2021-05-SaaS인증제

상명대학교 / 서광규 교수


 

최근 국내외 클라우드에 대한 인식이 널리 확산되면서 클라우드 이용이 더욱 더 활발해 지고 있다. 클라우드는 널리 알려졌듯이 ICT을 기반으로 하는 다양한 산업 도메인에 융?복합이 가능하고 탄소배출량 감소, 비용 절감 등 장점이 많고, 더욱이 언택드 시대에 더욱 사용량도 많아지는 등 각 산업분야에서도 관심이 높아지고 있다. 본 원고에서는 국내외 SaaS 인증제 현황을 살펴보기로 하는데, 국외에 SaaS 인증제 관련 제도는 일본의 ASP-SaaS-Cloud 인증제도가 대표적이고 기타 국가에서는 별도의 SaaS 인증제도는 확인되고 있지 않다. 국내에서는 2011년 5월에 클라우드 컴퓨팅 확산 및 경쟁력 강화 전략의 일환으로 시행된 클라우드 서비스 인증제가 대표적이며 클라우드서비스 품질인증제로 변경되었다가 현재는 클라우드 서비스 확인제 및 클라우드서비스 품질성능관리체계로 운영되고 있다. 본 원고에서는 국외 SaaS 인증제로 일본의 ASP-SaaS-Cloud 인증제도를 소개하기로 하고, 국내의 SaaS 인증제로는 클라우드 서비스 인증제, 클라우드 서비스 품질인증제, 그리고 클라우드 서비스 확인제를 차례대로 소개하기로 한다.

 



 

 

일본의 ASP-SaaS-Cloud 인증제도


일본의 ASPIC는 2008년 4월부터 'ASP · SaaS 안전 · 신뢰성에 관한 정보 공개 인증제도' 를 실시하고 있고, 2012년 8월부터 새롭게 '데이터 센터 안전 신뢰성에 관한 정보 공개 인증제도" 및 "IaaS ·PaaS의 안전 · 신뢰성에 관한 정보 공개 인증제도'를 창설하여 시행중인데 이 세 가지 정보 공개 인증제도를 "클라우드 서비스의 안전 · 신뢰성에 관한 정보 공개 인증제도 '라고 총칭하고 있다.

일본의 클라우드 서비스 인증제도의 추진은 다음과 같다.

먼저, 총무성 및 특정 비영리 활동 법인 ASP · SaaS · 클라우드 컨소시엄 (ASPIC)을 중심으로 ASP ·SaaS의 보급 촉진을 다음과 같이 추진하였다. 2007년 4월에 ASP · SaaS 보급 촉진책에 관한 조사 연구가 시행되었고 ASP · SaaS 보급 촉진 협의회가 설립되었다. 총무성에 의해 2007년 11월에 "ASP · SaaS 안전 · 신뢰성에 관한 정보 공개 지침"의 공표되었으며, 2008년 1월 "ASP · SaaS의 정보 보안 대책 가이드라인"이 수립되었다. 이상과 법적 내용을 근거로 멀티미디어진흥센터(FMCC)는 "ASP · SaaS 안전 · 신뢰성에 관한 정보 공개 인정제도"(이하 "인증제도')를 설립하고 공익 법인으로 중립적인 입장에서 심사 · 인증하고, ASP · SaaS 서비스 시장의 발전에 기여하기로 있다. 추가적으로 전술한 바와 같이 2012년 8월 인증대상을 클라우드 서비스로 확대하여 IaaS · PaaS를 포함한 정보 공개 인증제를 창설하여 현재의 클라우드 서비스 인증제도가 시행중이며 현재에는 데이터센터(IDC) 인증제도의 확대시행도 진행중이다.

세부적으로 일본의 ASP · SaaS · Cloud 인증제도에서 수행하고 있는 심사 대상 항목과 심사 기준은 다음 [그림 1]과 같다.

