[Tech Blog] CSAP: 클라우드 서비스 보안 인증! 이제는 선택이 아닌 필수

테크

CSAP 인증, 기업에 어떤 의미를 가질까?

지난 2024년 12월 마이크로소프트의 클라우드 서비스 Azure가 글로벌 CSP로는 처음으로 공공 CSAP 인증을 받았습니다. AWS와 Google Cloud 역시 인증을 받을 것이라는 예고가 발표되며, 클라우드 보안 및 공공 클라우드 도입에 대한 관심을 한층 더 높이는 계기가 되었습니다. 과거 공공부문에서 글로벌 CSP(Cloud Service Provider)는 규제 조건을 충족하기 어려워 시장 진입이 제한적이었으나, 이제 그 문이 열리면서 국내 클라우드 시장은 새로운 경쟁 시대를 맞이하고 있습니다. 이번 글을 통해서 CSAP 가 무엇이고, 시장에서 어떤 중요한 의미가 있는지 알아보도록 하겠습니다.

CSAP란 무엇인가?

CSAP(Cloud Security Assurance Program)는 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’에 따라, 클라우드 서비스의 안전성과 신뢰성을 평가하고 인증해주는 보안인증 제도입니다. 

특히, 공공기관에서 클라우드 서비스를 도입하기 위해서는 민간 클라우드의 안전성과 보안성을 입증하기 위해 CSAP 인증이 필수지만, 이는 공공기관에 국한되지 않고, 민간 기업에서도 안전성과 신뢰성을 입증하여 경쟁력을 강화하는데 활용할 수 있습니다.
자료 출처 : 한국인터넷진흥원 – 클라우드 서비스 보안 인증(CSAP) 소개

CSAP 보안인증의 유형과 등급제

1. 인증 유형

CSAP 보안 인증유형은 서비스 유형에 따라 아래 3가지로 분류됩니다.
  • IaaS(Infrastructure as a Service): 서버, 저장소, 네트워크 등 IT 인프라 제공 및 관리
  • SaaS(Software as a Service): 소프트웨어를 클라우드로 제공 및 관리
  • DaaS(Desktop as a Service): 가상 데스크톱 환경 제공 및 관리

2. 인증 등급

 CSAP 인증은 보안 요구 수준에 따라 인증 등급을 구분하고 있으며, 인증 유효기간은 5년입니다. 
  • 기존 인증제: IaaS, SaaS(표준 등급, 간편 등급), DaaS
  • 등급제(향후 운영 예정): 상등급, 중등급, 하등급, 하등급 SaaS

클라우드 보안인증 등급 │CSAP 제도 소개(보안 인증등급 및 기준)

등급기준영역 분리
[파급 영향] 해당 정보시스템에 대한 침해는 운영기관, 자산 및 개인에게 치명적 악영향을 미칠 수 있음
[분류 기준] 국가 중대 이익(안보, 국가안전, 국방, 통일, 외교 등), 수사·재판 등 민감정보를 포함하거나 행정 내부 업무 등을 운영		물리적
[파급 영향] 해당 정보시스템에 대한 침해는 운영기관, 자산 및 개인에게 심각한 영향을 미칠 수 있음
[분류 기준] 비공개 업무자료를 포함 또는 운영		물리적
[파급 영향] 해당 정보시스템에 대한 침해는 운영기관, 자산 및 개인에게 제한적인 영향을 미칠 수 있음
[분류 기준] 개인정보를 포함하지 않고 공개된 공공데이터를 포함 또는 운영		물리적
/논리적

등급별 보안인증 평가기준 차등화

상 등급
기준 평가 보완 및 강화
▼ 4개 평가 항목 신설 ▼
계정 및 접근권한 자동화
외부네트워크 차단
보안감사 로그 통합관리
통합 관리
중 등급
현행 수준 유지
▼ 평가항목 일부 수정 ▼
시스템 격리
물리적 영역 분리
등급
합리적 완화
▼ 논리적 망 분리 허용 ▼
민간·공공 영역 간 논리적 분리 허용
CSAP 인증은 현재 하등급 운영과 기존 인증제를 병행하여 운영되고 있습니다. 중요데이터를 다루는 SaaS 서비스는 표준 등급을 취득해야 하며, 향후에는 상, 중, 하 등급 체계로 변경 예정입니다.

CSAP 인증의 평가 절차

CSAP 보안 인증은 최초 평가, 사후 평가, 갱신 평가로 총 3단계로 구성됩니다.
  1. 최초 평가: 첫 인증 신청 시 또는 인증 범위에 중요한 변경 사항이 발생하여 재 신청이 필요한 경우
  2. 사후 평가: 서면 평가(3회, 무료), 현장 평가(1회, 유료)
  3. 갱신 평가: 인증 유효기간(5년) 만료 전 유효기간 연장을 원할 때 실시

사후평가는 보안 인증 기준 준수를 확인하기 위해 매년 시행되고 있으며, 최근 현장 평가의 빈도를 줄이고 서면 평가를 확대하여 기업의 비용 부담을 경감시켰습니다.

