CSAP 해설서와 FAQ가 같이 개정됐다
KISA 클라우드인증팀이 7월 6일에 두 건을 같이 올렸다. 클라우드서비스 보안인증기준 해설서(2026.07)와 CSAP FAQ(2026.07). 역할이 다르다. 해설서는 기준을 어떻게 읽고 무엇으로 증빙하느냐를 다루고, 제도 운영이 어떻게 바뀌었는지는 FAQ가 들고 있다. 그런데 실무에 더 크게 걸리는 건 FAQ 쪽이다.
생성형AI를 얹은 SaaS도 인증받을 수 있다
FAQ가 2023년 최초 제정 이후 처음 손질됐는데(2026.05, v1.1), 개정 사유 셋 중 하나가 생성형AI 연계 기준이다. 내용은 이렇다.
LLM API 연계는 제한하지 않는다. 대신 LLM 연계 시 활용하는 데이터가 무엇이냐(이용자 데이터냐 공개 데이터냐)에 따라 인증 서비스의 보안 수준이 떨어지지 않도록 하는 보안활동을 평가 시 확인한다. 관련 인증기준까지 명시해뒀다. 9.2 가상환경, 12.1 데이터 보호, 10.1 접근통제 정책, 14.2.1 물리적 위치 및 영역 분리.
이게 왜 중요하냐면, 그동안 "공공 SaaS에 생성형AI 붙이면 CSAP 어떻게 되냐"는 질문에 명시적인 답이 없었기 때문이다. 이제 답이 생겼다. 막지는 않되, 이용자 데이터가 외부 LLM으로 흘러가는 경로를 데이터 보호와 접근통제 기준으로 본다는 것. 14.2.1이 목록에 들어간 게 특히 눈에 띈다. 물리적 위치 국내 한정 요건이 LLM 연계에도 그대로 걸린다는 신호로 읽힌다.
멀티클라우드는 서면점검으로 끝난다
인증받은 SaaS를 동일한 구성과 환경으로 다른 IaaS에 얹는 경우, 인증을 새로 받을 필요가 없다. 인증기관에 멀티클라우드 신청을 하면 서면점검으로 확인한 뒤 인증서에 인증범위를 추가해서 재발급해준다. 인증서가 하나 더 나오는 게 아니라, 기존 인증서 안에 IaaS가 추가로 명시되는 형태다. 유효기간도 최초 인증서 기준으로 그대로 간다.
제출 서류는 서비스 운영명세서, 서비스 인증명세서, 취약점 자체점검 명세서 등 최초평가 때 요구되는 자료를 서면으로 작성해서 내면 된다.
멀티 IaaS를 깔고 공공에 들어가려던 SaaS 사업자 입장에선 부담이 확 줄었다. 다만 "동일 구성·환경"이라는 조건이 붙어 있으니, IaaS 옮기면서 아키텍처를 바꿨다면 이 트랙을 못 탄다고 봐야 한다.
취약점 점검, 직접 해도 된다
취약점진단 자체수행도 이번 개정에 반영됐다. 정리하면 이렇다.
자체 점검은 인증평가 시점 기준으로 6개월 전에 수행한다. 신청할 때는 취약점 자체점검 명세서만 내고, 점검계획과 결과 같은 세부 자료는 평가 시 증적으로 낸다. 점검도구는 제한이 없다.
가장 실무적인 건 이 부분이다. 자체점검으로 신청하면 평가기관이 샘플링으로 다시 점검하지 않는다. 대신 증적자료 검토와 인터뷰로 결과의 적절성을 확인한다. 점검대상, 점검기준, 점검방법, 점검인원, 점검기간이 적절했는지를 본다는 뜻이다.
점검 유형(CCE, CVE, 소스코드)도 개별로 골라서 자체수행할 수 있다. 인증유형에 따라 선택 가능 항목이 다른데, SaaS는 CVE 점검이 빠진다. 선택하지 않은 유형은 평가기관이 수행한다.
EOL/EOS 취약점을 "제품 지원 종료 시점에 맞춰 조치하겠다"는 방식은 허용되지 않는다. 보완조치는 평가종료일 다음날부터 30일, 최대 90일까지만 연장된다. 90일 안에 못 끝내면 인증평가가 중단될 수 있다.
해설서는 기준을 다시 정리했다
인증기준 자체가 늘거나 준 건 아니다. 관리적 48개, 물리적 11개, 기술적 47개, 국가기관등 보호조치 11개 구성 그대로고, 유형별 적용 개수도 IaaS 116, DaaS 110, SaaS 표준 79, SaaS 간편 31, 하등급 IaaS 64, 하등급 SaaS 30으로 같다.
바뀐 건 세 가지다.
기준마다 점검목적이 붙었다. 예를 들어 1.2.1 조직 구성에는 "정보보호 활동이 명확한 책임과 역할 체계를 기반으로 계획·이행·모니터링되어 지속적 개선이 가능하도록 보장한다"는 목적이 따라붙는다. CISO 인사발령 문서만 있으면 되는지, 조직이 실제로 돌아간 흔적까지 봐야 하는지가 이 한 줄로 갈린다.
참고 항목의 근거가 ISMS-P와 ISO/IEC 27001·27017 대응 항목으로 바뀌었다. 1.1.3 정보보호 정책문서 관리에는 ISMS-P 2.1.1 정책의 유지관리와 ISO/IEC 27017 5.37이 붙는 식이다. ISMS-P를 이미 받은 조직이라면 이 매핑이 곧 증적 재활용 지도다. 참고로 공지에는 법령 근거를 삭제했다고 나오는데, 실제로는 클라우드컴퓨팅법 제25조, 정보통신망법 제45조의3·제48조의3, 개인정보 보호법 제34조처럼 법적 의무가 실제로 걸린 자리에는 그대로 남아 있다.
공공부문 특화 요구사항이 14번 하나로 모였다. 관리적 4개, 물리적 2개, 기술적 5개. 어디까지가 공공용 추가 부담인지 문서상으로 딱 잘렸다.
안 바뀐 것들
읽다 보면 오해하기 쉬운 지점들이 있어서 적어둔다.
시스템과 인력의 물리적 위치는 여전히 국내 한정이다. 특정 기관 한 곳만을 위한 프라이빗 서비스는 인증 대상이 아니다. 개발단계에서는 평가를 못 받고 구축이 끝나 있어야 한다. 이미 받은 인증의 유형·등급 변경도 안 된다. SaaS 표준에서 간편으로 내려가려면 재신청해야 한다. 상·중등급은 아직 시행 전이고 하등급만 우선 시행 중이다.
CSAP가 점수 체계가 아니라는 것도 그대로다. 부적합 개수와 무관하게 도출된 모든 부적합을 보완조치해야 인증서가 나온다. 신청 접수부터 인증서까지는 대략 2.5~5개월 잡으면 된다.
한 가지 챙길 만한 건 수수료 할인이다. 정보보호 관리체계 인증을 이미 갖고 있고 그 범위가 CSAP 인증범위를 포함하면서 유효하게 유지되고 있으면, 인증평가 일부 생략을 신청할 수 있다. 이 경우 서면/현장평가 영역 수수료의 50%를 할인받는다. ISMS를 이미 운영 중인 곳이라면 안 챙길 이유가 없다.
출처