CSAP 인증심사와 ISMS 인증심사의 차이 소고

요즘 회사가 클라우드서비스 보안인증(CSAP) 인증과 관련된 사업에도 발을 뻗고 있다. 그래서 나는 최근 CSAP 인증에 관한 강의를 신청하여 수강했다.

CSAP도 KISA에서 주관하는 인증이다 보니, 기본적으로 ISMS와 비슷하다는 느낌을 강하게 받는다. 물론 세부항목 면에서 다른 건 당연하지만, 인증심사 자체에서 느낀 차이점에 대해 열거해 보고자 한다.

① ISMS가 통제항목을 기준으로 하는 것과 달리, CSAP는 더 깊게 들어가 해설 영역까지를 기준으로 한다.

② ISMS는 모든 항목을 확인하기 보다는 샘플을 점검하여 일부에서 결함을 도출하는 반면, CSAP는 전체 통제항목을 모두 확인하고, 기록을 남기며 결함을 도출한다.

 

③ ISMS에서 운영명세서는 그저 참고를 하는 데 그치지만, CASP에서 보안운영명세서는 모든 기록을 남기는 데 쓰이는 중요 문서다. 해당 문서에는 운영현황이 여실없이 기재되어야 하며, 심사원의 점검사항과 의견이 기록된다.

 

④ ISMS 심사는 이행점검 시 심사팀장이 문서 검토를 실시하지만, CSAP는 최초심사 수준으로 이행점검을 수행한다. ISMS는 미조치여도 계획서는 인정하지만, CSAP는 그렇지 않다. 실제로 결함이 조치되어야만 하며, 계획서로만은 인정하지 않는다.

 

⑤ ISMS 심사는 자산의 범위에 개발시스템까지 포함시켜야 하지만, CSAP는 자산범위에 개발시스템을 포함하지 않는다. 다만, 개발 부분 통제항목에서 해당 절차를 점검한다.

 

⑥ ISMS 심사는 본 심사기간에 현장 조치가 이미 되어 있어야만 하는 경우가 있으나, CSAP는 본 심사 기간에 현장조치가 완료된 항목은 조치 여부를 기록하여 적합으로 판정한다.

 

⑦ ISMS 심사는 개인정보보호법, 정보통신망법을 위주로 준거성을 검토하면 되지만, CSAP는 앞의 둘을 포함하여 클라우드컴퓨팅법까지 검토할 필요가 있다.

 

⑧ ISMS는 이행점검을 시행할 때 좋게좋게 넘어가는 분위기가 조성되어 있으나, CSAP는 부적합사항이 개선이 되어야만 인증이 나온다.

 

결론적으로, CSAP가 소위 '더욱 빡센' 인증이라고 할 수 있겠다. 그 이유는 무엇일까? 내가 생각하기에는 2가지가 존재한다.

 

① CSAP는 엄밀히 말하면, 한 집단만을 인증하는 것이라 볼 수 없다. 클라우드서비스 제공자가 제공하는 클라우드컴퓨팅서비스에 대해 인증을 하는 것이고, 클라우드의 특성상 많은 회사 및 개인과 엮이게 된다. 따라서 파급력이 크기 때문에 더욱 엄중하게 인증 기준을 제시할 명분이 있는 것이다.

 

② ISMS와 다르게 반발(?)을 할 집단이 많지가 않다. 앞에서 말했듯, ISMS는 미리 심사 전에 심지어 협의를 하는 경우도 있고, 심사원에 따라 좋게좋게 넘어가는 경우가 있다. 그런데도 불구하고 ISMS가 너무 빡세다고 아우성인 실정이다. 또한, ISMS가 도입될 당시의 시대적 배경을 고려할 때 ISMS는 처음부터 빡빡하게 도입하기는 힘들었던 이유도 있다. 보안이라는 개념 자체가 약하던 시절이니 말이다. 허나 지금은 당시와는 분위기가 분명 다르며, 반발을 할 대상도 많지가 않다.