[공공SW 산업혁신]③ IaaS별 CSAP 중복인증 개선...비용·시간 부담↓

한국 공공 소프트웨어(SW) 산업이 위기다. 정부는 예산을 줄이고 기업은 적자 신세다. 그 사이 공공 시스템은 부실해지고 피해를 입는 건 국민이다. 지난해 11월 터진 국가 행정전산망 장애와 공공서비스 먹통 사태가 단적인 예다. 정부는 뒤늦게 대책을 마련했지만 풀어야 할 숙제가 많다. 공공 사업 단가 후려치기, 과도한 과업 변경과 발주기관 갑질, 규제를 둘러싼 어긋난 이해관계 등 공공 SW 시장의 문제는 십 수년째 계속되는 해묵은 병폐들이다. 이에 디지털데일리는 공공 SW 생태계를 둘러싼 정책과 제도들을 살펴보고, SW 산업 진흥을 위한 바람직한 길을 모색해 본다. <편집자 주>

[디지털데일리 이안나기자] 정부가 서비스형소프트웨어(SaaS) 산업 활성화에 나서면서 그간 산업계가 고충을 토로하던 클라우드 보안인증(CSAP) 제도를 대폭 개선했다. 인증·평가기관 인력을 확충하고 수수료 지원 비율을 높이기로 한 데 이어, 서비스형인프라(IaaS)별로 받아야 했던 중복인증 과정도 개선·간소화했다.

17일 정부 및 관련 업계에 따르면 전날 한국인터넷진흥원(KISA)는 IaaS·SaaS 업계 관련자 등 참가 신청자 대상으로 CSAP 인증제도 개선과 관련한 내용을 공유했다. 이날 설명회에선 멀티클라우드 인증 절차 간소화 방안이 제시됐다.

소프트웨어(SW) 기업들은 공공 부문에 SaaS 서비스를 제공하기 위해선 반드시 CSAP 인증을 먼저 받아야 한다. 제품 보안성 확보를 위해 필요한 절차이지만 그간 업계는 CSAP 인증 제도 개선을 지속 요구해 왔다.

공공기관 정보자원 클라우드 전환에 따라 CSAP 인증 수요가 급증하면서 인증서 발급까지 6~7개월이 소요되는 사례가 빈번해졌고, 공공 SaaS 공급도 더뎌졌다. 지난해부턴 인증 평가에 수수료를 부과하면서 기업들은 컨설팅 비용까지 포함, 수천만원 비용을 들이며 CSAP 인증을 받아야 했다.

이에 정부는 지난달 25일 SW 인증제도 개선안을 발표했다. 인증·평가기관 인력을 늘려 평균 5개월 내외 걸리던 인증 기간을 2개월 이내로 줄이고 현재 진행하던 수수료 지원 비중을 확대하기로 했다. 중견‧중소기업 수수료 지원 비율은 기존 30%~70%에서 50%~80%로 늘렸다.

물론 업계는 인증 기간과 비용, 프로세스를 단축했다는 사실을 고무적이라고 평가했다. 다만 여전히 부담이 되는 요소가 존재했다. SaaS 기업들은 CSAP 인증을 IaaS별로 각각 받아야 한다는 점이었다. 업계에 따르면 국내 클라우드서비스제공업체(CSP)는 네이버·KT·NHN·카카오·삼성SDS 등 9곳 정도가 꼽힌다.

가령 A 업체가 SaaS 서비스인 B 제품을 네이버클라우드 환경에서 구축할 수 있는 CSAP 인증을 받았더라도, KT클라우드, NHN클라우드 환경에서 구축 가능하도록 하려면 CSAP 인증을 처음부터 다시 진행해야 했다. 같은 제품을 두고 CSAP 중복인증이 수 차례 이뤄지면서 여전히 비용 부담을 토로하는 목소리가 많았다.

SW 업계 관계자는 “9개 전부가 아닌 점유율이 높은 네이버·KT·NHN클라우드에 더해 국가정보자원관리원(국자원) 대구센터에 참여하는 삼성SDS 환경 인증만 받는다고 쳐도 인증 4개를 받아야 한다”며 “공공 SaaS 수요가 많지 않은 상황에서 여러 인증을 받아야 한다는 건 비용 면에서 여전히 부담스럽고 현실적으로 어렵다”고 말했다.

이에 업계에선 SaaS 생태계 활성화를 위해선 IaaS 구분 없이 CSAP SaaS 인증이 이뤄져야 한다는 점을 주장해 왔다. SaaS 서비스가 여러 CSP별 IaaS에 적용되는 만큼 국내 CSP 성장도 기대할 수 있기 때문이다.

KISA 측은 “CSAP는 클라우드서비스 보안수준을 평가해 인증을 부여하는 제도로, IaaS마다 제공하는 기능 및 환경에 차이가 존재하기 때문에, IaaS만 다른 동일한 SaaS 경우에도 인증평가가 필요하다”고 설명했다.

다만 정부는 SW인증제도 개선 발표 후 후속으로 기업부담 완화를 위한 제도 개선을 구체화하고 있다. KISA는 전날인 16일 멀티클라우드 중복인증에 대한 개선책을 발표했다. 앞으로 SaaS 기업들은 최초 IaaS 한 곳에서 CSAP 인증을 받은 후, 다른 CSP 환경에서 추가 인증을 부담 없이 받을 수 있게 된다.

과학기술정보통신부 관계자는 “기존엔 특정 환경에서 CSAP 인증을 받고 다른 환경에서도 구축할 경우 다시 처음부터 평가를 받아야 했다”며 “이젠 주요 변경되는 사항에 대해 업체가 서면으로 제출하면 검토해서 인정해 주는 방식으로 바뀌었다”고 말했다. 서면으로 자료를 제출할 때 수수료는 무료다.

정부는 다른 IaaS에 동일한 환경으로 구축·운영되는 SaaS의 경우 서면점검(무료)로 기존 인증에 추가 가능하게 하는 제도를 6월 중 시행한다. 즉 SaaS 기업들은 최초 CSAP 인증을 위해 준비한 이후엔 비용 부담 없이 대폭 간소화된 과정으로 여러 IaaS 환경에 맞는 인증을 추가할 수 있게 된 셈이다.

이 관계자는 “인증 획득 후 매년 실시했던 사후평가도 사업자 비용 및 행정 부담 완화를 위해 현장 대신 서면 평가로 대체한다”며 ”이때 2개 이상 인증을 받은 사업자들은 인증 시점이 달라 각각 사후평가를 진행해야 했으나 이제 한 번에 평가하는 방안으로 개선했다“고 덧붙였다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -