의료기기 & 체외진단용 의료기기(IVD) 사이버보안 시험(침투 시험)

보안 시험의 당면 과제

미국, EU, 중국, 호주 및 영국과 같은 주요 지역의 의료기기 및 체외진단용 의료기기(IVD) 시장에 접근하려면 사이버보안 규제 요구 사항을 준수해야 합니다. 지역과 별개로 규제 기관에서는 의료기기 및 IVD의 사이버보안에 대한 인식이 높아지고 있으며, 이에 따라 규제 기관에서는 의료기기 또는 IVD의 전체 수명 주기 동안 취약성 검사, 침투 시험 또는 기타 보안 시험의 필요성을 포함하여 사이버보안 규정을 충족하는 방법에 대한 지침을 발표했습니다.

따라서 의료기기 또는 IVD 보안은 디자인 단계에서 시작되어야 하며 다음을 포함해야 합니다: 

• 안전한 개발 수명 주기 프로세스와 심층 방어(in-depth defense) 전략
• 보안 위험 관리 프로세스
• 보안 조치를 확인하고 검증하기 위한 시험
• 보안 시판 후 프로세스
  

보안 시험은 이러한 확인 및 검증 작업을 수행하는 기본 수단입니다. 여기에는 취약성 검색, 소스 코드 검토, 퍼지 시험 및 의료기기 침투 시험이 포함됩니다. 문제가 있는 부품을 식별하기 위해 추가 시험을 수행할 수도 있습니다.

의료기기의 보안 시험을 성공적으로 수행하려면 의료기기의 의료적 용도를 완전히 이해하고 고려하는 것이 중요합니다. 이는 종종 보안 요구 사항이 의료기기 및 IVD의 임상 성능과 충돌할 수 있어 매우 중요합니다. 예를 들어, 충격 제공에 대한 이중 인증 기능을 갖춘 제세동기는 의료기기의 임상 성능과 유용성을 저하시킬 수 있습니다. 따라서 의료기기 및 IVD에 대한 보안 시험을 성공적으로 수행하려면 깊은 사이버보안 지식과 의학적 이해가 모두 필요합니다.

왜 의료기기 및 IVD의 보안 시험이 중요한가?

디지털 혁신의 성장으로 네트워크 의료기기 및 IVD의 공격 범위가 넓어졌으며, 이에 따라 사이버보안의 중요성이 높아졌습니다. 따라서 의료기기 제조업체는 IEC 81001-5-1 및 IEC TR 60601-4-5와 같은 최신 기술 및 관련 표준을 고려하는 것이 필수적입니다.

보안 시험이 계속해서 발전하고 있다는 것은 중요합니다. 의료기기가 특정 시점의 보안 시험 대상이었던 취약점과 관련하여서는 안전할 수 있으나, 새로 등장하는 보안 취약점이나 새로운 공격 벡터로 인해 이는 빠르게 바뀔 수 있습니다. 마찬가지로, 소프트웨어 업데이트 후에는 취약점 검색이나 침투 시험을 최소 부분적으로 반복해야 합니다. 변경에 따른 보안 시험 및 변경 사항이 의료기기의 사이버보안에 부정적인 영향을 미치지 않았음을 보여주는 회귀 시험(regression test)도 중요합니다.

TÜV SÜD의 서비스

TÜV SÜD의 의료기기 및 IVD 보안 시험 서비스에는 다음이 포함됩니다:.

• 취약점 스캔 - 컴퓨터, 네트워크 또는 애플리케이션의 알려진 취약점을 식별합니다. 취약점이 식별된 후 기관은 교정 활동을 수행할 수 있습니다.
• 정적/동적 코드 분석 - 약점과 취약점을 식별하며 서로를 보완합니다. 정적 코드 분석은 코딩 규칙 지침에 따라 소스 코드를 면밀히 조사하는 반면, 동적 코드 분석은 알려진 입력 및/또는 악의적인 입력 집합에 의해 잠재적으로 악용될 수 있는 취약점이 있는지 실행 중인 프로그램을 테스트합니다.
• 의료기기 침투 시험 - 실제 해커 공격을 시뮬레이션하여 취약점을 식별함으로써 제조업체가 의료기기의 사이버 공격 탄력성을 향상시킬 수 있습니다.
• 퍼징(Fuzzing) - 잘못된 형식의 데이터를 입력하여 소프트웨어의 버그와 견고성을 식별합니다.

서비스의 장점

취약점 스캔을 통해 의료기기 또는 IVD의 알려진 취약점을 이해하고 이를 완화하기 위한 조치를 취할 수 있습니다. 사이버보안 격차를 줄이는 사전 예방적 접근 방식을 구현함으로써 의료기기 규정, 체외 진단용 의료기기 규정, MDCG 2019-16 및 FDA의 사이버보안 지침 문서에서 요구하는 대로 의료기기 및 IVD의 보안을 유지할 수 있습니다.

정적/동적 코드 분석을 통해 의료기기 제조업체는 초기 개발 단계에서 자동화된 피드백 루프를 생성하여 보안 코딩 지원을 구현할 수 있습니다. 약점을 신속하게 감지하고 해결하면 이후 제품 개발 단계에서 변경 가능성이 줄어들고 비용이 최소화됩니다.

퍼징은 해커가 악용할 수 있는 많은 취약점을 다루며 의료기기 또는 IVD가 이러한 예상치 못한 입력을 처리할 수 있는지 확인하고 사람의 눈으로 놓칠 수 있는 심각한 결함과 취약점을 식별합니다. 이는 제조업체가 소프트웨어 취약점을 식별하기 위해 해커의 기본적인 기술을 고려했음을 보장합니다.

의료기기 침투 시험은 의료기기 또는 IVD에서 이전에 알려지지 않은 취약점을 식별합니다. 시험 보고서는 의료기기 제조업체에게 사이버보안 위험 완화 조치의 효과에 대한 독립적인 증거를 제공합니다. 이는 인증 기관 및 규제 기관에 제공되는 기술문서의 일부일 수 있습니다.

TÜV SÜD의 강점

   TÜV SÜD는 의료기기 및 IVD 사이버보안 분야에서 20년 이상의 경험을 보유하고 있습니다. 750명 이상의 의료 및 의료기기 시험 전문가로 구성된 글로벌 팀을 가진 TÜV SÜD의 시험소는 의료기기 및 IVD의 사이버보안을 시험하고 평가하기 위한 포괄적인 서비스를 제공합니다. 우리는 전기 안전 시험, 소프트웨어 평가, 생체 적합성 및 EMC 서비스를 포함하여 의료기기 및 IVD 제조업체를 위한 원스톱 솔루션을 제공합니다.

IT 보안 및 데이터 보호 전문가로서 ISO/IEC 17025 및 IEC TR 60601-4-5에 따라 인증을 받아 보안 시험을 수행합니다. 또한 TÜV SÜD의 사이버보안 전문가 팀은 사이버보안 침해 및 해킹 기술에 대한 최신 정보를 가지고 의료기기 제조업체가 미래를 대비할 수 있도록 지원합니다.

문의하기 당사의 전문가가 48시간 내 답변드립니다.