NODELOGBETA
구독하기
/보안/2026 CSAP 간편등급 준비 체크리스트 — 공공 SaaS 실전 가이드
보안CSAPCSAP간편등급

2026 CSAP 간편등급 준비 체크리스트 — 공공 SaaS 실전 가이드

공공기관 납품 SaaS를 위한 2026 CSAP 간편등급 준비 가이드. 표준·간편등급 차이, 신청 절차와 비용, 자주 탈락하는 통제 항목과 산출물까지 복붙 가능한 체크리스트로 정리했습니다.

COContent Reviewer2026년 6월 16일6분 읽기0 조회
2026 CSAP 간편등급 준비 체크리스트 — 공공 SaaS 실전 가이드

2026 CSAP 간편등급 준비 체크리스트 — SaaS 사업자 실전 가이드

"공공기관에 SaaS 납품하려는데, CSAP가 없으면 입찰 자체가 안 된다"는 이야기를 듣고 이 글을 찾아오셨다면 제대로 오셨습니다. 디지털플랫폼정부 기조로 공공 SaaS 도입이 빠르게 늘면서, CSAP(클라우드 보안인증)는 이제 "있으면 좋은 것"이 아니라 "없으면 시작도 못 하는 것"이 됐습니다.

문제는 처음 준비하는 보안·인프라 담당자가 가장 먼저 막히는 지점이 의외로 단순하다는 데 있습니다. "우리 서비스는 표준등급이야 간편등급이야?" 여기서부터 헷갈리면 견적도, 일정도, 산출물 준비도 전부 어긋납니다. 이 글은 그 첫 단추부터 신청 절차·비용, 자주 탈락하는 통제 항목, 복붙해서 바로 쓰는 산출물 목록까지 한 번에 정리합니다.

⚠️ 면책 안내: 평가 항목 수·세부 비용·소요 기간은 KISA 및 평가기관(인증기관)의 최신 고시와 견적에 따라 달라집니다. 아래 수치는 실무 준비를 위한 개략 가이드이며, 반드시 KISA CSAP 공식 안내와 평가기관 상담으로 최종 확인하세요.

표준등급 vs 간편등급: 우리 서비스는 어디에 해당하나

2026년 현재 CSAP는 처리하는 정보의 중요도에 따라 등급제(하/중/상)로 운영되며, SaaS 사업자에게 실무적으로 가장 중요한 구분은 "비중요 정보 → 간편등급(하 등급 트랙)", **"중요 정보 → 표준등급"**입니다. 대부분의 협업툴·일정관리·CRM 같은 일반 업무용 SaaS는 간편등급 대상에 해당합니다.

구분간편등급표준등급
적용 대상비중요 정보 처리 SaaS중요 정보(주민번호·민감정보 등) 처리 시스템
평가 항목 수상대적으로 적음(간소화)항목 수 많음(전체 통제)
현장평가원칙적으로 서면 중심(간소화)서면 + 현장평가
멀티테넌시 격리논리적 분리 허용 폭 넓음더 엄격한 분리 요건
적합한 서비스일반 업무용 SaaS, 비중요 협업툴행정정보·개인정보 대량 처리 서비스
준비 부담

판단 팁: 우리 서비스가 처리하는 정보가 "유출돼도 국민/행정에 미치는 영향이 제한적인가?"를 먼저 따져 보세요. 그렇다면 간편등급 트랙으로 준비하되, 발주처(수요기관)가 요구하는 등급을 사전에 반드시 확인해야 합니다. 기관이 '중' 등급을 요구하는데 '하'로 준비하면 입찰에서 무용지물입니다.

신청 절차·소요 기간·비용 로드맵

신청부터 인증서 발급까지는 짧게는 4개월, 보완이 길어지면 6개월 이상도 걸립니다. 일정을 거꾸로 계산해 입찰 시점에서 최소 6개월 전에는 착수하는 것을 권합니다.

단계주체누적 예상 기간비용 개략(견적 의존)
1. 신청·사전상담사업자 → 평가기관~0.5개월상담 단계
2. 계약사업자·평가기관~1개월평가 수수료 계약 체결
3. 평가 준비(산출물 작성)사업자~2개월내부 인건비/컨설팅 비용
4. 서면·(현장)평가평가기관~3.5개월평가 수수료에 포함
5. 보완 조치사업자~4.5개월보완 작업 비용
6. 인증위원회 심의KISA/인증기관~5개월
7. 인증서 발급인증기관56개월

비용은 시스템 규모·평가 범위에 따라 수천만 원대까지 편차가 큽니다. 정확한 금액은 평가기관 견적이 유일한 기준입니다.

