클라우드 서비스 보안인증(CSAP)

클라우드 서비스 보안인증(CSAP)

 

민간 기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증이다. '클라우드 컴퓨팅 발전·이용자 보호에 관한 법률' 제23조 2항에 따라 정보보호 기준 준수 여부를 인증기관이 평가·인증한다. 인증기관은 한국인터넷진흥원(KISA)이다. 공공기관에 안전성과 신뢰성이 검증된 민간 클라우드 서비스를 공급, 이용자의 보안 우려를 해소하고 클라우드 경쟁력을 확보한다는 취지로 2016년에 도입됐다.

CSAP는 클라우드데이터의 물리적 위치를 국내로 한정한다. 공공기관용 서버와 네트워크, 보안장비 등은 일반용 클라우드 서비스 영역과 분리해서 운영해야 한다. 공공기관에 클라우드를 제공하려면 국가정보원의 보안공통평가기준(CC)인증도 함께 받도록 했다.

과학기술정보통신부는 2023년 1월 31일 클라우드 시스템의 중요도 기준을 3등급으로 구분하고 등급별로 차등화한 보안인증 기준을 적용하는 내용을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 공포했다. 데이터 민감도에 따라 상·중·하로 구분하고, '하' 등급에 대해서는 물리적 망분리 이외에 논리적 망분리까지 허용했다.