FDA·식약처 규제 강화로 업계 '비상'…시험비용만 최대 수억원

'사이버보안이 의료기기 업계의 새로운 게임체인저로 떠올랐습니다.'

수원 광교에 위치한 액트 사무실에서 만난 김동율 대표는 '사이버보안'의 중요성을 강조하며, 국내 의료기기 업계가 사이버보안 대응에 총력전을 펼쳐야 할 때라고 말했다.

그에 따르면 미국 식품의약국(FDA)과 식품의약품안전처는 최근 잇따라 사이버보안 시험·검사 요구사항을 강화하고 있다.

'단순 서류 검토는 끝났다'…실질적 침투시험 의무화

FDA를 비롯한 선진국들은 최근 의료기기 사이버보안을 단순한 문서 관리 수준에서 벗어나 실전형 보안 검증 단계를 요구하고 있다.

실제로 FDA는 올 5월부터 의료기기를 포함한 전기·전자 제품에 대해 모의해킹, 퍼징테스트, 취약점 분석 등 정량적 검증을 의무화했다.

국내에서도 식약처가 35개 항목에 대한 보안 점검을 규정하며 시험성적서 제출을 공식 요구하는 단계에 접어들었다.

김동율 대표는 '과거 위험관리 시뮬레이션 수준에서 벗어나 실제 해킹 공격을 가정한 침투시험과 대응체계 구축이 필수가 됐다'고 말했다.

시험비용 수 억원…'중소기업엔 부담'

문제는 비용이다. 사이버보안 시험·검사는 고도의 전문성을 요구하기 때문에 그에 따른 막대한 자금이 투입된다. 1건당 시험비용이 최소 1억원에서 최대 수 억원까지 소요된다.

시간도 문제다. 소프트웨어 요소분석(SBOM)에서 부터 정적·동적 분석, 침투 테스트까지 진행하는 데 평균 3~4개월이 걸린다. 그러나 이런 수요를 감당할 수 있는 기관의 수도 제한되어 있다.

한 의료기기 업체 임원은 '매출 수십억원 규모의 중소기업에게는 시험비용만으로도 큰 부담'이라고 말하기도 했다.

컨설팅 결합한 '토털 솔루션' 주목

그렇다면 시간과 비용을 줄이기 위한 최선의 선택은 무엇일까. 단순 시험·검사 서비스를 넘어 컨설팅까지 가능한 기관과의 협력이라고 김 대표는 말한다.

시험검사를 의뢰하면서 위험 인자 식별부터 보안 설계, 재검증까지 이어지는 디버깅 과정을 컨설팅 형태로 지원하는 것이다.

일부 시험·검사 기관들은 이미 전자파, 전기안전과 함께 사이버보안 전담센터를 운영하며 FDA 컨설팅까지 병행하고 있다.

액트는 거기에서 한발 더 나아가 가정용 의료기기의 사용환경, 통신망 보안, 제품 내 소프트웨어 취약점 분석까지 원스톱으로 제공할 수 있는 서비스를 구축해 제공할 준비를 마쳤다.

'메디칼 경험 있는 파트너 선택도 중요'

또 업계에서는 단순 보안 인증기관이 아닌 메디칼 환경에 대한 경험과 글로벌 규제 지식을 갖춘 파트너 선택이 관건이라고 입을 모은다.

한 업계 전문가는 '의료기기는 병원 내 네트워크 환경, 환자 개인정보 보호, 의료진 운용방식 등을 모두 고려해야 하는 복합적 영역'이라며 '단순 IT 컨설팅사로는 한계가 있다'고 강조했다.

'사이버보안'은 선택이 아닌 생존의 문제

김동율 대표는 '사이버보안이 이제 선택 사항이 아닌 생존 문제'라고 진단한다.

메디칼 분야 경험을 축적한 전문기관과의 파트너십을 통해 시험·검사와 컨설팅을 아우르는 체계적 대응시스템을 갖춰야만 글로벌 시장에서 지속가능한 경쟁력을 확보할 수 있다는 뜻이다.

김동율 대표는 '사이버보안은 더 이상 IT 부서만의 문제가 아니라 경영진이 직접 챙겨야 할 핵심 과제가 됐다'며 '체계적 투자와 전문 파트너십 구축만이 K의료기기의 글로벌 경쟁력을 유지할 수 있는 길'이라고 덧붙였다.

출처 : 메디칼디바이스(https://www.medtech.co.kr)