inblog logo
|
vlogue
    SecuritySystem/NetworkEtc.

    CSAP(Cloud Security Assurance Program) 이란?

    한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도
    김주혁's avatar
    김주혁
    Nov 15, 2024
    CSAP(Cloud Security Assurance Program) 이란?
     

    1. CSAP 이란?


    클라우드 보안 인증제도 CSAP는 Cloud Security Assurance Program의 약자로 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다.
     
    인증 유형은 4가지입니다.
    • IaaS : 인증항목 116개
    • SaaS 표준등급 : 79개
    • SaaS 표준등급 : 31개
    • DaaS : 110개
     
    유효기간은 5년 입니다.
    • IaaS 및 DaaS : 유효기간 5년
    • SaaS 표준등급 : 유효기간 5년
    • SaaS 간편등급 : 유효기간 3년
     
    인증 등급은 상 중 하로 뉩니다.
    • 하등급 : 64개
    • 하등급 SaaS : 30개
    • 중등급 및 상등급 : 추후 안내 예정(기사들을 찾아 봤을 때 아직 제도 정비중인걸로 알고 있습니다.)
     

    2. 인증 필요 여부


    CSAP은 공공 클라우드 필수 관문, 이라고 흔히들 부릅니다.
     
    민간기업이 공공부문에 클라우드 서비스를 제공하기 위해서 필요한 인증으로서, 현재 KISA 공식 홈페이지 기준으로 CSAP 인증을 취득한 회사는 아래와 같습니다.
     
    인증 현황
    인증번호
    회사명
    서비스명
    인증기간
    상태
    CSAP-2022-027호
    빛가람시스템
    디지털 사이니지 통합 관제 플랫폼(SaaS 간편등급)
    Nov 30, 2022 ~ Nov 29, 2025
    유지
    CSAP-2022-026호
    에이콘컴퍼니
    도매시장 유통정보 시스템(SaaS 간편등급)
    Nov 30, 2022 ~ Nov 29, 2025
    유지
    CSAP-2022-025호
    유프리즘
    uPrism Meetings(SaaS 간편등급)
    Nov 30, 2022 ~ Nov 29, 2025
    유지
    CSAP-2022-024호
    네이버클라우드
    NAVER WORKS for 공공용(SaaS 간편등급)
    Nov 30, 2022 ~ Nov 29, 2025
    유지
    CSAP-2022-023호
    아이티투게더
    스마트 아이립스 (SaaS 간편등급)
    Oct 19, 2022 ~ Oct 18, 2025
    유지
    CSAP-2022-022호
    악어디지털
    Hyperbridge(AI 기록물 통합관리 시스템) (SaaS 간편등급)
    Oct 19, 2022 ~ Oct 18, 2025
    유지
    CSAP-2022-021호
    인포빌
    재난현장조치행동매뉴얼시스템(LiveDRMS) (SaaS 간편등급)
    Sep 23, 2022 ~ Sep 22, 2025
    유지
    CSAP-2022-020호
    옵스나우
    OpsNow-G (SaaS 간편등급)
    Sep 23, 2022 ~ Sep 22, 2025
    유지
    CSAP-2022-019호
    이지스
    DIGITAL TWIN CLOUD (SaaS 간편등급)
    Aug 9, 2022 ~ Aug 8, 2025
    유지
    CSAP-2022-018호
    이즈파크
    StrategyGATE(전략성과관리솔루션) (SaaS 표준등급)
    Aug 9, 2022 ~ Aug 8, 2027
    유지
    CSAP-2022-017호
    알체라
    AIIRPass (SaaS 표준등급)
    Jun 30, 2022 ~ Jun 29, 2027
    유지
    CSAP-2022-016호
    맑은소프트
    맑은이러닝 (SaaS 간편등급)
    Jun 30, 2022 ~ Jun 29, 2025
    유지
    CSAP-2022-015호
    크리니티
    크리니티 G-Cloud 보안메일 (SaaS 간편등급)
    May 24, 2022 ~ May 23, 2025
    유지
    CSAP-2022-014호
    SQI소프트
    건축물에너지소요량 간이평가시스템(ZeBEST) (SaaS 간편등급)
    May 24, 2022 ~ May 23, 2023
    취소
    CSAP-2022-013호
    테이텀
    테이텀 CSPM (SaaS 표준등급)
    May 3, 2022 ~ May 2, 2027
    유지
    CSAP-2022-012호
    위소프트
    한비자(Hanbiza) - 인사, 급여, 아웃소싱 (SaaS 표준등급)
    May 3, 2022 ~ Aug 31, 2023
    취소
    CSAP-2022-011호
    이노디지털
    미세와치(공기질 관리 서비스) (SaaS 간편등급)
    May 3, 2022 ~ May 2, 2025
    유지
    CSAP-2022-010호
    온더라이브
    온더라이브 클라우드 (SaaS 간편등급)
    Apr 7, 2022 ~ Apr 6, 2025
    유지
    CSAP-2022-009호
    스파이스웨어
    Spiceware PII ANP (SaaS 표준등급)
    Apr 7, 2022 ~ Apr 6, 2027
    유지
    CSAP-2022-008호
    스파이스웨어
    Spiceware One (SaaS 표준등급)
    Apr 7, 2022 ~ Apr 6, 2027
    유지
    CSAP-2022-007호
    가비아
    하이웍스 단독 구축형 웹메일 (SaaS 간편등급)
    Apr 7, 2022 ~ Apr 6, 2025
    유지
    CSAP-2022-006호
    한국공교육원
    예비군 원격교육 시스템 (SaaS 간편등급)
    Mar 18, 2022 ~ Mar 17, 2025
    유지
    CSAP-2022-005호
    한국공교육원
    민방위 교육훈련 통합관리 솔루션 (SaaS 간편등급)
    Mar 18, 2022 ~ Mar 17, 2025
    유지
    CSAP-2022-004호
    트리니티소프트
    CODE-RAY CLOUD (SaaS 표준등급)
    Mar 18, 2022 ~ Mar 17, 2027
    유지
    CSAP-2022-003호
    모니터랩
    AIONCLOUD Website Protection(SaaS 표준등급)
    Mar 4, 2022 ~ Mar 3, 2027
    유지
    CSAP-2022-002호
    와이즈넛
    현명한 앤써니(SaaS 간편등급)
    Feb 16, 2022 ~ Feb 15, 2025
    유지
    CSAP-2022-001호
    디딤365
    SMSNow (SaaS 간편등급)
    Jan 13, 2022 ~ Jun 23, 2022
    취소
     
