의료기기 사이버 보안 - 자주 묻는 질문 TOP 5

의료기기 사이버 보안을 위해 미국, 유럽, 캐나다는 의료기기 개발 시 보안취약성 점검(vulnerability scan) 및 침투 시험(penetration testing)을 고려해야 한다고 지적했습니다. 다음은 의료기기 사이버보안에 관해 자주 묻는 5가지 질문입니다.

1. 보안취약성 점검 및 침투 시험을 통해 발견된 사항이 없으면 해당 의료기기는 안전하다고 볼 수 있습니까?

아닙니다. 점검 및 시험 결과 발견된 사항이 없다고 해서 해당 의료기기의 보안성에 문제가 없다고 볼 수 없습니다. 사이버 보안이란 시험 뿐만 아니라 잘 구축된 개발 프로세스에 기반한다는 것을 기억해 주시기 바랍니다.

2. 보안취약성 점검을 수행하는 것이 법적 요구사항입니까?

보안취약성 점검을 요구하는 법은 없습니다. 그러나 대부분의 지침 문서 및 표준에서는 보안취약성 점검을 고려할 것을 명시하고 있습니다. 즉, 하지 않기로 결정을 하신다면 이에 대한 근거가 있어야 할 것입니다. 침투 시험도 이와 동일합니다.

3. 소프트웨어 변경 때마다 보안취약성 점검 및 침투 시험을 반복적으로 해야하나요?

변경 사항에 대한 보안 관련 시험 뿐만 아니라 변경사항이 의료기기의 사이버보안에 부정적인 영향을 미치지 않음을 나타내는 회귀 테스트(regression test)를 반드시 고려해야 합니다. 대부분의 경우 취약성 점검 또는 침투 시험이 적어도 부분적으로는 반복해서 진행되어야 합니다.

4. 스스로 보안취약성 점검 및 침투 시험을 수행할 수 있습니까?

그렇습니다. 이러한 시험은 독자적으로 수행 가능하지만 조직 내에 적절한 역량을 갖추고 있어야 합니다. 제 3자를 통해 시험을 받으면 의료기기 장비에 대해 보다 객관성을 가질 수 있습니다.

5. 왜 사이버 보안 평가 시 제 3자 서비스를 이용해야 합니까?

제 3자를 통해 보다 객관적이고 중립적인 평가를 할 수 있습니다. 평가 기관에 따라 그들이 보유한 폭넓은 지식으로부터 혜택을 받을 수 있습니다.