS(응용SW형 서비스), DaaS(데스크탑형 서비스) 등이 있습니다. isms.kisa.or.kr+1
• 인증을 받은 서비스는 공공기관 및 정부부문에서 안심하고 이용할 수 있는 클라우드 서비스임을 인증하는 역할을 합니다. Microsoft Learn+1
• 인증의 유효기간은 5년이며, 인증 취득 이후에는 매년 사후평가(감사)가 요구됩니다. isms.kisa.or.kr+1

---

2. “SaaS” 부문 인증이란

• 기존에는 CSAP가 주로 IaaS 부문 중심이었는데, 이후 SaaS 부문으로 인증 범위가 확대되었습니다. 김창+1
• SaaS 부문 인증은, 응용 소프트웨어를 서비스 형태로 제공하는 클라우드 사업자가 관리적·기술적·물리적 보호조치 등을 통해 인증 기준을 충족해야 합니다. isms.kisa.or.kr+1
• 인증 등급(하, 중, 상)이 존재하며, SaaS의 경우 인증 기준 항목 수 등이 등급별로 다릅니다. 예컨대 ‘하(低)등급’ SaaS 인증은 11개 분야·30개 통제항목 등이 기준으로 제시되어 있습니다. isms.kisa.or.kr+1

---

3. 인증 대상 및 주요 활용처

• 인증대상: 클라우드 서비스 제공사업자(CSP)가 제공하는 서비스로서 SaaS 형태 서비스. 즉, 응용 소프트웨어를 서비스 형태로 제공하면서 공공기관 또는 기업이 이용할 수 있는 형태. NCloud Docs+1
• 활용처: 특히 공공기관에서 클라우드 서비스를 이용할 때, CSAP 인증을 받은 서비스가 우선적으로 고려됩니다. 즉, 인증을 확보해 둔 SaaS는 공공시장 진출 시 큰 메리트가 있습니다. AhnLab CloudMate+1

---

4. 인증 기준과 평가 항목

• 인증 기준은 “클라우드서비스 보안인증에 관한 고시(제15조 등)”에 따라 설정되어 있으며 관리적, 기술적, 물리적 보호조치가 모두 고려됩니다. KISA+1
• 예를 들어 SaaS 표준등급 인증 기준으로는 다음과 같은 분야들이 포함됩니다. isms.kisa.or.kr
  • 정보보호 정책 및 조직
  • 인적보안 (직원 교육, 내부 인력 보안 등)
  • 자산관리
  • 서비스 공급망 관리
  • 침해사고관리
  • 서비스 연속성 관리 (가용성, 장애대응)
  • 준거성(법령·정책 준수)
  • 물리적 보안
  • 접근통제
  • 네트워크 보안
  • 데이터보호 및 암호화
  • 시스템 개발 및 도입 보안
  • 국가기관 등의 보안요구사항 등
• SaaS 인증 등급별로 통제항목 수가 다릅니다. 예컨대 “하등급 SaaS 인증”은 관리적·기술적·공공기관용 추가 보호조치로 11개 분야·30개 통제항목으로 되어 있습니다. isms.kisa.or.kr

---

5. 인증 절차

대략적인 인증 절차는 다음과 같습니다:

1. 신청 (클라우드서비스 제공사업자가 인증기관에 신청) KISA+1
2. 예비점검 (현황 진단, 사전준비) KISA
3. 본점검 (서면평가, 현장실사, 취약점 점검 등) KISA+1
4. 보완조치 (점검 결과 미비사항 보완) KISA
5. 이행점검 → 인증위원회 검토 → 인증서 발급 isms.kisa.or.kr
6. 이후 매년 사후평가를 수행하며, 5년 유효기간 만료 전에 갱신평가가 필요합니다. isms.kisa.or.kr

---

6. SaaS 인증이 갖는 의미 및 장점

• 공공시장 진출 확대: 공공기관이 인증 받은 클라우드 서비스를 이용하도록 권장되기 때문에, SaaS 사업자 입장에서 인증은 중요한 경쟁요소입니다. 예컨대 한 기업이 자사 SaaS 서비스가 CSAP 인증을 획득했다는 보도가 있었습니다. 뉴스is
• 보안 신뢰도 향상: 인증을 통해 서비스의 보안·운영체계가 객관적인 평가를 받은 것으로 외부에 알릴 수 있어, 마케팅·신뢰 측면에서 유리합니다.
• 리스크 관리: 인증 준비과정에서 서비스 제공자가 보안·운영체계의 갭을 진단하고 보완하게 되므로, 장기적으로 안정적인 서비스 운영체계 구축에 도움이 됩니다.
• 이용자 입장에서의 장점: 이용 기업(특히 공공기관)은 인증 받은 SaaS를 선택함으로써 보안 리스크를 낮추고, 정책적 요구사항을 충족할 수 있습니다.

---

7. 준비 시 유의사항 및 체크포인트

• 인증 범위(scope)를 명확히 해야 합니다. SaaS 서비스 중 어느 기능, 어느 고객군, 어떤 인프라 위에 제공되는지 등이 범위에 포함되어야 합니다. AhnLab CloudMate+1
• 인프라(IaaS 등) 위에 SaaS가 운영되는 경우, 해당 기반 인프라도 인증 요건에 포함될 수 있으므로 확인이 필요합니다. 김창
• 문서화가 매우 중요합니다. 정보보호 정책·운영 지침·절차서 등이 준비되어야 하며, 실제 운영이 문서화된 기준대로 실행되어야 합니다.
• 기술적 통제뿐 아니라 관리적·물리적 통제도 평가 대상입니다 — 예컨대 접근통제, 암호화, 장애대응, 보안인식 교육 등이 포함됩니다.
• 갱신 및 사후관리도 고려해야 합니다. 인증 획득이 끝이 아니라, 이후 연간 점검, 5년 내 갱신 등이 요구됩니다.
• 등급별로 요구사항 난이도가 다르므로, 사업자 입장에서 목표 등급을 선정하고 그에 맞춰 준비해야 합니다.