본문으로 건너뛰기
가이드 · 8분 읽기

공공 SaaS 보안 인증 한 화면 정리 — CSAP·ISMS-P·PIPA·디지털서비스 등록

자치구 문화재단·시설관리공단·박물관 운영자가 SaaS 도입의 정보화·전산 부서 보안성 검토 단계에서 마주치는 4개 인증의 차이·필수 여부·SaaS 사업자 확인 항목을 한 화면에 정리. 인증 이름이 혼동되는 운영자를 위한 운영자 가이드.

쿠러미 팀
공공 SaaS 보안 인증 한 화면 정리 — CSAP·ISMS-P·PIPA·디지털서비스 등록

"CSAP, ISMS-P, PIPA, 디지털서비스 — 인증 이름이 너무 많아서 우리에게 필요한 게 뭔지 헷갈립니다."

자치구 문화재단·시설관리공단·박물관 운영자가 멤버십 SaaS 도입의 정보화·전산 부서 보안성 검토 단계에서 가장 자주 듣는 질문입니다. 본 글은 운영자가 SaaS 도입 검토 시 마주치는 4가지 핵심 보안 관련 항목을 한 화면에 비교하고, 자치구 재단 도입에 필수 vs 권장을 분명히 합니다.

4가지 항목 — 한 화면 비교

항목 본질 주관 대상 자치구 재단 도입 시
CSAP 클라우드 서비스 보안 인증 KISA (한국인터넷진흥원) SaaS·IaaS 제공자 필수 (하 이상)
ISMS-P 정보보호·개인정보 관리체계 인증 KISA + 개인정보보호위원회 정보통신서비스 제공자 권장 (가산점)
PIPA 개인정보보호법 (법규) 개인정보보호위원회 모든 개인정보처리자 필수 (법적 의무)
디지털서비스 전문계약 등록 공공 조달 카탈로그 등록 행정안전부·NIA SaaS 제공자 권장 (도입 절차 단순화)

핵심:

  • CSAP·PIPA 는 필수: CSAP 는 SaaS 사업자 요건, PIPA 는 운영기관·SaaS 양쪽 모두 법적 의무
  • ISMS-P·디지털서비스 등록은 권장: 있으면 도입·신뢰성 ↑, 없어도 도입 가능

1. CSAP — 클라우드 서비스 보안 인증

본질

클라우드 서비스 제공자(CSP)가 받는 보안 인증. 공공기관·교육기관에 클라우드 서비스를 제공하기 위한 사실상 의무 조건.

등급

등급 적용 범위 자치구 재단 도입 시
일반 공공기관 SaaS (개인정보 포함) 최소 요건
민감 데이터 포함 (예: 의료·금융) 멤버십 SaaS 에는 보통 불필요
국가 안보·국가 핵심 데이터 자치구 재단에는 무관

자치구 문화재단·시설관리공단의 회원 멤버십 SaaS 는 CSAP "하" 등급 이상 사업자만 도입 가능.

운영자 확인 방법

  • SaaS 사업자에게 직접 요청: "CSAP 인증서 사본 + 인증 ID 알려주세요"
  • 공식 조회: CSAP 공식 인증 현황 에서 사업자명·서비스명 검색
  • 인증 유효기간 확인 (통상 3년)

주의

  • 인프라(IaaS) 인증과 SaaS 인증을 구분해야 함
  • 예: AWS Korea 는 CSAP "하" 보유 → 그 위에 올라간 SaaS 도 인프라는 인증되지만, SaaS 자체의 CSAP 도 별도 필요
  • 운영자가 "AWS 위에 올라간 SaaS 면 CSAP OK" 라고 가정하면 위험. SaaS 자체 인증 별도 확인.

2. ISMS-P — 정보보호·개인정보 관리체계 인증

본질

조직의 정보보호 + 개인정보 관리체계 가 표준을 충족하는지 인증. ISMS (정보보호) + PIMS (개인정보) 가 2018년 통합된 형태.

의무 대상

법적 의무 대상은:

  • 매출 1,500억 원 이상 정보통신서비스 제공자
  • 회원 300만 명 이상 정보통신서비스 제공자
  • 일정 규모 이상 정보보호 서비스 제공자

→ 자치구 문화재단·SaaS 사업자 대부분은 의무 대상 아님.

자치구 재단 도입 시 의미

  • SaaS 사업자가 ISMS-P 보유 → 보안성 검토 단계에서 가산점 (운영기관 정보화 부서 검토 부담 ↓)
  • 운영기관(자치구 재단)이 보유할 필요는 거의 없음 — 정보통신서비스 제공자 분류가 아니므로
  • 없어도 SaaS 도입 가능 — CSAP "하" 와 PIPA 준수가 더 우선

3. PIPA — 개인정보보호법 (법규, 인증 아님)

본질

법령. 인증이 아니라 모든 개인정보처리자가 의무적으로 준수.

운영기관 의무

자치구 문화재단·시설관리공단이 멤버십 SaaS 를 도입 = 위탁 처리 (PIPA 제26조). 운영자가 챙길 의무:

  • 회원 가입 시 수집·이용 동의
  • 위탁 처리 동의 + 처리방침 갱신
  • 안전조치 (제29조)
  • 회원 권리 보장 (제35–37조)
  • 보존 기간·파기 절차

자세한 점검 항목은 PIPA 체크리스트 8가지 참고.

