의료: FDA 의료기기 사이버보안 가이드라인 분석

링크: FDA 사이버보안 가이드라인

1. 개요: 왜 FDA는 사이버보안을 강화하는가?

의료기기 사이버보안은 더 이상 선택이 아닌 법적 의무가 되었습니다. FDA는 환자의 안전을 위협하는 사이버 공격의 급증에 대응하여, 이제 모든 '사이버 기기' 제조사에게 제품의 설계부터 폐기까지 전 과정에 걸쳐 강력한 보안 체계를 구축하고 이를 입증할 것을 법적으로 강제합니다.

이러한 요구사항은 더 이상 권고 사항이 아닌, 연방식품의약품화장품법(FD&C Act) 제524B조에 명시된 법적 의무입니다.

적용 대상: '사이버 기기(Cyber Device)'란?

FDA의 가이드라인은 '사이버 기기'에 적용되며, 그 정의는 매우 광범위합니다. 다음 세 가지 기준을 충족하는 기기는 모두 '사이버 기기'로 간주됩니다.

• 소프트웨어를 포함하거나 탑재하고 있는 기기
• 인터넷 연결 기능이 있는 기기 (의도적, 비의도적 연결 모두 포함)
• 사이버보안 위협에 취약할 수 있는 기술적 특성을 가진 기기

이는 USB 포트나 직렬 인터페이스를 통해 간접적으로라도 외부 시스템과 연결될 수 있는 대부분의 현대 의료기기가 규제 대상에 포함됨을 의미합니다.

2. 핵심 원칙: 설계 기반 보안 (Security by Design)

FDA가 가장 강조하는 원칙은 '설계 기반 보안'입니다. 이는 사이버보안이 제품 개발의 마지막 단계에서 추가되는 기능이 아니라, 설계 초기 단계부터 제품의 핵심 요소로 통합되어야 함을 의미합니다.

이를 체계적으로 이행하기 위한 프레임워크가 바로 SPDF(Secure Product Development Framework)입니다.

SPDF (보안 제품 개발 프레임워크)

SPDF는 제조사의 품질경영시스템(QMS)에 의무적으로 통합되어야 하는 구체적인 프로세스로, 의료기기의 전체 수명주기에 걸쳐 사이버보안 위협을 체계적으로 관리하고 문서화하기 위한 프레임워크입니다. 제조사는 자사의 품질경영시스템(QMS) 내에 SPDF를 통합하여 운영해야 하며, 이는 다음 활동들을 포함해야 합니다.

• 보안 위험 관리 (Security Risk Management): 잠재적 위협을 식별하고 평가하며, 위험 완화 조치를 계획하고 실행합니다.
• 보안 아키텍처 (Security Architecture): 위협 모델링을 통해 시스템의 취약점을 분석하고, 방어 체계를 설계합니다.
• 사이버보안 테스트 (Cybersecurity Testing): 설계된 보안 기능이 의도대로 작동하는지 검증하기 위해 침투 테스트, 퍼징(fuzzing) 테스트, 코드 분석 등 다양한 테스트를 수행합니다.

제조사는 IEC 81001-5-1이나 AAMI SW96:2023과 같은 국제 표준을 SPDF 구축의 기반으로 활용하여 FDA의 기대치를 충족시킬 수 있습니다. 또한, FDA는 SPDF를 통해 기기가 최소한 다음 5가지 핵심 보안 목표를 달성하도록 요구합니다.

1. 인증(Authenticity)
2. 권한 부여(Authorization)
3. 가용성(Availability)
4. 기밀성(Confidentiality)
5. 보안 업데이트 가능성(Secure Updatability)

3. 시판 전 허가(Premarket Submission) 요구사항

'사이버 기기'에 대한 시판 전 허가 신청 시, 제조사는 다음과 같은 사이버보안 관련 문서를 반드시 제출해야 합니다.

A. 보안 위험 관리 계획 및 보고서

• 위협 모델링(Threat Modeling): 발생 가능한 모든 사이버 위협 시나리오를 분석하고, 각 위협에 대한 위험 평가 및 완화 전략을 상세히 기술한 보고서를 제출해야 합니다.
• 위험 관리 요약: 전체 제품 수명주기에 걸친 사이버보안 위험 관리 계획과 그 실행 결과를 요약하여 제출합니다.

