Brain핵심 인사이트
- 본질: CSAP (Cloud Security Assurance Program, 클라우드 보안 인증제)는 공공기관이 민간 클라우드를 안전하게 이용할 수 있도록 KISA (Korea Internet & Security Agency, 한국인터넷진흥원)가 클라우드 서비스 보안 수준을 등급별로 인증하는 제도다.
- 가치: 하/중/상 3개 등급 체계는 공공기관 데이터의 민감도에 따른 차등 보안 요건을 제도화하여, 클라우드 전환 가속과 보안 수준 보장을 동시에 달성한다.
- 판단 포인트: 기술사 답안에서는 "등급별 보안 요건 차이(하→상) → 인증 절차 → ISMS-P (Personal Information & Information Security Management System)와의 관계 → 공공 클라우드 조달 연계"를 체계적으로 논해야 고득점이다.
Ⅰ. 개요 및 필요성
2019년 10월 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 시행령 개정으로 공공기관의 민간 클라우드 서비스 이용이 허용되었으나, 보안 수준 미검증 상태의 무분별한 클라우드 도입은 공공 데이터 유출 리스크를 높인다. CSAP는 이 간극을 메우는 보안 인증 프레임워크다.
클라우드 서비스 제공자(CSP, Cloud Service Provider)는 CSAP 인증을 통해 공공기관 조달 시장에 진입할 수 있으며, 인증 등급에 따라 처리 가능한 공공 데이터의 민감도 범위가 결정된다. 인증 유효기간은 3년이며, 매년 사후 심사를 통해 유지 여부를 확인한다.
CSAP는 IaaS (Infrastructure as a Service), SaaS (Software as a Service), DaaS (Desktop as a Service) 각 서비스 유형별로 별도 인증 기준을 적용하며, 2023년 이후 보안 등급제(하/중/상)가 도입되어 데이터 민감도에 따른 서비스 이용 범위를 차등화하였다.
📢 섹션 요약 비유: CSAP는 음식점 위생 등급제처럼 — 등급별 위생 기준을 공공에 공표하여 소비자(공공기관)가 안심하고 식당(클라우드)을 선택할 수 있게 한다.
Ⅱ. 아키텍처 및 핵심 원리
CSAP 3등급 체계 및 적용 데이터 범위
┌──────────────────────────────────────────────────────────────────┐
│ CSAP 보안 등급 체계 │
├──────────────────────────────────────────────────────────────────┤
│ │
│ ┌────────────────────────────────────────────────────────────┐ │
│ │ ■ 상(High) 등급 │ │
│ │ 대상: 개인정보·민감정보·비밀 포함 공공 업무 │ │
│ │ 요건: 물리적 분리 인프라, 전용 Zone, 최고 수준 암호화 │ │
│ │ 예시: 주민등록, 의료정보, 국가 안보 관련 시스템 │ │
│ └────────────────────────────────────────────────────────────┘ │
│ │
│ ┌────────────────────────────────────────────────────────────┐ │
│ │ ■ 중(Medium) 등급 │ │
│ │ 대상: 개인정보 포함 공공 업무 │ │
│ │ 요건: 논리적 분리, 암호화 전송·저장, 접근통제 강화 │ │
│ │ 예시: 민원 처리, 복지급여 시스템 │ │
│ └────────────────────────────────────────────────────────────┘ │
│ │
│ ┌────────────────────────────────────────────────────────────┐ │
│ │ ■ 하(Low) 등급 │ │
│ │ 대상: 개인정보 미포함 공개 데이터 공공 업무 │ │
│ │ 요건: 기본 보안 요건(인증·접근통제·로깅) │ │
│ │ 예시: 공공 포털, 행정 공시 시스템 │ │
│ └────────────────────────────────────────────────────────────┘ │
│ │
└──────────────────────────────────────────────────────────────────┘
CSAP 인증 절차
| 단계 | 활동 | 주요 결과물 |
|---|---|---|
| 1. 신청 | CSP가 KISA에 인증 신청 | 신청서, 서비스 설명서 |
| 2. 서류 심사 | KISA가 제출 서류 적정성 검토 | 보완 요청 또는 현장 심사 승인 |
| 3. 현장 심사 | KISA 및 외부 전문가 현장 점검 | 현장 심사 결과서 |
| 4. 위원회 심의 | 클라우드 보안인증 심의위원회 심의 | 인증 여부 결정 |
| 5. 인증서 발급 | KISA 인증서 발급 (유효기간 3년) | CSAP 인증서 |
| 6. 사후 심사 | 연 1회 유지 여부 확인 | 사후 심사 결과서 |
CSAP 주요 점검 영역 (IaaS 기준, 14개 분야 105개 항목)
물리보안, 운영보안, 접근통제, 가상화 보안, 암호화, 취약점 관리, 사고 대응, 업무 연속성, 인적 보안, 서비스 이용자 보호, 개인정보보호, 로깅·모니터링, 공급망 보안, 거버넌스가 주요 분야를 구성한다. 특히 상등급에서는 물리적 분리(Physical Isolation)가 필수로, 공공기관 전용 물리 인프라 구성이 요구된다.
📢 섹션 요약 비유: CSAP 등급은 아파트 내진 설계 등급처럼 — 지진 위험도(데이터 민감도)에 따라 건물 기준(보안 요건)이 달라지고, 인증서가 없으면 공공 분양(조달)을 받을 수 없다.