 

image01

[그림1. ASPIC의 ASP · SaaS · Cloud 인증제도의 심사 대상 항목과 심사 기준 (출처: www.aspicjapan.org)]


 

심사 대상이 되는 정보 공개 항목은 "필수 공개 항목"과 '선택 공개 항목"로 나누어 심사가 이루어지는데, "필수 공개 항목"의 모든 내용은 적절한 정보 공개를 실시하여야 한다. 한편 "필수 공개 항목"중 특히 사용자에게 중요한 "일정한 요건을 고려해야 할 항목"의 모든 내용 일정한 요건을 충족하는 경우(대책 · 조치 등을 실시하는 경우 최저 수준 수치 이상의 경우)는 인증하며, 기준에 적합하지 않은 경우 인증하지 않게 된다. 일본 클라우드 서비스의 인증 추진 체계는 [그림 2]와 같다.

 

image02

[그림2. 일본의?ASP · SaaS · Cloud 인증추진체계 (출처: www.aspicjapan.org)]


 



 

클라우드 서비스 인증제


한국의 클라우드 서비스 인증제도는 2012년 1월 방송통신위원회에서 클라우드 서비스 인증제를 발표하였고, 2012년 6월에 제1호 클라우드 서비스 인증 획득기업이 탄생하였다. 한국의 클라우드 서비스 인증제도는 클라우드 업체가 제공하는 서비스의 수준을 평가하여 필요한 체계 및 절차를 확보하고 있는 경우 인증을 부여하는 방식으로 한국클라우드서비스협회(KCSA)의 인증사무국에서 클라우드 서비스 품질, 보호, 기반 등 제공 분야를 심사하여 인증을 부여하는 민간 인증이다.

인증 대상은 클라우드 기술(가상화, 분산처리 등)을 활용하여, HW/SW 등 IT 자원을 인터넷에 접속하여 빌려 쓰고, 쓰는 만큼 이용료를 내는 서비스로써 클라우드 서비스 인증 신청 시점에 6개월 이상 서비스가 제공되고 있는 서비스를 그 대상으로 하며 IaaS와 SaaS만을 인증 대상으로 하였다.

인증 심사 영역은 3대 분야(품질, 정보보호, 기반) 7개 항목(가용성, 확장성, 성능/속도, 데이터 관리 보안, 서비스 지속성, 서비스 지원)으로 구성되었으며 총 세부 심사 항목은 IaaS 105개(필수 항목: 39개 항목), SaaS 85개 항목(필수항목: 33개 항목)으로 이루어 졌으며, 평가는 서면 및 실사 평가를 실시한다.

인증 획득 기준은 전체 심사 항목의 70% 이상을 획득하면 되는데, IaaS는 74개 항목을 SaaS는 60개 항목을 충족하면서 동시에 필수 항목을 충족하면 인증을 획득하게

되며, 항목간의 가중치 없다.

클라우드 서비스 인증제는 클라우드서비스 품질인증제로 개편되어 진행되었다.

 



 

 

클라우드 서비스 품질인증제


클라우드서비스의 품질과 신뢰도를 측정하는 ‘클라우드 서비스 품질인증제’는 한국클라우스산업협회와 클라우드서비스인증위원회가 주관하는 제도로 클라우드 산업 전반에 대한 신뢰도를 높이고, 품질 경쟁을 유도하며, 이용자 신뢰기반에 따른 국제 경쟁력을 확보한다는 목적으로 진행되었다.

품질인증제는 클라우드 서비스 제공업체가 서비스의 수준(품질, 안정성 등)을 보장하기 위해 필요한 서비스 체계(정책, 기술 등)를 구축했는지 여부를 점검하고 그 결과 일정 수준 이상의 서비스 품질로 평가되면 인증을 부여하는 제도다.

평가내용은 서비스품질, 정보보호, 서비스 기반 등 3개 분야별 세부 평가지표(105(85)개)를 적용, 심사한다. 인증 대상은 클라우드 서비스 IaaS(6개월 이상 서비스 제공), SaaS(2개월 이상 서비스제공)다. 유효기간은 인증서(인증마크) 발급일로부터 2년이다. 이를 위해 전체 105개 심사항목을 구성했는데, 그 중 필수 평가항목은 IaaS 39개, SaaS 33개다.

