[디지털데일리 이종현기자] 정부가 클라우드 보안인증(CSAP)을 상·중·하 등급으로 구분하는 등급제로의 개편을 추진 중인 가운데 관련 산업계에서는 개편안에 대한 명확한 가이드라인이 필요하다는 요구가 나왔다.

11일 한국클라우드산업협회(이하 협회)는 회원사 의견을 종합한 결과 ▲상·중·하 등급에 대한 기준, 시행방안 및 적용 시스템의 명확한 가이드라인 제시 ▲하 등급도 실증 필요 ▲CSAP 상·중·하 등급 동시 시행 ▲서비스형 소프트웨어(SaaS)와 서비스형 인프라(IaaS)의 차별화된 평가기준 필요 등의 의견이 나왔다고 밝혔다.

이번 간담회는 국내 SaaS 및 서비스형 플랫폼(PaaS), 클라우드 관리·서비스 기업(MSP) 등 기업의 21개 회원사 33명이 참석했다. IaaS 기업들의 경우 지난 주에 먼저 의견을 취합한 바 있다.

협회 회원사들은 CSAP를 받은 기업과 받으려는 기업이 개정 고시에 맞춰 준비할 수 있도록 정부가 CSAP 개편안에 대해 상세하게 설명해야 한다고 요구했다.

CSAP 상등급을 받은 서비스가 중·하 등급에 해당하는 시스템에도 들어갈 수 있는지 가이드가 불명확하고, 기존 SaaS 간편인증은 하 등급으로 인정받을 수 있다고 고시에 명시돼 있으나 개인정보를 포함하는 서비스의 경우 어느 등급에 해당하는지 등 현장에서 겪는 어려움이 많다는 설명이다.

개편 방향이 불명확하기에 기업 입장에서는 무엇을 준비해야 하는지 알 수 없다는 목소리도 나왔다. 이에 더해 하 등급도 실증이 필요하다는 의견도 나왔는데, SaaS와 관련해 애플리케이션프로그래밍인터페이스(API) 연동사업, 타서비스 결합 모델 등 사업이 진행되는 와중에 API로 제공되는 데이터는 상·중·하 구분 기준을 어떻게 마련할지 등이 명확하지 않다고도 꼬집었다.

상·중·하 등급 동시 시행이 필요하다고도 의견이 모아졌다. 하 등급만 먼저 시행될 경우 SaaS 기업 입장에서는 어떤 등급의 CSAP를 받아야 할지 비교·검토가 불가능하다는 것이다. 모든 등급에 대한 기준이 명확해졌을 때 시행하는 것이 바람직하다는 것이 산업계의 주장이다.

IaaS와 SaaS의 서비스 영역이 다른데 같은 잣대로 평가하는 것의 개선이 필요하다는 주장도 제기됐다. IaaS, PaaS, SaaS의 보안인증 분리가 먼저이고 상·중·하 등급은 그 다음에 고려해야 한다는 것이 주장의 골자다.

협회는 회원사를 간담회 외에 회원사를 대상으로 의견 수렴을 진행 중이다. 이를 종합 검토한 뒤 CSAP 개정안에 대한 의견을 제출한다는 방침이다.