CSAP 인증, 기업들이 겪는 어려움

CSAP 인증은 클라우드 서비스의 신뢰성과 보안성을 증명하는 인증입니다. 하지만 많은 기업들이 준비 과정에서 아래와 같은 문제를 겪고 있습니다.
  1. 복잡한 인증 절차와 서류 준비: CSAP 인증 기준을 충족하기 위해서는 준비해야 할 서류가 방대하며, 서류 작성과 보완 작업에 많은 어려움이 따릅니다.
  2. 인증 기준에 맞는 인프라 설계 및 구축: 기업마다 다른 환경으로 인해 CSAP 기준에 맞춘 인프라 설계 및 구축이 쉽지 않습니다.
  3. 취약점 점검 및 모의 침투 테스트: CSAP 인증을 위해 CVE, CCE, 소스코드 진단, 모의 침투 점검을 수행해야 하지만, 내부적으로 이를 자체적으로 진행하기에는 많은 어려움을 겪습니다.
  4. 전문성 및 사내 리소스 한계: 인증 준비에 필요한 보안 정책, 기술적 진단, 운영체계 강화 등에 대한 전문 인력이 부족하고, 인증 준비로 인해 인력 운영 효율성이 저하되는 경우가 많습니다.
이러한 문제들은 기업의 CSAP 인증을 준비하는 데에 있어 큰 장벽으로 작용할 수 있습니다. 그러한 어려움을 알고 있기에 저희 메가존클라우드는 CSAP 인증 준비부터 인증 획득까지 CSAP 인증 과정에서 기업이 겪는 문제를 최소화하고 빠르게 해결하기 위해 다음과 같은 전문적인 지원 서비스를 제공하고 있습니다.

메가존클라우드 CSAP 인증 지원 프로그램의 특징

1. 전문 컨설턴트 팀 구성

저희 메가존클라우드는 보안인증 경험이 풍부한 전문가들로 구성된 전문 컨설턴트 팀을 운영하고 있습니다. 초기 환경 분석부터 클라우드 인프라 설계, 보안정책 수립, CSAP 제반 서류 작성까지 CSAP 세부 요건을 충족할 수 있도록 모든 단계를 체계적으로 지원합니다.

2. 고객별 환경 분석 및 클라우드 인프라 설계 및 구축

CSAP 인증 준비의 첫걸음은 기업의 시스템 환경을 분석하고, 인증 범위를 설정하는 것입니다. 
저희는 NCP, Azure 등 다양한 클라우드 서비스에 맞춘 고객 환경 별 최적화된 인프라 설계와 구축을 지원하며, 이를 통해 CSAP 인증 기준을 효과적으로 충족할 수 있도록 인프라 설계 및 구축 서비스를 제공합니다.

3. 서류 준비 및 인증절차 지원

CSAP 인증 준비 과정에서 가장 큰 부담이 되는 방대한 서류 작업 또한 도와드리고 있습니다. 
CSAP 인증에 필요한 제반 서류를 작성하고, 고객사가 준비한 자료를 검토하여 부족한 부분에 대한 가이드를 제공하고 있습니다. 이를 통해 인증 절차를 처음 접하는 기업도 복잡한 과정을 효율적으로 준비할 수 있습니다.

4. 취약점 점검 및 보안 강화

인프라 취약점 점검(CCE, CVE)과 소스코드 진단, 모의 침투 테스트를 통해 보안 상태를 객관적으로 평가할 수 있도록 취약점 점검뿐만 아니라 발견된 취약점에 대해 보완 조치할 수 있도록 체계적인 지원을 제공합니다.

메가존클라우드 제공 사항 │CSAP 구축 및 컨설팅 제공 방안

💡메가존클라우드는 고객의 CSAP 인증 획득을 목표로 클라우드 인프라 설계·구축과 CSAP 인증 절차를 지원합니다.
클라우드 아키텍처 설계·구축


① CSAP 인증 요건 준수

② 개인정보보호법, 정보통신망법 등 법적 요구 사항 준수

③ 인증 요건 및 법적 요구 사항을 모두 충족한 국내 Cloud 아키텍처 설계 및 구축

CSAP  평가·인증 절차 지원


① 고객사 환경에 맞는 정보보호 규정, 절차 템플릿 작성

② CSAP 운영명세서 등 제반 서류 작성

③ 보완사항 발생 시 서류보완 조치 지원 및 관련 가이드라인 제공

취약점 진단 및 모의침투테스트


① 인프라 취약점(CCE), CVE 취약점 점검 및 사전조치 수행

② 소스코드 취약점 진단 및 조치 가이드

③ SaaS 서비스 웹 포털 대상 모의침투 테스트 제공

마치며

CSAP 인증은 클라우드 보안을 위한 필수 요소이자, 기업 경쟁력을 높이는 중요한 기회입니다. 메가존클라우드는 클라우드 업계에서 쌓아온 풍부한 경험과 기술력을 바탕으로 다양한 클라우드 환경 설계 및 구축, 제반 서류 작성 등 CSAP 인증 준비를 위한 모든 과정을 지원합니다.

