"CSAP 개선, 공공 시장 내 민간 SaaS 도입 계기로 삼아야"
'클라우드컴퓨팅서비스 보안인증에 관한 고시(CSAP)' 개정을 앞두고 한국소프트웨어산업협회(KOSA)가 국내 서비스형 소프트웨어(SaaS) 기업의 의견을 수렴해 20일 발표했다. 국내 SaaS 기업 대다수는 그간 원활하지 않았던 공공 클라우드 시장의 민간 SaaS 도입을 활성화하는 계기를 마련해야 한다는 측면을 CSAP 개정에서 중점 고려해야 한다고 의견을 모았다. 의견 수렴에 참여한 A기업 관계자는 “기존 CSAP 제도에서는 'SaaS 간편인증' 도입 등 지속적인 노력이 있었음에도 CSAP를 통과한 SaaS의 수는 총 64개(인증 취소 제외)로 공공에서 활용 가능한 SaaS는 매우 적은 수”라며 “'하'등급 개방으로 당장의 활발한 SaaS 도입을 기대하기보다 이러한 시도가 국내 클라우드 시장을 변화시킬 수 있는 기회가 되길 기대한다”고 밝혔다. B기업의 경우 “대다수가 중소기업인 국내 소프트웨어 시장에서 수요를 알 수 없는 공공시장을 위해 안정적 수익의 온프레미스를 두고 SaaS 전환이라는 모험을 하지는 않을 것”라며 “등급제를 통해 공공 내 SaaS 수요를 확인할 수 있다면 중소 소프트웨어 기업들도 이를 참고해 SaaS 전환을 진지하게 고려할 것”이라고 언급했다. C기업은 “보안 등의 문제로 중앙부처의 디지털 전환이 어렵다면 하위 기관부터 디지털 전환을 시작해야 한다”며 “우선 덜 민감한 기관이나 지자체 등에서 민간 SaaS를 도입하고 바텀업 방식으로 공공부문 내 민간 SaaS 도입을 이끌어내야 한다”고 주장했다. 또한 “보안요소를 고려한 체계적 CSAP 등급제 마련도 충분히 동의하지만 신속한 클라우드 시장 확대를 위해서는 미흡하더라도 제도를 우선 시행하고 제도·기술적 보완을 뒷받침해야 한다”고 덧붙였다. SaaS 솔루션을 제공중인 D기업은 “우수한 솔루션을 바탕으로 공공부문에서 적극적인 오퍼가 들어오고 있지만 새로운 IaaS 기반으로 서비스를 제공해야 한다는 점은 부담”이라며 “새로운 IaaS 내 SaaS를 구축하는 것은 신규 개발과 동일한 리소스가 투입된다는 점에서 공공 시장을 포기하게 되는 요인”이라고 밝혔다. 이어 “CSAP 인증 시 사용 중인 클라우드제공사업자(CSP)를 명시하거나 각 CSP별로 중복 인증을 진행하는 점은 중소 SaaS 기업에 부담인 만큼 이번 CSAP 등급제를 마중물 삼아 SaaS 전문 보안 인증 체계 마련이 필요하다”는 의견도 전했다. 우려의 목소리를 전하는 기업도 있었다. E기업 관계자는 “개인정보를 미포함하는 '하'등급 개방은 시장 확대 측면에서 충분하지 않아 면밀한 검토를 거쳐 개방규모를 더 확대해야한다”며 '중·상'등급 개방에 대한 단계적 계획도 반드시 수반돼야 한다”는 의견을 제시했다. F기업은 “등급별 품목이 명확하지 않으면 시장 예측이 어려워 인증 획득을 준비하기 어렵다”며 “자칫하면 등급별로 중복 인증을 받아야 하는 상황이 초래될 수 있어 조속히 명쾌한 등급별 품목이 제시되어야 한다”고 주장했다. KOSA 측은 “앞으로도 지속적으로 SaaS기업들의 의견을 수렴해 SaaS중심의 생태계를 확립할 수 있는 CSAP가 될 수 있도록 힘을 보탤 계획“이라고 밝혔다.