[NSIS 2024] SK쉴더스가 제안하는 CSAP 전략…“기획단계부터 준비해야”

[디지털데일리 권하영기자] 최근 공공부문에서 클라우드 인프라 수요가 증가하면서 보안 우려 역시 커지고 있다. 이에 정부는 필수 보안 관문으로서 클라우드보안인증(CSAP) 제도를 두고 있는데, 사업자 입장에선 CSAP 획득을 위해 적지 않은 시간과 비용을 투입해야 하는 부담이 있는 것도 사실이다.

이에 국내 1위 정보보안 기업 SK쉴더스는 28일 서울 중구 롯데호텔에서 <디지털데일리>가 개최한 제1회 ‘차세대 보안혁신 서밋(NSIS·Next Security Innovation Summit) 2024’에서 ‘CSAP 획득을 위한 준비 전략’을 제안했다.

CSAP 발급 기업의 상당수는 중소 규모의 서비스형소프트웨어(SaaS) 기업들이지만, 그간 CSAP는 소요 기간 장기화, 취약점 점검 및 매년 사후 점검에 따른 비용 부담 가중, 유지관리 업무 부담 등으로 사업자 입장에서 만만치 않은 부담이 되고 있었다.

다행인 점은 정부가 지난달 소프트웨어(SW) 인증제도 개선안을 발표하면서 제도 개선을 추진하고 있다는 점이다. 민간 평가기관을 늘려 소요 기간을 줄이도록 하는 개선책은 이달부터 시행하기 시작했고, 오는 6월부터는 취약점 진단 자체수행을 확대 허용해 인증 비용 부담을 완화하기로 했다. 또한 SaaS 기업의 멀티 클라우드 중복 인증 절차를 줄이는 한편 사후평가 제도도 완화하기로 했다.

현재 CSAP 인증 절차는 ▲시스템 및 서비스 구축 ▲보안인증 신청 및 접수 ▲신청서류 검토 ▲예비점검 수행 ▲보안인증 계약체결 등 ‘인증 준비’ 절차와 ▲평가 및 테스트 ▲보안조치 요청 ▲보완조치 제출 및 확인 ▲인증위원회 개최 및 인증서 발급 등 ‘인증심사’ 절차로 구분된다. SK쉴더스는 이 중 인증 준비 절차에 있어 기획-설계-구축-테스트-운영 단계에 이르기까지 충분한 지원을 해줄 수 있다고 강조했다.

이날 발표자로 나선 백성광 SK쉴더스 클라우드컨설팅사업팀장은 “보통 어떤 부분부터 컨설팅을 받아야 할지 고민이 많은데, 사실 준비 절차에서는 시스템 기획 및 구축 단계부터 전문기관의 도움을 받는 게 좋고, 평가 절차에서도 심사를 마치고 보완조치가 있을 때 우리가 가이드해드리고 결과물 작성도 지원할 수 있다”고 설명했다.

이어 백 팀장은 CSAP 획득을 위한 준비 전략으로 세 가지를 제시했다. 첫 번째 전략은 국가 인증지원제도를 활용하는 것이다. 정부는 CSAP 평가 수수료의 50%(중기업) 또는 70%(소기업)를 지원해주고 있는 데다, CSAP 신청 절차와 인증 기준 등을 소개하는 교육을 온라인으로 시행하고 있다.

또한 백 팀장은 CSP나 클라우드 관리서비스제공사(MSP)가 제공하는 CSAP 관련 할인 또는 크레딧 지원 제도도 잘 활용해볼 필요가 있다고 제언했다.

무엇보다 백 팀장은 전문 서비스를 최대한 활용할 것을 추천했다. 그는 “기획 단계부터 관련 전문 업체들과 협업을 하는 게 좋다”며 “다만 전문 업체가 아닌 일부 중소 보안 업체에서는 컨설팅을 제공할 때 사후 결함 조치에 대해서는 지원을 안해준다고 하는 곳들도 있는데 그런 곳들은 제외하는 것이 낫다”고 조언했다.

백 팀장은 “보안 기능은 네이티브 서비스 또는 전문 솔루션을 활용할 필요가 있다”며 “비용 절감을 위해 CSAP에 필요한 보안 기능을 자체 개발하는 경우에는 CSAP뿐만 아니라 클라우드 서비스 출시가 지연 될 수 있고, 인증 심사 후 결함이 발생해도 조치가 불가하거나 어려울 수 있다”고 지적했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -