의료기기 사이버 보안

FDA, EU, NMPA 및 기타 주요 규제 기관은 의료기기의 수명주기 전반에 걸쳐 사이버보안이 중요함을 강조하고 있습니다. 사이버보안 검증 및 확인은 주로 보안취약성 점검, 퍼즈 시험(fuzz testing), 침투 시험과 같은 시험을 통해 이루어집니다. 다음은 의료기기 사이버보안에 관해 자주 묻는 질문에 대한 답변입니다.

1. 보안취약성 점검, 퍼즈 시험, 침투 시험을 통해 발견된 사항이 없으면 해당 의료기기는 안전하다고 볼 수 있습니까?

아닙니다. 점검 및 시험 결과 발견된 사항이 없다고 해서 해당 의료기기의 보안성에 문제가 없는 것은 아닙니다. 새롭게 부상하는 보안취약성 및 공격 벡터로 인해 소프트웨어의 보안 상태가 빠르게 변할 수 있습니다.  

 

2. 보안취약성 점검을 수행하는 것이 법적 요구사항입니까?

보안취약성 점검을 요구하는 법은 없습니다. 그러나 의료기기 사이버보안에 관한 시판 전 제출 내용에 대한 FDA 지침, 유럽 MDCG 2019-16 지침, IEC 81001-5-1 표준과 같이 보안 관련 지침에서는 보안취약성 점검이 반드시 고려되어야 한다고 명시하고 있습니다. 즉, 보안취약성 점검을 실행하지 않는다면 이에 대한 명확한 근거가 있어야 합니다. 침투 시험도 이와 동일합니다. 

 

3. 소프트웨어 변경 때마다 보안취약성 점검 및 침투 시험을 반복해야 하나요?

변경 사항에 대한 보안 관련 시험뿐 만 아니라 변경사항이 의료기기의 사이버보안에 부정적인 영향을 미치지 않음을 보여주는 회귀 테스트(regression test)를 반드시 고려해야 합니다. 대부분의 경우 보안취약성 점검 또는 침투 시험이 적어도 부분적으로는 반복해서 진행되어야 합니다.

 

4. 보안취약성 점검 및 침투 시험을 직접 수행할 수 있습니까?

그렇습니다. 적절한 역량을 갖추고 있다면 보안취약성 점검 및 침투 시험을 독자적으로 수행 가능합니다. 제 3자를 통해 시험을 받으면 의료기기 장비에 대해 보다 객관성을 가질 수 있습니다.

 

5. 제3자 사이버보안 평가의 이점

제3자 평가에 있어 가장 중요한 포인트는 제3자 기관의 중립성입니다. 어떤 기관을 선택하느냐에 따라서 폭넓은 지식을 갖춘 기관으로부터 혜택을 얻을 수도 있습니다. 사이버보안 테스트의 경우 제3자가 관련 지식과 전문성을 갖추었는지가 중요하며 IEC 60601-4-5와 같은 의료기기 표준에 대한 인정을 받은 곳이 좋습니다. 공인 시험소의 시험을 거친 제품은 위험에 기반하여 시험 범주의 합의를 확보할 뿐 아니라 업계에 보다 높은 수준의 안정성을 제공합니다. 

 

6. TÜV SÜD 의료기기 사이버보안 서비스

사이버보안 교육

TÜV SÜD는 의료기기 사이버보안에 대한 인식 및 이해를 돕기 위한 교육을 제공합니다. 이 교육을 통해 규제 프레임워크 요구사항을 이해할 수 있습니다. 

TÜV SÜD는 다음과 같은 국제 표준에 따라 의료기기 사이버보안 구현을 위한 교육도 제공합니다.

• MDCG 2019-16과 같은 유럽 요구사항
• 미국 FDA 요구사항
  • 식품 의약국 품질경영시스템 규정(FDA QSR)
  • 시판 전 사이버보안 관리(Pre-Market Management of Cybersecurity)
  • 시판 후 사이버보안 관리(Post-Market Management of Cybersecurity)
  • 네트워크화된 의료기기 사이버보안(Cybersecurity for networked medical devices)
• 중국 국가 식품약품 감독관리총국(Chinese NMPA)
• 일본, 싱가포르, 브라질, 대한민국 등 현지 프레임워크 맞춤형 교육
• IEC TR 60601-4-5 의료기기 사이버보안(IEC TR 60601-4-5 Medical device Cybersecurity)
• ISO 14971:2019 의료기기 위험관리(ISO 14971:2019 Medical device Risk Management)
• ISO 62443-3-2 산업 자동화를 위한 보안(ISO 62443-3-2 Security for industrial automation)

 

개념 평가

개념 평가에서는 국제 및 합의(harmonized) 표준, 최신 사이버보안 기술 및 규제 요구사항에 따라 사이버보안 GAP을 식별하는 것을 목표로 합니다.

• IEC TR 60601-4-5 의료기기 사이버보안(Medical device Cybersecurity)
• IEC 81001-5-1 보안-제품 수명주기 활동(Security - Activities in the product life cycle)
• ISO 62443-3-2 산업 자동화 보안(Security for industrial automation)
• MDCG 2019-16 의료기기 사이버보안(Medical device cybersecurity)
• 시판 전 사이버보안 관리(Pre-Market Management of Cybersecurity)
• 시판 후 사이버보안 관리(Post-Market Management of Cybersecurity)
• 네트워크화된 의료기기 사이버보안(Cybersecurity for networked medical devices)

 

보안취약성 점검/평가 및 Static (Assessment and Static)/동적 프로그램 분석 (Dynamic Code Analysis)

보안취약성 점검의 목적은 컴퓨터, 네트워크 또는 애플리케이션(프로그램)의 취약점을 식별하고 탐지하는 것입니다. 제조업체는 심각한 취약성을 식별하여 수정 활동을 수행하는 것을 목표로 하며 이러한 접근방식을 통해 취약성 격차를 좁히고 의료기기의 강력한 보안을 유지할 수 있습니다.  관련 서비스는 다음과 같습니다.

• 취약성 검사 (예: 네트워크 스캐닝, 웹 애플리케이션 스캐닝, 펌웨어/소프트웨어 스캐닝) 및 취약점 평가 보고서에서 발견한 취약성 등급 설정
• 취약점 등급이 포함된 전용 시험 시험서 및 정적 및 동적 코드 분석

 

침투 및 퍼즈 시험

침투 시험의 궁극적 목적은 사이버 공격을 시뮬레이션하여 의료기기/소프트웨어의 보안 상태를 평가하고, 메뉴얼 시험(Manual test)에서 발견되지 않은 취약점을 식별하는 것입니다. 시험 성적서는 의료기기의 사이버보안 효과에 대한 객관적인 증거로 사용될 수 있습니다. (의료기기의 안전성에 대한 객관적인 증거로 사용되는 60601-1 성적서와 유사). 관련 TÜV SÜD 서비스는 다음과 같습니다. 

• 모든 주요 프레임워크(예: OSSTM, PTES, NIST 800-115, ISSAF 및 OWSAP)의 모범 사례에 따른 침투 시험
• DAkkS 인정 하에 IEC/TR 60601-4-5에 따라 의료기기 사이버보안 침투 및 퍼즈(Fuzz) 시험이 수행되며 의료기기의 기본 안전성과 필수 성능이 고려됩니다.
• 표준에 명시되지 않은 추가 시험에 대한 요구사항 파악
• 제품별 시험 방법 개발
• 공급자별 보안 솔루션 평가

모든 보건 및 의료기기 관련 서비스 알아보기