소프트웨어산업협회 중심으로 의견 모아…'국내 클라우드 시장 확대 필요성' 강조
"미흡하더라도 제도 우선 시행하고 제도·기술적 보완 뒷받침해야" 주장
이번 CSAP 등급제 마중물 삼은 'SaaS 전문 보안 인증 체계 마련'도 제기
【서울=뉴시스】송혜리 기자 = 국내 서비스형 소프트웨어(SaaS) 기업들이 신속한 클라우드 시장 확대를 위해 미흡하더라도 클라우드보안인증등급제(CSAP) 관련 고시를 우선 시행하고, 이후 제도·기술적 보완을 뒷받침해야 한다고 주장했다.
지난달 정부가 CSAP 등급제 시행을 행정예고 함에 따라 한국소프트웨어산업협회(KOSA)는 서비스형 소프트웨어(SaaS) 기업들을 대상으로 긴급 의견 수렴한 결과, 이같이 의견을 모았다고 19일 밝혔다.
협회에 따르면 SaaS 기업 대다수는 그간 원활하지 않았던 공공 클라우드 시장에서 민간 SaaS 도입이 활발해지는 계기가 마련돼야 하고, 이번 CSAP 개정은 이를 중점적으로 고려해야 한다고 의견을 모았다.
의견 수렴에 참여한 A기업 관계자는 "기존 CSAP 제도에서는 'SaaS 간편인증' 도입 등 지속적인 노력이 있었음에도 CSAP를 통과한 SaaS의 수는 총 64개(인증 취소 제외)로 공공에서 활용 가능 SaaS는 매우 적은 수"라며 "하 등급 개방으로 당장의 활발한 SaaS 도입을 기대하기보다는 이러한 시도가 국내 클라우드 시장을 변화시킬 수 있는 기회가 되길 기대한다"는 말했다.
B기업의 경우 "대다수가 중소기업인 국내 소프트웨어 시장에서 수요를 알 수 없는 공공시장을 위해 안정적 수익의 내부 구축형 '온프레미스(on-premise 자체 전산실 운용)'를 두고 SaaS 전환이라는 모험을 하지는 않을 것"라며 "등급제를 통해 공공 내 SaaS 수요를 확인할 수 있다면 중소 소프트웨어 기업들도 이를 참고해 SaaS 전환을 진지하게 고려할 것"이라고 언급했다.
아울러 C기업은 "보안 등의 문제로 중앙부처의 디지털 전환이 어렵다면 하위 기관부터 디지털 전환을 시작해야 한다"며 "우선 덜 민감한 기관이나 지자체 등에서 민간 SaaS를 도입하고 '보톰업(Bottom Up)' 방식으로 공공부문 내 민간 SaaS 도입을 이끌어내야 한다"고 주장했다.
특히 "보안요소를 고려한 체계적 CSAP 등급제 마련도 충분히 동의하지만 신속한 클라우드 시장 확대를 위해서는 미흡하더라도 제도를 우선 시행하고 제도·기술적 보완을 뒷받침해야 한다"는 말도 덧붙였다.
SaaS 솔루션을 제공중인 D기업은 "우수한 솔루션을 바탕으로 공공부문에서 적극적인 요구가 들어오고 있지만 새로운 서비스형 인프라(IaaS) 기반으로 서비스를 제공해야 한다는 점은 부담"이라며 "새로운 IaaS 내 SaaS를 구축하는 것은 신규 개발과 동일한 리소스가 투입된다는 점에서 공공 시장을 포기하게 되는 요인"이라고 밝혔다.
또 "CSAP 인증 시 사용 중인 클라우드 제공 사업자(CSP)를 명시하거나 각 CSP별로 중복 인증을 진행하는 점은 중소 SaaS 기업에 부담인 만큼, 이번 CSAP 등급제를 마중물 삼아 SaaS 전문 보안 인증 체계 마련이 필요하다"는 의견도 함께 전달했다.
반면 우려의 목소리를 전하는 기업들도 있었다. E기업 관계자는 "개인정보를 포함하지 않은 하 등급 개방은 시장 확대 측면에서 충분하지 않아 면밀한 검토를 거쳐 개방규모를 더 확대해야 한다"며 "중·상 등급 개방에 대한 단계적 계획도 반드시 수반돼야 한다"는 의견을 제시했다.
또 F기업은 "등급별 품목이 명확하지 않으면 시장 예측이 어려워 인증 획득을 준비하기 어렵다"면서 "자칫하면 등급별로 중복 인증을 받아야 하는 상황이 초래될 수 있어 조속히 명쾌한 등급별 품목이 제시되어야 한다"고 주장했다.
KOSA 관계자는 "앞으로도 지속적으로 SaaS기업들의 의견을 수렴해 SaaS중심의 생태계를 확립할 수 있는 CSAP가 될 수 있도록 힘을 보탤 계획"이라고 밝혔다.
◎공감언론 뉴시스 chewoo@newsis.com