서비스형 소프트웨어(SaaS) 클라우드 보안인증제도(CSAP)에 '간편' 등급을 도입한 지 3년 만에 간편 등급이 대세로 자리매김했다.
현재 발급된 SaaS 인증서 3분의 2가 간편 등급인 것으로 나타났다. 전체 66건 중 간편 등급이 44건, 표준 등급이 22건이다.
공공은 SaaS를 이용할 때 CSAP를 획득한 제품만 사용할 수 있다. 정부는 2019년 7월 기존 표준 등급 이외 심사항목을 줄인 간편 등급 제도를 도입·시행했다. 기업이 쉽고 빠르게 SaaS 인증을 받도록 하는 동시에 공공 진입 문턱을 낮춰 공공 SaaS 도입을 확산하려는 취지다.
SaaS 인증은 표준과 간편 등 두 가지 등급으로 나뉜다. 표준 등급은 78개 인증 항목을 점검받는다. 간편 등급은 30개 항목만 인증받으면 된다. 간편 등급은 법령상 필수항목과 공공 부분 보안요구사항 등 반드시 지켜야 할 요소만 체크한다.
간편 등급이 표준 등급보다 인증받기 위해 걸리는 시간도 짧다. 평가에 드는 기간은 SaaS 표준 등급의 경우 17일, SaaS 간편 등급의 경우 14일이다. 사후평가와 모의침투 테스트 기간도 간편 등급은 절반 수준이다.
표준 등급은 전자결재, 인사 및 회계관리, 보안서비스 등 중요 데이터를 다루는 서비스를 대상으로 한다. 이외 모든 서비스는 간편 등급만 받으면 공공에 공급 가능하다.
올해에는 인증 서비스 26건 중 18건이 간편 등급이다. 표준 등급은 알체라, 스파이스웨어, 트리니티소프트, 모니터랩 등 주로 보안 제품이 획득했다.
올해 SaaS 인증을 받은 협업툴 기업 관계자는 “업무도구는 전자결재, 인사관리 등 심화 기능 등을 서비스할 게 아니면 꼭 표준 등급을 받을 필요가 없다”며 “시간과 비용 절감 측면에서 간편 등급으로 진행했다”고 말했다.
간편 등급이 표준 등급을 상회하며 전체 SaaS 인증 건수도 늘어나는 추세다. 2018년 SaaS 보안인증제도 시행 이후 인증을 받은 서비스는 2개에 불과했지만, SaaS 간편 등급 기준이 제정된 2019년 하반기 이후에는 인증서 발급 증가폭이 꾸준히 커졌다.
윤대균 아주대 교수는 “간편 등급을 시행한 취지에 맞게 기업의 SaaS 인증이 늘어 공공 시장에 많이 진출할 수 있게 됐다”며 “앞으로는 특정 도메인에 특화된 서비스에서 SaaS 간편등급 인증 발급 신청이 더 증가할 것”이라고 말했다. 이어 “공공 SaaS 활성화 취지로 더 바람직한 개선 방안이 더 나올 수 있을 것”이라고 덧붙였다.
〈표〉SaaS 보안 인증 추이
권혜미기자 hyeming@etnews.com
