SaaS 보안인증 시행 1년만에 규제 완화...공공 SaaS 시장 키운다

SaaS 보안인증 시행 1년만에 규제 완화...공공 SaaS 시장 키운다

정부가 서비스형소프트웨어(SaaS) 보안인증제도 시행 1년 만에 인증 절차를 완화한다. 기업이 쉽고 빠르게 SaaS 인증을 받도록 유도해 공공 SaaS 도입 확산을 지원한다.

11일 업계에 따르면 정부는 SaaS 인증제 인증항목 수 등을 대폭 축소한 '간편 등급제'를 신설한다.

공공은 SaaS를 이용할 때 보안인증을 받은 제품만 사용한다. 기업은 SaaS 보안인증을 받기 위해 한국인터넷진흥원(KISA)으로부터 78개 인증 항목을 평가 받는다. 그동안 업계는 항목이 방대해서 인증받기까지 시일이 오래 걸리고 비용이 발생한다는 어려움을 토로했다. 실제 제도 시행 1년이 다 돼 가지만 현재까지 SaaS 보안 인증을 받은 기업은 두 곳(3개 서비스)에 불과하다.

정부는 과학기술정보통신부와 행정안전부 등 관계 부처 협의를 거쳐 개선 방안을 마련했다.

우선 인증 등급을 '표준'과 '간편' 등급으로 구분했다. 표준 등급은 기존대로 78개 인증 항목을 모두 점검받는다. 간편등급은 30개 항목만 인증 받으면 된다. 전자결재, 인사관리, 회계 등 보안이 중요한 일부 서비스를 제외하고 모든 서비스는 간편등급만 받으면 공공에 납품이 가능하다. 기존 표준등급을 받기 위해 9개월∼1년 걸리던 시간을 절반가량으로 줄일 수 있을 것으로 전망된다.

행정 절차도 개선했다. 기존에는 인증을 신청하기 위해 사업자 자체 취약점 점검 점수를 80점 이상 획득해야 했다. 앞으로 이 기준을 폐지, 취약점 점검 점수 없이도 인증 신청이 가능해진다. 보안운영명세서도 간소화하고 제출 서류를 정형화해 행정 절차를 줄인다.

이번 제도 개선으로 공공 SaaS 시장 확대가 기대된다.

미국, 영국 등 주요국은 공공 클라우드 채택이 활발하다. 서비스형인프라(IaaS)외에 서비스형플랫폼(PaaS), SaaS 등 클라우드 주요 분야별로 다양하게 도입하고 있다. 우리나라도 최근 공공, 금융 등 주요 시장에서 각종 규제를 완화하고 있지만 IaaS에 치우쳤다. 공공도 지난해 SaaS 보안인증제 시행 후 도입이 확산될 것으로 기대했지만 정작 인증을 받은 서비스는 세 개에 불과해 사용 가능한 서비스가 부족했다. 이번 제도 개선으로 인증 받는 SaaS 기업이 늘어나면 공공 채택도 자연스럽게 늘어날 것으로 예상된다.

정부는 다음 주 인증제 개선 관련 설명회를 개최한다. 과기정통부 관계자는 “지난해 8월 데이터경제 활성화 규제개혁 간담회에서 보안인증제 때문에 공공 부문의 클라우드 확산이 어렵다는 지적이 있어 이후 관계 부처 협의를 거쳐 개선안을 마련했다”면서 “부처 간 협의가 필요한 부분은 계속 조율할 계획”이라고 말했다.

김지선 SW 전문기자 river@etnews.com, 정영일기자 jung01@etnews.com