Ⅲ. 비교 및 연결
| 구분 | CSAP | ISMS-P | CC (Common Criteria) |
|---|---|---|---|
| 목적 | 공공 클라우드 보안 수준 인증 | 정보보안 관리체계 인증 | IT 제품 보안 기능 평가 |
| 인증 기관 | KISA | KISA / ISMS 인증기관 | KISA / NIAP |
| 대상 | CSP (IaaS/SaaS/DaaS) | 기업·기관 (정보보호 관리) | IT 제품·솔루션 |
| 유효기간 | 3년 (연 1회 사후 심사) | 3년 (매년 사후 심사) | 영구 (EAL 등급별) |
| 법적 근거 | 클라우드컴퓨팅법 | 정보통신망법/개인정보보호법 | 정보통신기기 보안기준 |
| 공공 조달 연계 | 필수 (공공 클라우드 이용 시) | 의무 대상 지정 시 | 일부 보안 장비 구매 |
CSAP와 국제 클라우드 보안 인증 비교
| 구분 | CSAP (한국) | FedRAMP (미국) | C5 (독일) |
|---|---|---|---|
| 등급 수 | 3등급 (하/중/상) | Low/Moderate/High | C5 단일 기준 |
| 공공 조달 | 행정·공공기관 의무 | 연방기관 의무 | 독일 연방 정부 |
| 기반 표준 | K-ISMS, CC | FedRAMP 기준 (NIST 800-53) | ISO 27001 + BSI 기준 |
📢 섹션 요약 비유: CSAP, FedRAMP, C5는 각 나라 정부 건물 입주 기준이다 — 한국 건물(공공기관)에 입점하려면 CSAP 인증서를 받아야 한다.
Ⅳ. 실무 적용 및 기술사 판단
CSP 입장에서의 CSAP 준비 전략
상등급 인증 획득을 위해서는 공공 전용 물리 인프라(Government Cloud Zone) 구성이 선결 과제다. 데이터센터 물리 보안 강화(생체인식 출입, CCTV 24시간 녹화), 전용 네트워크 분리, 암호화 키 관리 서비스(KMS, Key Management Service) 자체 운영, ISMS-P 인증과 병행 취득으로 심사 증거 공유 효율을 높인다.
공공기관 입장에서의 CSAP 활용
업무 시스템을 데이터 민감도(비공개 개인정보·내부 행정 데이터·공개 데이터)에 따라 분류하고, 각 분류에 맞는 CSAP 등급의 클라우드 서비스를 선택한다. 전자정부 클라우드 전환 사업 시 조달청 클라우드 상품 카탈로그에서 CSAP 인증 서비스만 선택하도록 내부 지침을 수립한다.
기술사 답안 포인트
"데이터 민감도 분류 → CSAP 등급 매핑 → 인증 절차 → ISMS-P 연계 효율화 → 해외 서비스(AWS GovCloud, Azure Government)와의 비교" 순서로 전개하면 깊이 있는 답안이 된다.
📢 섹션 요약 비유: CSAP는 공공기관이 클라우드 회사를 고를 때 보는 성적표다 — 성적(등급)이 높을수록 더 민감한 데이터를 맡길 수 있다.
Ⅴ. 기대효과 및 결론
CSAP 인증제는 공공 클라우드 시장의 보안 신뢰 기반을 조성하고, 민간 CSP의 보안 수준 향상을 제도적으로 촉진한다. 등급제 도입 이후 공공기관의 클라우드 전환 속도가 빨라지고, CSP들의 공공 전용 인프라 투자가 증가하는 효과가 나타나고 있다.
미래 방향으로는 멀티클라우드(Multi-Cloud) 환경에서의 복합 CSAP 인증 관리, 제로트러스트(Zero Trust) 아키텍처 기반의 CSAP 기준 개정, SaaS 보안 인증 확대(AI 서비스 포함)가 예상된다. 또한 국제 상호인정협정(MRA, Mutual Recognition Agreement)을 통해 FedRAMP 인증을 받은 서비스가 CSAP 인증 심사를 간소화할 수 있는 체계도 검토 중이다.
📢 섹션 요약 비유: CSAP 제도는 수돗물 수질 인증처럼 — 공공이 사용하는 물(클라우드)은 반드시 공인된 기준을 통과해야 안심하고 마실 수 있다.
📌 관련 개념 맵
| 개념 | 설명 | 연관 키워드 |
|---|---|---|
| CSAP 등급제 | 하/중/상 3등급 공공 클라우드 보안 인증 | KISA, 클라우드컴퓨팅법 |
| ISMS-P | 정보보호 및 개인정보보호 관리체계 인증 | 정보통신망법, KISA |
| FedRAMP | 미국 연방기관 클라우드 보안 인증 프로그램 | NIST 800-53, DoD |
| KMS | 클라우드 암호화 키 관리 서비스 | AES-256, 키 생명주기 |
| 물리적 분리 | 상등급 필수 요건 — 공공 전용 물리 인프라 | 전용 Zone, Government Cloud |
👶 어린이를 위한 3줄 비유 설명
- CSAP는 급식실 위생 검사처럼, 공공기관이 쓸 클라우드가 얼마나 안전한지 정부가 직접 점검하고 등급을 매기는 거예요.
- '상' 등급은 선생님만 볼 수 있는 성적표처럼 매우 중요한 정보를 다루는 클라우드에 주는 제일 엄격한 인증이에요.
- CSAP 인증이 없으면 공공기관 시스템에 클라우드 서비스를 팔 수 없어요 — 마치 식품 허가 없이 학교에 납품 못 하는 것과 같아요.