민간 기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증이다. '클라우드 컴퓨팅 발전·이용자 보호에 관한 법률' 제23조 2항에 따라 정보보호 기준 준수 여부를 인증기관이 평가·인증한다. 인증기관은 한국인터넷진흥원(KISA)이다. 공공기관에 안전성과 신뢰성이 검증된 민간 클라우드 서비스를 공급, 이용자의 보안 우려를 해소하고 클라우드 경쟁력을 확보한다는 취지로 2016년에 도입됐다.
CSAP는 클라우드데이터의 물리적 위치를 국내로 한정한다. 공공기관용 서버와 네트워크, 보안장비 등은 일반용 클라우드 서비스 영역과 분리해서 운영해야 한다. 공공기관에 클라우드를 제공하려면 국가정보원의 보안공통평가기준(CC)인증도 함께 받도록 했다.
과학기술정보통신부는 2023년 1월 31일 클라우드 시스템의 중요도 기준을 3등급으로 구분하고 등급별로 차등화한 보안인증 기준을 적용하는 내용을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 공포했다. 데이터 민감도에 따라 상·중·하로 구분하고, '하' 등급에 대해서는 물리적 망분리 이외에 논리적 망분리까지 허용했다.
정부에서는 진입장벽이 완화된 CSAP 하 등급 시행으로 공공 영역에서 민간 클라우드 시장이 형성, 전반적인 수요가 확대될 것으로 보고 있다. 국내 중소·중견 소프트웨어(SW) 기업 역시 수혜를 기대하고 있다. 다만 아마존웹서비스(AWS), 마이크로소프트(MS) 등 글로벌 빅테크 기업의 공공 영역 진출이 쉬워지면서 국내 사업자의 경쟁력이 위축될 것이라는 우려도 제기된다.
박정은기자 jepark@etnews.com