    인증 현황을 보시면 알겠지만, 대부분이 SaaS 간편등급입니다.
    CSAP SaaS 인증, '간편' 등급 대세 자리매김
    서비스형 소프트웨어(SaaS) 클라우드 보안인증제도(CSAP)에 간편 등급을 도입한 지 3년 만에 간편 등급이 대세로 자리매김했다. 현재 발급된 SaaS 인증서 3분의 2가 간편 등급인 것으로 나타났다. 전체 66건 중 간...
    CSAP SaaS 인증, '간편' 등급 대세 자리매김
    https://www.etnews.com/20221216000195
    CSAP SaaS 인증, '간편' 등급 대세 자리매김
    또한, 2022년 12월 기사를 보면 CSAP의 SaaS 인증의 대부분이 간편등급을 타겟으로 잡고 있는 것이 다시 한 번 확인됐습니다.
     
    이에 따라, 에딘트에서 Proctormatic 관련 CSAP 인증을 받는다면 CSAP SaaS 간편등급을 목표로 잡는다고 생각하고 인증 필요 여부를 따져보겠습니다.
     
    일단 기본적으로 KISA에서는 CSAP 인증을 받은 서비스만을 공공 클라우드 사업에 입찰하도록 하고 있습니다.
     
    3가지 항목으로 나뉜 필요여부는 다음과 같습니다.
     
    1. 공공 클라우드 사업인가?
      1. 현실적으로 Proctormatic은 공공 클라우드 사업이라고 보기 어렵습니다. 하지만 대부분 기업들이 인증받은, 클라우드 기반의 SaaS 모델이라고 볼 수 있습니다. 공공 클라우드 사업이라고 보기는 어렵지만, 클라우드 기반의 SaaS 모델로서 인증의 타당성은 유효합니다.
         
        다만, 보안인증 불필요 유형 예시에
        • 단일 기관만을 위해 구축되는 Private Cloud 환경의 IaaS/SaaS/DaaS
        • 단순 설치형 SW 형태의 SaaS 등
        이란 조건이 있고, SaaS 보안인증 대상이 클라우드 서비스 보안인증을 받은 IaaS 서비스 환경에서 구축되어야 하며, 다수의 기관을 대상으로 한 Public한 형태로 소프트웨어를 제공해야 한다는 단서가 존재하기 때문에
         
