CSAP(Cloud Security Assurance Program)는 한국인터넷진흥원(KISA)에서 제공하는 클라우드 보안 인증 프로그램으로 국내 클라우드 서비스 제공업체의 보안 수준을 인증하는 프로그램입니다.
CSAP는 클라우드 서비스 제공업체의 클라우드 보안 제품과 서비스, 보안 관리 절차, 보안 정책 등을 평가하고 검증하여 인증을 부여합니다. 이를 통해 사용자들은 안전하게 클라우드 서비스를 이용할 수 있습니다.
CSAP는 클라우드데이터의 물리적 위치를 국내로 한정하고, 공공기관용 서버와 네트워크, 보안장비 등은 일반용 클라우드 서비스 영역과 분리해서 운영해야 합니다. 공공기관에 클라우드를 제공하려면 국가정보원의 보안공통평가기준(CC)인증도 함께 받도록 하고 있습니다.
목적 및 필요성
공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고, 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보하기 위해 2016년부터 도입하였습니다.
대상
클라우드 서비스 보안 인증의 대상은 클라우드 컴퓨팅 기술을 활용하여 정보시스템 인프라, 응용프로그램, 개발환경 중 어느 하나 이상을 제공하는 클라우드 서비스
클라우드 보안인증 등급제
과학기술정보통신부는 지난 2023년 1월 31일 클라우드 시스템의 중요도 기준을 3등급으로 구분하고 등급별로 차등화한 보안인증 기준을 적용하는 내용을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 공포했습니다. 데이터 민감도에 따라 상·중·하로 구분하고, '하' 등급에 대해서는 물리적 망분리 이외에 논리적 망분리까지 허용했습니다.
IT 시스템의 중요도를 기준으로 3단계 구분이 되고, 등급별로 차등화된 보안 인증기준이 적용됩니다. 즉, 민감 정보를 다루는 클라우드는 보안성을 높이고, 상대적으로 보안 위험이 낮은 데이터를 다루는 클라우드는 평가 기준을 완화한다는 방침입니다.
해외 CSP(Cloud Service Provider)의 경우 국내에서는 물리적 인프라를 분리하지 않고, 소프트웨어로 논리적인 인프라 분리만 제공하기에 CSAP 인증을 받지 못했는데 외산 CSP의 진입 장벽이 낮아져 공공 시장의 잠식 우려 논란이 있습니다.
그 동안 국내 클라우드 업체가 갖고 있던 공공 클라우드 시장에서 외산 클라우드 업체와의 경쟁이 불가피해짐에 따라 경쟁력 강화와 함께 서비스 품질의 향상을 가져오길 기대하며, 반대 급부로 국내 클라우드 업체들은 국내 시장에 머무는 것이 아니라 해외 시장에서 경쟁력 있는 서비스가 되길 기대합니다.
참조
https://isms.kisa.or.kr/main/csap/intro/
'IT 이야기' 카테고리의 다른 글
| 티스토리 블로그를 구글 검색에 노출하는 방법 (0) | 2023.05.07 |
|---|---|
| 사람들이 찾는 키워드 마스터 활용하는 방법 (0) | 2023.05.06 |
| ChatGPT 활용하기 (0) | 2023.04.29 |
| ChatGPT 도입시 고려사항 (0) | 2023.04.17 |
| ChatGPT와 다른 인공지능 대화 모델의 비교 (0) | 2023.04.17 |