평가 대상이 되는 내용 중 첫 번째 서비스품질 분야는 크게 세 가지다. 우선 ‘가용성’ 기준을 제시하고, 이를 보장하기 위한 관리 정책·기술 등을 보유하였는지 검토한다. ‘확장성’ 즉 IT자원을 신속하게 확장 축소하여 제공할 수 있는지 평가한다. ‘성능(속도)’도 중요 평가 대상이다. IT자원을 최신으로 유지하고 네트워크 용량을 확보하고 있는지 심사한다.

‘서비스 정보 보호’ 분야는 ‘데이터관리’ 즉, 백업·복구 등 정책, 기반 시설을 마련하고, 이용자 요청에 따라 반환·폐기하는지 평가한다. ‘보안’, 즉 정보보호관리체계(ISMS)를 중심으로 클라우드 환경에서의 보안 취약점 점검·검사한다.

‘서비스 기반’ 분야에선 ‘서비스 지속성’을 통해 경영상 능력을 평가, 서비스를 안정적으로 제공 가능한지 심사한다. ‘서비스 지원’, 즉 이용자 지원 기능, 보상대책 마련 등을 평가, 이용 편의성을 점검한다.

평가절차는 우선 서비스 품질, 정보보호, 서비스 기반 등 3개 분야별 세부평가지표를 중심으로 심사하고 인증 등급을 매긴다.

인증등급은 인증영역별 인증심사 평가 기준에 따라 Level 1 ~Level 5등급으로 구분한다. Level 1은 서비스 품질영역(가용성, 확장성, 성능) 및 서비스 기반(서비스 지속성,서비스 지원)필수 평가지표를 100% 충족하는 경우다. Level 2는 품질인증 Level 1 수준에 서비스 정보보호(데이터관리, 보안) 필수 평가지표를 충족시킨 경우다. Level 3는 품질인증 Level 2에 일반평가지표를 포함한 70%, 즉 필수평가지표를 100% 충족시키고, ‘가용성’ 부문을 99.5% 충족하는 경우이다. Level 4는 품질인증 Level 3를 충족하고, ISMS 또는 ISO27001을 충족하는 경우이다. Level 5는 품질인증 Level 4를 충족하고, 손해 배상보험(배상책임보험)에 가입한 경우다.

현재에는 클라우드 서비스 품질인증제는 시행되고 있지 않은데, 그 자리는 클라우드 서비스 확인제와 클라우드 서비스 품질성능 관리체계가 대신하고 있다.

 



 

 

클라우드 서비스 확인제


클라우드 서비스 확인제는 국제 표준 문서(ISO/IEC 17788) 기반의 서비스 제공과 관리를 위한 필수역량 확보 지원과 클라우드 산업생태계 조성 및 신뢰 제고에 기여하기 위해 2015년부터 민간자율로 운영하고 있으며, 신청대상은 클라우드 서비스(SaaS, IaaS, PaaS)를 제공중인 모든 기업이다.

 

image03

[그림3. 클라우드 서비스 확인제 (출처: cloudcertify.or.kr)]


 

점검항목으로는 [표 1]에서 보는 바와 같이, 서류점검 3개 항목과 서비스 점검 6개 항목, 그리고 보안취약점 점검(필수조건)이다.

 

표01

[표1. 클라우드 서비스 확인제 점검항목 (출처: KACI 클라우드 서비스 확인제 소개 자료)]


 

클라우드 서비스 확인제의 기능 점검 및 확인 항목은 ISO/IEC 17788 국제 표준 문서에서 제시하고 있는 핵심속성(key characteristics)를 모두 포함하고 있는데 그 내용은 다음과 같다.