자주 걸리는 통제 체크리스트 (복붙용)

사내 점검은 이 표를 그대로 복사해 시작하세요. 처음 준비할 때 가장 많이 지적받는 통제만 추렸습니다.

통제 영역충족 기준증빙체크
계정·권한 분리업무별 최소권한, 공용계정 미사용, 권한 부여/회수 절차 운영접근권한 관리대장, 승인 이력
관리자 접근 통제관리자 콘솔 MFA 적용, 접근 IP 제한, 작업 로깅MFA 설정 화면, 접근통제 정책
전송구간 암호화모든 외부 통신 TLS 1.2 이상 강제SSL 설정, 스캔 결과
저장 데이터 암호화DB·스토리지 저장 시 암호화 적용암호화 설정, 적용 대상 목록
키 관리암호키 분리 보관, 주기적 교체, 접근 통제키관리 정책, KMS 설정
로그 보관기간법정·기준 보관기간 충족(통상 1년 이상), 위변조 방지로그관리 대장, 보존 정책
물리·논리적 분리공공 영역 분리, 멀티테넌시 테넌트 격리시스템 구성도, 격리 설계서
백업·복구정기 백업, 복구 절차 및 복구 테스트 수행백업 정책, 복구 테스트 기록
보안패치 관리OS·미들웨어 패치 주기 정의 및 이행패치 관리대장, 변경 기록

사전 준비 산출물 목록

평가는 결국 "문서로 증명"하는 과정입니다. 운영은 잘 하는데 문서가 없어 보완으로 밀리는 경우가 가장 흔합니다. 아래 산출물을 미리 채워 두세요.

산출물명용도준비 난이도
정보보호정책·지침통제 운영의 근거 문서
시스템 구성도인프라·네트워크·분리 구조 증빙
자산목록하드웨어·소프트웨어·데이터 식별
접근권한 관리대장계정·권한 부여/회수 이력
암호화 정책전송·저장·키 관리 기준 명시
로그관리 대장보관기간·대상·점검 주기
변경관리 기록패치·구성 변경 이력 추적
위탁(CSP) 관련 증빙사용 중인 IaaS의 CSAP 인증 확인서·계약서

흔한 탈락·보완 사유 — 미리 피하세요

실무에서 반복적으로 나오는 보완 사유입니다. 착수 전에 먼저 확인하면 한 라운드를 통째로 아낄 수 있습니다.

  • 로그 보관기간 미달: "운영 편의상 30일만 보관" 같은 설정이 가장 흔한 지적. 기준 보관기간을 충족하도록 사전 설정.
  • 관리자 MFA 미적용: 서비스 사용자에는 MFA를 걸어 두고 정작 관리자 콘솔은 ID/PW만 쓰는 경우. 반드시 관리자 계정 MFA 적용.
  • IaaS CSAP 인증 미확인: SaaS가 올라탄 클라우드 인프라(IaaS) 자체가 CSAP 인증을 받았는지 확인하지 않은 사례. SaaS 인증은 인증받은 IaaS 위에서만 의미가 있습니다. CSP 인증 범위를 반드시 확인하세요.
  • 물리적 분리 요건 오해: 간편등급도 표준등급 수준의 물리 분리가 필요하다고 과하게 해석하거나, 반대로 논리 격리 설계를 증빙 없이 주장하는 경우. 등급별 요건을 정확히 매핑.
  • 정책문서와 실제 운영 불일치: 문서에는 "분기별 패치"라 써 두고 실제 패치 이력이 없으면 즉시 보완. 문서는 운영을 반영해야 하고, 운영은 문서대로 이뤄져야 합니다.

현장에서 느낀 한 가지

여러 첫 CSAP 준비 사례를 보면, 기술 통제보다 "문서-운영 일치"에서 시간을 가장 많이 까먹습니다. TLS, 암호화, MFA는 설정 한두 번이면 끝나지만, 정책문서에 적은 주기와 실제 운영 로그가 어긋나면 보완 라운드가 반복되며 한두 달이 사라집니다. 그래서 저는 산출물부터 만들지 말고, 현재 운영 상태를 먼저 정직하게 기록한 뒤 그에 맞춰 정책 문구를 정렬하라고 권합니다. 이상적인 정책을 먼저 쓰면 반드시 운영이 못 따라옵니다.

결론: 준비 우선순위 3단계

  1. 등급 확정: 수요기관 요구 등급 + 처리 정보 중요도로 간편/표준을 먼저 확정한다.
  2. 인프라 전제 확인: 올라탈 IaaS의 CSAP 인증 범위를 검증하고, MFA·로그 보관·암호화 등 빈출 탈락 항목부터 설정한다.
  3. 문서-운영 정렬: 산출물 8종을 실제 운영 기준으로 작성하고, 정책과 실제 이력의 불일치를 제거한다.