SaaS 사업자 의무

  • 위탁받은 데이터의 안전 처리
  • 위탁 표준 양식 제공
  • 침해사고 발생 시 운영기관에 통지
  • 운영기관이 요구하는 보안조치 이행

위반 시

  • 과태료·과징금 (조항별 ₩300만 ~ ₩수억)
  • 위탁자(운영기관) 책임: 동의 누락·처리방침 미공개 등
  • 수탁자(SaaS) 책임: 안전조치 미흡·정보 유출 등

4. 디지털서비스 전문계약 등록

본질

SaaS 사업자가 디지털서비스 디지털마켓 에 카탈로그 등록. 등록 시 행정안전부·NIA 가 1차 적합성·보안성 검토.

자치구 재단에 의미

  • 등록 SaaS 도입 시 절차 단순화: 4~6주 이내 도입 가능 (공공기관 SaaS 도입 절차 참고)
  • 등록 안 된 SaaS 도입 시: 일반 입찰 (3~6개월) 또는 수의계약 한도 내 (소규모만 가능)
  • 인증 자체는 아님 — "공공 조달 가능 SaaS" 라는 표지에 가까움

운영자 확인 방법

  • 디지털마켓 카탈로그 에서 SaaS명 검색
  • 또는 SaaS 사업자에게 "디지털서비스 전문계약 등록 ID 알려주세요" 요청

자치구 재단·시설관리공단 도입 시 — 필수 vs 권장

운영자 시점의 결재 단계별 점검 항목:

결재 1단계 — 운영팀 내부 검토 (필수)

항목 점검
PIPA SaaS 사업자가 위탁 처리 표준 동의 양식 제공?
CSAP "하" SaaS 자체 (인프라 별도) CSAP 인증 ID 확보?

이 2개 통과 못 하면 본 도입 검토 보류.

결재 2단계 — 정보화·전산 부서 협의 (가산점)

항목 점검
ISMS-P SaaS 사업자 보유 시 가산점 (보안성 검토 부담 ↓)
CSAP "중" 민감 데이터 처리 시 권장 (멤버십에는 보통 불필요)
데이터 국내 저장 AWS 서울·NCP·Azure Korea 등

결재 3단계 — 본부 결재 (절차 단순화)

항목 점검
디지털서비스 전문계약 등록 등록된 SaaS → 4~6주 도입 가능. 미등록 → 수의계약 한도 내만 가능
NIPA SaaS 마켓플레이스 등록 대안 채널 (디지털마켓과 유사)

SaaS 사업자에게 확인할 5가지

도입 검토 단계에서 운영자가 SaaS 사업자에게 직접 물어볼 5가지:

  1. CSAP 인증 ID + 인증 등급 (하·중·상) + 유효기간
  2. ISMS-P 보유 여부 + 인증 ID (선택)
  3. 디지털서비스 전문계약 등록 여부 + 카탈로그 ID
  4. PIPA 위탁 처리 표준 동의 양식 제공 여부
  5. 데이터 저장 위치 (한국 리전 여부) + 인프라 (IaaS) 의 CSAP 등급

이 5가지에 명확히 답하지 못하는 SaaS 는 도입 검토 보류 권장.

흔한 혼동 3가지

혼동 1 — CSAP 인증이 인프라(AWS·NCP) 와 SaaS 가 별도

AWS 서울 리전이 CSAP "하" 등급이라고 SaaS 도 자동 인증되는 것 아님. SaaS 자체의 CSAP 인증을 별도로 확인해야 함.

혼동 2 — ISMS-P 가 필수라고 오해

매출 1,500억 원·회원 300만 명 등의 의무 대상이 아니면 ISMS-P 는 자율. 자치구 재단 SaaS 도입에 필수 조건이 아님. 보유 SaaS 우대는 OK, 미보유 SaaS 배제는 과도.

혼동 3 — PIPA 를 인증으로 오해

PIPA 는 법령이지 인증이 아님. "PIPA 인증 받았다" 같은 표현은 잘못된 마케팅. 정확한 표현은 "PIPA 준수 (위탁 처리 표준 동의 양식 제공 등)".

정리

4개 용어가 비슷하게 들리지만, 자치구 재단 SaaS 도입에서 정말 챙겨야 할 건 CSAP "하" + PIPA 준수 두 가지입니다.

ISMS-P 와 디지털서비스 전문계약 등록은 있으면 좋은 가산점이지만 필수는 아닙니다. 운영자가 SaaS 사업자에게 위 5가지 확인 항목 답을 받고 본부 결재서에 그대로 인용하시면 정보화·전산 부서 검토를 빠르게 통과할 수 있습니다.

도입 절차의 전체 흐름은 공공기관 SaaS 도입 절차 에서, PIPA 의 세부 운영자 의무는 PIPA 체크리스트 8가지 에서 함께 확인하시기 바랍니다.

참고 자료


관련 글

관련 글