B. 소프트웨어 자재 명세서 (SBOM, Software Bill of Materials)

SBOM 제출은 이제 법적 의무사항입니다. SBOM에는 각 소프트웨어 구성 요소의 이름, 버전, 라이선스 정보, 공급업체뿐만 아니라, 알려진 취약점(Vulnerability) 정보까지 포함되어야 합니다. 이는 신규 취약점이 발견되었을 때 제조사와 사용자가 신속하게 영향을 받는 제품을 식별하고 대응하는 데 필수적입니다.

C. 구조적 설계 및 테스트 문서

• 보안 아키텍처 다이어그램: 데이터 흐름, 신뢰 경계(Trust Boundaries), 주요 보안 통제 지점 등을 명시한 아키텍처 문서를 제출해야 합니다.
• 테스트 보고서: 제3자 또는 자체적으로 수행한 침투 테스트, 취약점 스캔 등 모든 보안 테스트의 상세 결과와 발견된 취약점에 대한 조치 내용을 포함한 보고서를 제출해야 합니다.

D. 라벨링: 사용자 보안 지침

의료기기 사용 설명서(라벨링)에는 사용자인 병원 및 의료 전문가가 기기를 안전하게 운영하고 관리하는 데 필요한 정보를 명확하게 제공해야 합니다.

• 보안 기능 목록 및 설정 방법
• 안전한 네트워크 구성 가이드
• 보안 업데이트 및 패치 절차
• 보안 이벤트 탐지 및 대응 지침

4. 시판 후 관리 의무 (Postmarket Management)

FDA 승인은 사이버보안 관리의 끝이 아닙니다. 제조사는 제품이 시장에 출시된 이후에도 다음과 같은 의무를 지속적으로 이행해야 합니다.

• 취약점 모니터링 및 해결 계획: 새로운 사이버보안 취약점 및 위협을 지속적으로 모니터링하고, 식별된 문제에 대해 합리적인 시간 내에(이는 FDA가 의도적으로 명확한 기한을 설정하지 않은 것으로, 제조사가 자체 위험 평가에 기반하여 취약점의 심각도에 따라 대응 시간을 정의하고 그 근거를 문서화해야 함을 의미합니다) 해결(예: 패치 제공)할 수 있는 계획과 절차를 갖추어야 합니다.
• 조정된 취약점 공개 (Coordinated Vulnerability Disclosure, CVD): 보안 연구원이나 사용자가 제품의 취약점을 발견했을 때, 이를 제조사에 안전하게 알리고 협력하여 해결책을 개발 및 공개하는 공식적인 절차(CVD Policy)를 수립하고 공개해야 합니다.

5. 결론: 제조사를 위한 시사점

FDA의 강화된 사이버보안 가이드라인은 의료기기 제조사에게 더 많은 책임과 노력을 요구합니다. 성공적인 시장 진입과 지속적인 규제 준수를 위해 제조사는 다음 사항에 집중해야 합니다.

• 품질 경영의 핵심으로 통합: 사이버보안을 별개의 IT 과제가 아닌, 환자 안전과 직결된 품질경영시스템의 핵심 요소로 완전히 통합하고 관리해야 합니다.
• 프로세스 내재화: SPDF를 QMS에 완전히 통합하여, 개발 초기부터 출시 후 관리까지 모든 단계에서 사이버보안을 체계적으로 고려하는 프로세스를 구축해야 합니다.
• 투명성 확보: SBOM과 상세한 보안 문서를 통해 규제 기관 및 사용자에게 제품의 보안 현황을 투명하게 공개할 준비를 해야 합니다.
• 지속적인 사후 관리: 제품 출시 이후에도 위협 환경의 변화에 기민하게 대응할 수 있는 모니터링 및 업데이트 체계를 마련해야 합니다.

FDA의 새로운 규제 환경에 대한 선제적 대응은 단순한 의무 이행을 넘어, 환자의 안전을 확보하고 시장의 신뢰를 얻음으로써 강력한 경쟁 우위를 확보하는 핵심 전략이 될 것입니다.