“CSAP 개선, 공공 클라우드의 민간 SaaS 도입 계기돼야”

한국소프트웨어산업협회(KOSA)가 ‘클라우드컴퓨팅서비스 보안인증(CSAP)에 관한 고시’ 개정에 대해 국내 서비스형 소프트웨어(SaaS) 기업의 의견을 수렴하고 애로사항을 공유했다.

고시에 규정된 CSAP 등급제와 관련, KOSA 산하 SaaS추진협의회 소속 기업들의 의견을 모아 발표한 것이다.

조사에서 SaaS 기업 대다수는 CSAP 개정이 공공 클라우드 시장에서 민간 SaaS 도입이 활발해지는 계기가 되기를 희망하면서 개정안은 이를 중점적으로 고려해야 한다고 의견을 모았다.

그간 공공 클라우드에서는 민간 SaaS 도입이 기대만큼 원활하게 도입되지 않았던 만큼 CSAP 개정을 통해 민간 사업자의 참여가 더 활발히 이뤄지는 방향이 되어야 한다는 것이다.

의견 수렴에 참여한 한 기업 관계자는 “기존 CSAP 제도에서는 ‘SaaS 간편인증’ 도입 등 지속적인 노력이 있었음에도 CSAP를 통과한 SaaS의 수는 총 64개(인증 취소 제외)로 공공에서 활용 가능 SaaS는 매우 적었다”라며, “하(下) 등급 개방으로 당장의 활발한 SaaS 도입을 기대하기보다는 이러한 시도가 국내 클라우드 시장을 변화시킬 수 있는 기회가 되길 기대한다”는 의견을 전했다.

또다른 관계자는 “대다수가 중소기업인 국내 소프트웨어 시장에서 수요를 알 수 없는 공공시장을 위해 안정적 수익의 온프레미스를 두고 SaaS 전환이라는 모험을 하지는 않을 것”이라며, “등급제를 통해 공공 내 SaaS 수요를 확인할 수 있다면 중소 소프트웨어 기업들도 이를 참고해 SaaS 전환을 진지하게 고려할 것”이라고 언급했다.

이외 ▲하위 기관부터의 디지털전환 시작 ▲덜 민감한 기관이나 지자체 등에서 민간 SaaS 도입 후 바텀업 방식의 공공부문 내 민간 SaaS 도입 유도 ▲제도 우선 시행 후 보완해 신속한 클라우드 시장 확대 도모 ▲SaaS 전문 보안 인증 체계 마련 필요 등의 의견이 제시됐다. 

우려의 목소리를 전하는 기업들도 있었다. 한 관계자는 “개인정보를 미포함하는 하 등급 개방은 시장 확대 측면에서 충분하지 않아 면밀한 검토를 거쳐 개방규모를 더 확대해야 한다”며, “중·상 등급 개방에 대한 단계적 계획도 반드시 수반되어야 한다”는 의견을 제시했다.

또다른 기업은 “등급별 품목이 명확하지 않으면 시장 예측이 어려워 인증 획득을 준비하기 어렵다. 자칫하면 등급별로 중복 인증을 받아야 하는 상황이 초래될 수 있어 조속히 명쾌한 등급별 품목이 제시되어야 한다”고 전했다.

KOSA 관계자는 “앞으로도 지속적으로 SaaS기업들의 의견을 수렴해 SaaS중심의 생태계를 확립할 수 있는 CSAP가 될 수 있도록 힘을 보탤 계획“이라고 밝혔다.