한국·미국·유럽 등 주요국, 디지털 의료기기 사이버 위협 대응 본격화

국내는 체크리스트 중심, 미국은 품질시스템 통합 강조… 접근법 달라

미국과 유럽, 한국 등 선진국을 중심으로 디지털 의료기기에 대한 사이버보안 규제가 본격 강화되고 있다. 

전자적 침해 위협이 증가하면서 각국 규제당국이 의료기기 제조·수입업체에 보다 엄격한 보안 기준을 요구하고 나선 것이다.

2일 양재 엘타워에서 열린 '의료기기 사이버보안 국내외 요구사항 및 대응방안' 세미나에서 하승록 액트 이사는 사이버보안을 주제로 발표를 진행하며 최근 국제적인 사이버보안 흐름과 국내 제도 도입 현황을 비교 분석했다.

하 이사는 특히 한국 식품의약품안전처 지침과 미국 식품의약국(FDA) 가이드라인을 중심으로 의료기기 기업들이 준비해야 할 주요 사항들을 구체적으로 설명했다.

한국, 체크리스트 형태로 35개 항목 제시

국내 식약처는 2023년 10월 디지털 의료기기 전자적 침해행위 방어조치 지침을 제정하며 규제를 명확히 했다. 한국은 체크리스트 형태의 요구사항을 제시하고, 제3자 검증 절차 등을 통해 심사 기준을 높이고 있다.

특히 보안 활동에 대한 문서화를 필수적으로 요구하고 있으며, 점검 항목도 시스템 보안, 물리적 보안, 제품 보안, 통신 보안, 권한 및 접근 통제 등 5개 장으로 세분화해 제시하고 있다. 

사용자별 권한 분리, 보안 통신, 암호화, 안전한 비밀번호 설정 등이 핵심 요구사항이다.

미국, 법률 근거한 강력한 구속력

미국은 2023년 6월 가이드라인을 개정했으며, 이는 별도의 연방 법률(FD&C Act 524B)에 근거해 강한 구속력을 갖는다. 

미국 규제의 특징은 체크리스트 형태가 아닌 품질 시스템 통합(Quality System Integration), 위험 관리(Risk Management), 제3자 시험(Third-Party Testing) 등과의 연계성을 강조한다는 점이다.

소프트웨어 부품 명세서(SBOM) 제출, 보안 제3자 시험 및 검증, 보안 취약점 관리, 제품 라이프사이클 전체 보안 통합 등이 주요 요구사항으로, 설계부터 폐기까지 전 단계에 걸친 보안 구현을 의무화하고 있다.

하 이사는 '미국은 이미 오래전부터 사이버보안 관련 문제가 제기돼 면밀한 검토를 거쳐 제도가 만들어졌다'며 '사이버 보안은 침해가 있을 수 있다는 전제에서 시작해 얼마나 빠르게 인지하고 대응할 수 있는가에 초점이 맞춰져 있다'고 설명했다.

유럽도 뒤늦게 합류… 정적·동적 분석 요구

유럽연합도 늦었지만 제품의 안전 및 성능 요구사항에 사이버보안을 포함해 관련 준비를 하도록 하고 있다. 

기본적인 정적분석, 동적분석에 대한 자료 제출을 요구하며, 인증 및 권한 부여, 통신 암호화, 데이터 무결성 검증, 지속적인 모니터링, 안전한 파일 처리 등을 주요 방어조치로 제시하고 있다.

하승록 이사는 '사이버보안에 대한 관심은 전 세계적으로 증가하고 있고, 이에 따라 나무로 만든 의료기기가 아닌 일반적인 전자 의료기기는 대부분 해당될 수밖에 없다'며 '설계 및 개발 초기 단계부터 품질 시스템의 일부로 보안을 내재화하고, 발생할 수밖에 없는 취약점을 자동으로 검증하는 절차를 도입할 필요가 있다'고 강조했다.

출처 : 메디칼디바이스(https://www.medtech.co.kr)