의료기기 사이버보안 가이드라인에서 제시한 체크리스트 및 제출자료 분석
의료기기의 보안을 강화하는 것, 사람의 건강과 생명을 유지하는 일이 되다
[보안뉴스 박은주 기자] 의료기기의 보안이 담보돼야 사람이 안전할 수 있는 세상이다. 의료기기 시장이 성장하자 사이버 공격자들은 의료기기를 타깃으로 삼고 있다. 외신 보도에 따르면 2020년 9월 독일 뒤셀도르프 대학병원에서 랜섬웨어 감염으로 병원 시스템이 마비되는 사건이 있었다. 환자들의 치료가 불가능한 상황에 이르자 인근 병원으로 환자를 이송했다. 이송 과정 중 위중했던 환자가 사망하는 사건이 발생했다. 해당 사건은 의료기기 타깃 사이버 공격으로 인한 첫 사망 사건으로 기록됐다. 이렇듯 의료기기의 보안위협은 사람의 건강뿐만 아니라 생명까지 위협할 수 있다.
[이미지=보안뉴스]
이러한 상황에서 식품의약품안전처(이하 식약처)에서는 의료기기 사이버보안 가이드라인을 제정해 의료기기의 사이버보안 사항을 설명하고, 이를 바탕으로 보안을 강화할 수 있도록 하고 있다. 이에 <보안뉴스>는 의료기기 사이버보안 가이드라인 ①편에서 의료기기의 사이버보안을 위해서 요구되는 특성과 보안사항을 소개했다. ②편에서는 의료기기의 사이버보안 허가와 심사를 받기 위해 필요한 보안 체크리스트와 각종 첨부 서류에 대해 살펴봤다.
▲의료기기 사이버보안 요구사항 체크리스트 예시[자료=식약처]
의료기기 사이버보안 체크리스트
체크리스트에는 의료기기 사이버보안 요구사항을 짚어볼 수 있는 항목들이 설명돼 있다. 항목은 △보안통신 △데이터 보호 △기기 무결성 △사용자 인증 △소프트웨어 유지·보수 △물리적 접근 △신뢰성 및 가용성 총 7가지로 구성된다. 의료기기에 보안 요구사항이 적용돼 있는지 체크리스트를 작성하며 확인할 수 있다. 또한, 적합성을 입증하는 방법과 첨부자료, 문서번호를 기재하게 돼있다.
단, 신청 제품의 특성상 보안 요구사항이 추가되는 내용을 추가 기재할 수 있다. 반대로 보안 요구사항이 제외되는 경우 보안의 적합성을 입증하는 ‘적합성 입증 방법’을 기재하면 된다. 예를 들어, 소프트웨어 의료기기(SaDD)의 경우 하드웨어로만 구현할 수 있는 보안 요구사항은 제외할 수 있다. 소프트웨어로 보안위협에 대해 통제할 수 있는 경우 요구사항을 추가 기재하게 된다.
사이버보안 요구사항 검증 자료: 성능시험성적서, 사이버보안 위험관리문서. 소프트웨어 검증 및 유효성 확인자료
성능시험성적서는 의료기기가 가이드라인의 보안 요구사항에 적합한 성능을 가졌는지 시험 결과를 통해 확인하기 위한 서류다. 또한, 사이버보안 위험관리문서를 작성하기 위해서는 우선 의료기기 전 생명주기에 사이버보안과 관련된 위험요인을 파악하고 위험관리 활동을 기록해야 한다. 발생할 수 있는 외부의 위협을 최소화하고 차단하는 결과를 확인하기 위해서다. 이때, 의료기기의 사이버위협에 대한 식별과 위험 분석 및 위험의 경감조치 결과를 함께 작성해야 한다. 더불어 의료기기의 특성상 보안 요구사항이 적용되지 않았을 경우 사이버보안 침해로 인해 환자에게 위험이 되지 않는 수준임을 확인하는 자료를 제출하기도 한다.
소프트웨어 검증 및 유효성 확인 자료는 의료기기의 위험을 관리하는 과정에서 식별된 위험 요인을 통제할 수 있는지를 밝히는 검증 결과다. 사이버보안 요구사항에 대한 시험 및 검증 절차와 시험 결과 내용을 담는다. 또한, 시험검증 도중에 소프트웨어 변경이 발생한 변수의 상황에서 재시험을 진행, 그 결과를 포함해야 한다.
▲의료기기 사이버보안 가이드라인 심사 사례. 심사 대상인 의료기기의 사이버보안 요구사항 여부와 적합성 및 해당되는 첨부자료와 문서번호, 적합성 입증 방법이 적혀 있다[자료=식약처]
이처럼 의료기기 사이버보안을 유지하기 위한 요구사항과 체크리스트, 심사·허가 과정의 과정이 의료기기 사이버보안 가이드라인을 통해 정리돼 있다.