        클라우드 서비스 보안인증을 받은 IaaS 서비스 환경이란게
        "CSAP 논란, 공포 마케팅 그만해야" [AWS 서밋 서울]
        공공 클라우드 업계서 클라우드 보안인증(CSAP) 등급제를 두고 여전히 논란이 벌어지고 있다. 정부가 CSAP을 상중하 3단계로 나누고 하 등급에는 물리적 망 분리가 아닌 논리적 망 분리도 허용하는 등 규제 수위를 크게 낮추자 국내 클라우드 업계가 불편한 심기를 감추지 않고있기 때문이다.AWS 및 마이크로소프트 애저, 구글 클라우드 등 글로벌 사업자 입장에서는 CSAP 개편이 고무적이다. 다만 국내 클라우드 업체 입장에서는 민간 클라우드 시장을 장악한 글로벌 기업들이 공공 클라우드 시장까지 잠식, 궁극적으로는 전체 클라우드 시장이
        "CSAP 논란, 공포 마케팅 그만해야" [AWS 서밋 서울]
        https://www.econovill.com/news/articleView.html?idxno=610688
        "CSAP 논란, 공포 마케팅 그만해야" [AWS 서밋 서울]
         
        CSAP 개편에 따른 글로벌 업계의 공공 클라우드 시장 진입을 반대하는 또 다른 목소리로는 '국내 클라우드 기업의 어려움이 커진다'를 들 수 있다.
        출처 : 이코노믹리뷰(https://www.econovill.com)
         
        2023년 5월에 등록된 위 기사로 미루어 볼 때, 아직은 AWS나 Azure, Gcp같은 글로벌 클라우드 서비스 회사가 아직 CSAP의 서비스 환경에 포함되있지 않고, 개편을 통해 포함될 여지가 존재한다고 생각할 수 있습니다.
         
        만약 제품 인증을 취득하기 위해 작업에 착수 한다고 하여도 AWS가 포함되지 않는다면 클라우드 서비스 환경을 옮겨야 하는 리스크가 생깁니다.
         
        글로벌 클라우드 기업, 韓시장 공략 가속···"높은 성장률 매력적"
        [서울파이낸스 이도경 기자] 최근 공공 부문에 대한 민간 클라우드 서비스 개방 등 국내 클라우드 시장의 가파른 성장세에 글로벌 기업들의 국내 시장 공세가 거세지고 있다.13일 업계에 따르면 AWS(아마존 웹서비스)는 지난 11일 서울 삼성동 코엑스에서 열린 'AWS 인더스트리 위크' 행사를 열고 오는 2027년까지 한국에 약 7조8500억원을 투자할 계획이라고 밝혔다. 이는 지난 2018년부터 지난해까지 5년간 투자한 금액(2조7300억원)의 약 3배 수준이다.AWS는 최근 생성형 인공지능(AI)를 중심으로 증가 중인 한국의 클라우
        글로벌 클라우드 기업, 韓시장 공략 가속···"높은 성장률 매력적"
        https://www.seoulfn.com/news/articleView.html?idxno=497935
        글로벌 클라우드 기업, 韓시장 공략 가속···"높은 성장률 매력적"
        위 기사에서는,
        정부가 올해 초 클라우드 보안인증(CSAP) 등급제 개편을 추진하며,
        국내 기업에만 허용하던 공공 클라우드 시장에 해외 기업 진출할 수 있도록 하면서 해외 클라우드 기업들의 국내 시장 진출 가속에 영향을 끼친 것으로 분석된다.
        서울파이낸스(http://www.seoulfn.com)
        라고 나와있지만, 오피셜로 해외 클라우드 사업자가 진출하는 방안은 아직 찾을 수가 없습니다. 결국 추진했지만, 아직입니다.
         