- 멀티 테넌시(multi-tenancy): 복수의 테넌트 및 그들의 계산, 데이터를 서로 분리하고, 서로 접근할 수 없도록 하는 방식으로 물리적 또는 가상적 리소스를 할당하는 특성. 일반적으로 멀티 테넌시 환경에서 테넌트를 이루는 클라우드 서비스 사용자들은 동일한 클라우드 서비스 고객 조직에 속함

- 사용자 중심의(주문형) 셀프서비스(on-demand self-service): 클라우드 서비스 고객이 필요에 따라 자동으로, 또는 클라우드 서비스 제공자와 최소한의 상호작용을 통해 컴퓨팅 능력을 제공 받는데, 이 주요 특징의 핵심은 사람 사용자의 추가적인 상호작용이나 경상비용 없이, 사용자가 필요한 것을 필요할 때 할 수 있는 능력

- 범용 네트워크 접근(broad network access): 이기종 클라이언트 플랫폼의 이용을 촉진하는 표준 메커니즘을 통해 네트워크에서 물리적 또는 가상적 리소스에 접근하고 이용할 수 있는 특성.

- 신속한 탄력성과 확장성(rapid elasticity and scalability): 물리적 또는 가상적 리소스를 신속하고 탄력적으로 조정하고 어떤 경우에는 자동으로 조정함으로써 리소스를 빠르게 증가시키거나 감소시키는 특성

- 리소스 통합(resource pooling): 한 명 또는 다수의 클라우드 서비스 고객에게 제공하기 위해 클라우드 서비스 제공자의 물리적 또는 가상적 리소스를 결집함. 이 주요 특징의 핵심은 클라우드 서비스 제공자가 멀티 테넌시를 지원하는 한편, 동시에 추상화를 이용하여 프로세스의 복잡성을 고객에게 가릴 수 있음

- 종량제 서비스(measured service): 종량제 클라우드 서비스는 사용량을 감시, 통제, 보고, 청구할 수 있는 서비스 특성임으로 고객이 사용한 리소스에 대해서만 지불할 수 있음

image04


[그림4. 테넌크 정의 및 멀티테넌시 아키텍처 사례 (출처: KACI 클라우드 서비스 확인제 소개 자료)]


 

클라우드 서비스 확인제의 멀티테넌시는 기존에는 리소스 통합(resource pooling)에서 두 항목을 같이 점검하였으나 2021년도부터는 별도의 항목의 분리하여 점검하고 평가한다.

클라우드 서비스 확인제는 현재 클라우드 워싱 문제를 해결하기 위한 방안으로 CSP들이 적극적으로 활용하고 있으며, 확인제 인증을 받은 서비스가 점점 더 늘어나고 있다.

 



 

 

결론


현재 SaaS 인증을 포함하여 클라우드 서비스 인증제도를 시행하는 국가는 일본과 한국으로 확인된다. 일본에서는 ASP · SaaS · 클라우드 컨소시엄 (ASPIC)에서 ASp-SaaS-Cloud 정보 공개 인증을 시행하고 있으며, 현재에는 IoT와 AI로 그 영역을 확대하고 있다. 국내의 경우에는 클라우드 서비스 인증제와 클라우드 서비스 품질인증제가 시행되었으나 현재에는 두 제도는 시행되고 있지 않다. 현재에는 클라우드 서비스 확인제가 기존의 두 제도를 대신하고 있으며 클라우드 서비스 확인제에서도 SaaS 인증이 가장 많이 이루어지고 있다. 클라우드 서비스 확인제는 클라우드 워싱 문제에 대응할 수 있는 제도로 ISO/IEC 17788 국제 표준 문서의 핵심 6가지 속성과 보안취약점을 동시에 점검한다는 측면에서 그 실효성이 높다.

 



 

< 참 고 문 헌 >

  2. 서광규, 한국과 일본의 클라우드 서비스 인증제도 비교연구, 디지털융복합연구, 11(11): 53-58, 2013.
  3. https://www.aspicjapan.org/
  4. http://cloudcertify.or.kr/
  5. ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.
  6. 한국클라우드산업협회, 클라우드 서비스 확인제 소개 자료, 2021.




저작권정책

K-ICT 클라우드혁신센터의 저작물인 『국내외 SaaS 인증제 현황』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의?저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.