의료기기 사이버 보안

의료기기 사이버보안의 중요성 

다음과 같은 이유에서 사이버보안은 의료기기 및 관련 부속품의 개발에 있어서 여러 가지 규제, 윤리, 및 비즈니스 측면에서 철저히 고려되어야 합니다.

• 미국, 유럽연합, 중국, 호주 및 영국 등 주요 의료기기 시장에 진출하려면, 각 국의 규제 구사항을 준수해야 합니다. 그 중, 유럽 의료기기 규정(MDR)은 “일반적 안전 및 성능 요구사항(GSPR)”에 따라 이 규정의 Annex I 에 몇 가지 사이버보안 요건을 정의하고 있습니다. 한편 미국 식품의약국(FDA)은 “의료기기 사이버보안의 시판 후 관리”와 같은 사이버보안 요구사항 충족 방법에 대한 지침을 제공합니다. 

• 의료기기에 대한 무단 접근은 환자의 안전을 위협하는 심각한 결과를 초래할 수 있습니다. 사이버보안 위험성이 해결되지 않으면 의료기기 오작동 혹은 치료 지연으로 인해 환자에게 부상 또는 사망과 같은 위험을 초래할 수 있습니다. 
• 연결 기반 의료기기는 의료기기의 개발에 있어서 새로운 기회를 제공합니다. 하지만 국제적 데이터 보호 규정 면에서 개인 정보 보호와 관련된 문제가 생길 수 있습니다. 이러한 기기는 유럽(GDPR), 미국(예: CFR 164.312) 또는 영국(DPA18)의 법률 및 규정에 따라  보호가 필요한 민감한 의료 정보를 저장하고 전송하고 있습니다.
•  데이터 침해가 발생하면 값비싼 경계 활동 및 대응책이 발생됩니다. 부정적 평판은 신뢰를 손상시키며 수백만 달러의 벌금을 초래할 수 있습니다. 

규제기관 지침

전 세계적으로 규제기관의 의료기기 사이버보안 인식이 높아지고 있습니다. 예를 들어 미국 FDA, 유럽 위원회(European Commission) 및 캐나다 보건부(Health Canada)는 사이버보안 규정을 준수하는 방법에 대한 지침을 발표했습니다. 해당 지침은 의료기기의 수명 주기 동안 취약성 검사, 침투 시험 혹은 다른 보안 시험이 필요함을 보여줍니다. 의료기기 사이버보안은 설계단계에서부터 시작되며 프로세스는 다음과 같습니다. 

• 안전한 개발 수명주기 프로세스
• 보안 위험 관리 프로세스
• “보안 이식” 및 “보안 위험 완화 조치” 검증 및 확인 시험 
• 보안 사후 관리  프로세스

침투 시험, 취약성 검사, 퍼즈 테스트(Fuzz testing), 보안 기능 시험 및 소스 코드 검토를 통해 검증 작업이 수행됩니다. 발견된 문제점을 자세하게 파악하기 위한 추가 시험이 수행될 수 있습니다. 

최신 개발 정보는 '자주 묻는 질문' 에서 확인하세요

TÜV SÜD의 의료기기 사이버보안 시험 평가 서비스 

750명 이상의 보건 및 의료기기 시험 전문가로 구성된 TÜV SÜD 시험소는 폭넓은 의료기기 사이버보안 시험 및 평가 서비스를 제공합니다. TÜV SÜD 보안 시험은 의료기기 침투 시험에 있어 최고의 역량과 전문성을 보장하는 IEC/TR 60601-4-5 표준에 따라 수행됩니다. 관련 TÜV SÜD 서비스는 다음과 같습니다.