이 3단계를 마치면 평가기관 상담에 들어갈 준비가 된 것입니다. 위 표들을 사내 위키에 복붙해 담당자별로 체크박스를 나눠 채워 보세요.

자주 묻는 질문 (FAQ)

Q. 우리는 비중요 SaaS인데 무조건 간편등급으로 가도 되나요? A. 처리 정보 기준으로는 간편등급 대상이라도, 납품할 공공기관이 요구하는 등급이 우선입니다. 입찰 공고나 사전 협의에서 요구 등급을 먼저 확인하세요.

Q. IaaS(클라우드 인프라)도 따로 CSAP를 받아야 하나요? A. SaaS 사업자가 IaaS까지 인증받을 필요는 없지만, 반드시 CSAP 인증을 받은 IaaS 위에서 서비스해야 합니다. 사용 중인 CSP의 인증 범위·확인서를 증빙으로 확보하세요.

Q. 준비 기간과 비용은 정확히 얼마인가요? A. 통상 신청부터 발급까지 4~6개월, 비용은 규모에 따라 편차가 큽니다. 정확한 항목 수·수수료·기간은 KISA CSAP 공식 안내와 평가기관 견적으로 확정하는 것이 유일하게 정확한 방법입니다.

#CSAP#CSAP간편등급#클라우드보안인증#공공SaaS#보안인증체크리스트
✦ ✦ ✦
편집 검토 · Editorial Review

이 글은 AI 에이전트가 1차 초안을 작성한 뒤, 사람 편집자가 사실관계·출처·톤과 맥락을 검토하여 발행했습니다. 오류나 부정확한 내용이 확인되면 24시간 이내에 정정합니다.

작성 · Content Reviewer·검토 · 사람 편집자·발행 · 2026년 6월 16일
운영·검토 방식 자세히 보기 →편집 정책 →

댓글

불러오는 중...

관련 엔지니어 가이드전체 가이드 →
보안 설정

GPG 키 생성과 파일 암호화 실전

GPG 키 쌍을 생성하고, 파일을 암호화·복호화하며, 대칭키 암호화와 서명까지 실무에 적용하는 방법입니다.

GUIDE · 실전 레퍼런스
보안 설정

파일 권한 완전 가이드 — chmod · chown · ACL

chmod 숫자/기호 표기, chown 소유자 변경, umask 기본값 설정, setfacl/getfacl로 ACL 세밀한 권한 제어까지 실무 권한 관리를 정리합니다.

GUIDE · 실전 레퍼런스
보안 설정

SSH 설정·접근 제어 완전 가이드 — sshd_config 하드닝과 키 인증

sshd_config 하드닝, 키 기반 인증 전환, AllowGroups·Match 블록·MFA까지 SSH 접근을 제어하는 방법을 정리합니다. 무차별 대입 자동 차단(fail2ban)은 별도 가이드에서 다룹니다.

GUIDE · 실전 레퍼런스
같은 주제의 글
클라우드 보안 취약점 방지: IAM, Secrets, IaC를 코드로 막는 실전 DevSecOps 가이드
보안

클라우드 보안 취약점 방지: IAM, Secrets, IaC를 코드로 막는 실전 DevSecOps 가이드

클라우드 환경의 치명적 보안 취약점(IAM 오남용, Secrets 하드코딩 등)을 이론이 아닌 코딩 레벨에서 방어하는 실전 가이드입니다. 최소 권한 원칙(PoLP) 구현부터 IaC 기반의 정책 코딩(PaC)까지, 개발 프로세스에 보안을 내재화하는 방법을 제시합니다.

5분 읽기
Istio와 PeerAuthentication으로 K8s 서비스 간 mTLS 통신 강제화 완벽 가이드
보안

Istio와 PeerAuthentication으로 K8s 서비스 간 mTLS 통신 강제화 완벽 가이드

MSA 환경의 내부 통신(East-West) 보안 취약점을 Zero Trust 관점에서 분석합니다. 이 가이드는 Istio의 PeerAuthentication 리소스를 활용하여 모든 서비스 통신을 상호 인증 기반의 mTLS로 강제하는 단계별 실습 방법과 트러블슈팅 팁을 제공합니다.

5분 읽기
PSP 폐지 후 Pod Security Admission으로 특권 컨테이너 차단하기
보안

PSP 폐지 후 Pod Security Admission으로 특권 컨테이너 차단하기

PSP 제거 후 표준이 된 Pod Security Admission 설정법을 실전 위주로 정리합니다. namespace 라벨로 privileged·hostPath·root를 차단하고 violates PodSecurity 에러 해석과 restricted 통과 securityContext, 단계적 enforce 마이그레이션까지 복붙으로 안내합니다.

5분 읽기