    1. 대중적이며, 권위가 있는 인증인가?
      1. 간단하게 설명드리면, 위에서 설명했던 GS 인증보다는 대중적이지 못하며 그 효력이 아쉽고 밑에서 설명한 ISMS 보다는 권위가 떨어지는 인증입니다.
        GS 인증은 중소기업에게 중소기업청 성능인증시성능검사 면제와 소프트웨어 기술성 평가 면제 및 공공SW사업자 선정 평가시가산점 부여 등 다양한 혜택을 부여 받는 등 제도권 안에서의 큰 혜택을 보장한다면, CSAP 인증은 공공 클라우드 사업에 CSAP 인증을 받도록 할 뿐 중소기업에게 어떤 혜택을 준다거나 하는 제도권 안에서의 혜택이 존재하지 않습니다.
    1. 합리적인 비용으로 자격을 얻을 수 있는가?
      1. CSAP 평가 '유료' 전환에… 업계서 "정부 지원" 목소리
        [한국클라우드신문=유인영 기자] 클라우드 기업들이 올해 클라우드서비스 보안인증제도(CSAP) 평가 수수료 유료 전환과 함께 수천만원의 추가 비용을 떠안아야 할 것으로 보인다. 특히 최근 공공 부문의 클라우드 도입 움직임이 본격화한 상황에서 귀추가 주목된다. 기업이 막대한 비용을 들여 CSAP를 획득해도 공공 수요가 충분치 않으면 손해가 발생할 수밖에 없다. 이에 업계에서는 중소기업 지원 외에 더 '세밀한' 지원을 요구하는 목소리가 나온다. ◇평가기관 '복수' 변경에 수수료 '유료' 전환18일 관련 업계에 따르면 '클라우드컴퓨팅서비스
        CSAP 평가 '유료' 전환에… 업계서 "정부 지원" 목소리
        https://www.kcloudnews.co.kr/news/articleView.html?idxno=12536
        CSAP 평가 '유료' 전환에… 업계서 "정부 지원" 목소리
        위 기사에서는 CSAP 인증이 최소 6개월이 걸리며, 평가 수수료가 1000 ~ 5000만원 사이라고 합니다.
        Proctormatic 제품 인증 작업을 Pro를 병행하며, 진행하는 것은 어렵다고 판단되며 Pro가 출시된 후 제품 인증을 수행한다고 해도 빨라도 내년 말에나 인증을 취득할 확률이 높습니다.
        일반적으로 컨설팅 업체를 끼고 인증을 진행하기 때문에, 비용 리소스를 충분히 고려하여 판단해야 합니다.
         
    결론적으로, 현실적인 CSAP 취득 시기를 고려해 봤을 때 당장에 취득에 대해 착수할지 말지를 논하기 보다는 Pro 출시에 맞춰서 고민해봐야 합니다.
     
    Pro 출시 이후, 공공기관 클라우드 기반 SaaS 모델 입찰을 희망한다면 취득에 대해 긍정적 검토를 할 수 있고 그렇지 않다면 취득의 필요성이 크게 보이지 않습니다.
     

    3. 신청 절차


     
    보안인증 절차는 아래의 이미지를 통해 알 수 있습니다.
    notion image
    신청절차는 와탭랩스의 SaaS 보안 인증 취득을 토대로 작성했습니다.
     
    • SaaS 간편 등급(총 14일)의 경우 "사전 컨설팅 2일 → 서면/현장 평가(4일)·취약점 점검(4일) (동시 진행) 4일 → 모의 침투 테스트 5일 → 이행 점검 3일" 순서로 진행됩니다.
    • 사전 컨설팅 후 보완 취약점이 발견되면 조치하여 인증을 신청하고 인증 평가 단계에서 나온 취약점을 다시 보완하여 이행 점검을 진행하기 때문에 위에 작성된 일정은 실제로 점검이 진행되는 일정만 포함되어 있어서 실제 인증 완료까지 걸리는 시간은 최소 2달부터 최대 반년 이상의 시간이 걸릴 수 있습니다.
     
    1.사전 컨설팅 신청하기
    사전 컨설팅 신청은 한국인터넷진흥원 클라우드 보안인증제 자료실에서 사전 컨설팅 신청에 필요한 문서들을 다운로드 받은 후 작성하여 메일로 신청할 수 있습니다.
    사전 컨설팅은 인증 총괄 1명, 서면/현장 평가 수행 담당자 1명, 취약점 점검 담당자 1명, 총 3명이 방문한다고 합니다.
    2. 본 점검 진행
    사전 컨설팅 때 나온 취약점을 보완하고, 난 후 본점검을 신청하면 인증총괄 1명, 서면/현장 평가 1명, 취약점 점검 4명(CCE 2명, CVE 2명), 소스코드 점검 1명 총 7명이 방문하여 4일간 점검이 진행된다고 합니다.
    보완조치는 30일 이내에 100%조치가 완료되어야 하며 기간 내에 조치가 어려울 경우에는 보완 조치 연장 공문을 보내어 연장이 최대 3개월 내까지 가능하다고 합니다.
    3. 이행점검
    이행점검은 본점검에 나온 취약점들의 보완여부를 확인하는 점검으로 이행조치 시 신규로 생성된 자산에 대해서는 점검 대상에 포함되지 않았습니다.
    이행 점검에는 인증총괄 1명, 서면/현장평가 1명, 취약점 점검(CCE 2명, CVE 1명), 소스코드 1명 총 6명이 방문하여 3일간 진행 된다고 합니다.
     

     
    보안인증 항목은 아래와 같습니다.
     
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
    notion image
     
    Share article

    vlogue

    RSS·Powered by Inblog