최근 규제 완화와 제도 개선이 가속화되며, 클라우드 시장은 새로운 성장 기회를 맞이하고 있습니다. 변화를 따라가는 것은 어려움이 있지만, 궁극적으로 이 변화가 여러분의 비즈니스를 확장하는데 좋은 기회를 줄 것이라 생각합니다.

메가존클라우드가 준비한 CSAP 인증 지원 프로그램으로 더 많은 비즈니스의 기회를 만들어 보시면 어떨까요?

🔥누구보다 빠르게? 남들과는 다르게! 메클레터 구독하기
🧰 IT 고민? 비즈니스 확장/성장 고민? 한 번에 상담하기


글 │ 메가존클라우드 Cloud Technology Center(CTC) 권채영 매니저
게시물 주소가 복사되었습니다.

이런 콘텐츠도 있어요!

[필수] 개인정보 수집 및 이용 동의

메가존클라우드(이하 ‘회사’)는 아래 사항에 따라 회원님의 정보를 수집·활용하고 있습니다. 아래 사항을 숙지하시어 동의하시는 경우 확인란에 표시해 주시기 바랍니다.

1. 수집되는 개인정보
– [필수] 회사명 / 성함 / 회사 이메일

2. 수집/이용 목적
– 뉴스레터를 통해 IT산업(클라우드 산업 포함) 및 메가존클라우드의 다양한 소식 및 정보를 제공하고, 이용자 분석 통계를 통해 신규 서비스 발굴 및 기존 서비스 개선, 맞춤 서비스 제공을 위해 개인정보를 활용합니다.
– (광고성 정보 수신 동의 시) 관련 신규 상품 소개, 서비스 제공 및 이용, 행사 안내 (이메일 알림)

3. 보유 및 이용 기간
– 수집일로부터 3년(단, 정보주체가 철회할 경우 지체 없이 파기)

※ 개인정보 이용 철회 방법
– 안내문 등의 동의철회 이용방법
거부 전자 메일 링크를 클릭하거나 정보 텍스트에서 거부 전자 메일 연락처에 통지하여 거부/수락 의사를 알립니다.


※ 개인정보처리상담부서
* 부서명 : 마케팅그룹
* 연락처 : 02-2108-9171, event@megazone.com

4. 동의 거부권 및 불이익
– 귀하는 동의를 거절할 수 있는 권리를 보유하며, 동의를 거절하는 경우 상기 이용 목적에 명시된 서비스가 제공되지 아니합니다.
– 관련 신규 상품 소개, 서비스 제공 및 이용, 행사 안내는 광고성 정보 수신 동의를 선택하신 분께만 발송됩니다.
(선택하지 않은 경우, 해당 정보를 받으실 수 없습니다.)

[선택] 마케팅 활용 및 광고성 정보 수신 동의

메가존클라우드(이하 ‘회사’)는 아래 사항에 따라 회원님의 정보를 수집·활용하고 있습니다.
아래 사항을 숙지하시어 동의하시는 경우 확인란에 표시해 주시기 바랍니다

1. 수집되는 개인정보
– [필수] 회사명 / 성함 / 회사 이메일

2. 수집/이용 목적
– 행사 안내 및 제공, 신제품 안내, 소식지 발송 등 영업 마케팅 활동
※ 본 동의에는 이메일, 문자, 전화를 이용한 광고 수신 동의가 포함됩니다.

3. 보유 및 이용 기간
– 수집일로부터 3년(단, 정보주체가 철회할 경우 지체 없이 파기)

※ 개인정보 이용 철회 방법
– 안내문 등의 동의철회 이용방법
거부 전자 메일 링크를 클릭하거나 정보 텍스트에서 거부 전자 메일 연락처에 통지하여 거부/수락 의사를 알립니다.


※ 개인정보처리상담부서
* 부서명 : 마케팅그룹
* 연락처 : 02-2108-9171, event@megazone.com

4. 동의 거부권 및 불이익
– 귀하는 동의를 거절할 수 있는 권리를 보유하며, 동의를 거절하는 경우 상기 이용 목적에 명시된 서비스가 제공되지 아니합니다.
– 관련 신규 상품 소개, 서비스 제공 및 이용, 행사 안내는 광고성 정보 수신 동의를 선택하신 분께만 발송됩니다.
(선택하지 않은 경우, 해당 정보를 받으실 수 없습니다.)