한편, 식약처는 2019년 11월 의료기기의 사이버보안 자료 제출이 의무화되면서 사이버보안 가이드라인을 제작했다. 이후 2020년 사이버보안 전담 심사를 위한 기획팀(TF)을 운영하고, 2021년 2월부터 의료기기의 사이버보안에 대한 이해도를 높이기 위해 간헐적으로 의료기기 사이버보안 업무 설명회를 개최했다. 2022년에는 빠르게 변화하는 의료기기산업 환경과 사이버위협에 발맞춰 의료기기 사이버보안 허가·심사과정을 개정했다. 같은 해 디지털 헬스케어 의료기기와 통신기술을 이용한 의료기기 개발이 활성화되자 ‘디지털헬스규제지원과’를 신설해 보안사고를 예방하기 위한 정책을 마련하고 있다.
그러나 끊임없이 의료기기를 대상으로 한 사이버 공격이 이어지고 의료기기 소프트웨어의 취약점이 발견되고 있다. 의료기기 보안업체 Cynerio가 발간한 ‘State Of Healthcare IoT Device Security 2022’ 보고서에서 미국 병원 300여 곳에서 사용하는 1,000만 대 이상의 의료기기를 조사한 결과, 2021년 의료기관에 총 500건 넘는 사이버 공격이 감행됐다. 이로 인해 210억 달러(약 28조 770억원)의 손해를 입은 것으로 드러났다.
이렇듯 피해가 이어지자, 디지털헬스규제지원과에서는 디지털 헬스케어 기기를 서비스 구성요소별로 구별하고, △사용자 인증 △암호화 △데이터 보호 △접근 통제 △소프트웨어 보안 △보안기능 관점에서 보안위협 및 대책을 제시했다.
사람의 건강을 유지하고 생명을 지키기 위해 만들어진 의료기기의 보안이 위협받고 있다. 이는 사람의 건강과 생명이 위협받고 있다는 의미와 같다. 의료기기의 보안을 강화하는 것이 사람의 건강과 생명을 유지하는 일이 되고 있는 셈이다.
[박은주 기자(boan5@boannews.com)]
의료기기의 보안을 강화하는 것, 사람의 건강과 생명을 유지하는 일이 되다
[보안뉴스 박은주 기자] 의료기기의 보안이 담보돼야 사람이 안전할 수 있는 세상이다. 의료기기 시장이 성장하자 사이버 공격자들은 의료기기를 타깃으로 삼고 있다. 외신 보도에 따르면 2020년 9월 독일 뒤셀도르프 대학병원에서 랜섬웨어 감염으로 병원 시스템이 마비되는 사건이 있었다. 환자들의 치료가 불가능한 상황에 이르자 인근 병원으로 환자를 이송했다. 이송 과정 중 위중했던 환자가 사망하는 사건이 발생했다. 해당 사건은 의료기기 타깃 사이버 공격으로 인한 첫 사망 사건으로 기록됐다. 이렇듯 의료기기의 보안위협은 사람의 건강뿐만 아니라 생명까지 위협할 수 있다.
[이미지=보안뉴스]
이러한 상황에서 식품의약품안전처(이하 식약처)에서는 의료기기 사이버보안 가이드라인을 제정해 의료기기의 사이버보안 사항을 설명하고, 이를 바탕으로 보안을 강화할 수 있도록 하고 있다. 이에 <보안뉴스>는 의료기기 사이버보안 가이드라인 ①편에서 의료기기의 사이버보안을 위해서 요구되는 특성과 보안사항을 소개했다. ②편에서는 의료기기의 사이버보안 허가와 심사를 받기 위해 필요한 보안 체크리스트와 각종 첨부 서류에 대해 살펴봤다.
▲의료기기 사이버보안 요구사항 체크리스트 예시[자료=식약처]
의료기기 사이버보안 체크리스트
체크리스트에는 의료기기 사이버보안 요구사항을 짚어볼 수 있는 항목들이 설명돼 있다. 항목은 △보안통신 △데이터 보호 △기기 무결성 △사용자 인증 △소프트웨어 유지·보수 △물리적 접근 △신뢰성 및 가용성 총 7가지로 구성된다. 의료기기에 보안 요구사항이 적용돼 있는지 체크리스트를 작성하며 확인할 수 있다. 또한, 적합성을 입증하는 방법과 첨부자료, 문서번호를 기재하게 돼있다.
단, 신청 제품의 특성상 보안 요구사항이 추가되는 내용을 추가 기재할 수 있다. 반대로 보안 요구사항이 제외되는 경우 보안의 적합성을 입증하는 ‘적합성 입증 방법’을 기재하면 된다. 예를 들어, 소프트웨어 의료기기(SaDD)의 경우 하드웨어로만 구현할 수 있는 보안 요구사항은 제외할 수 있다. 소프트웨어로 보안위협에 대해 통제할 수 있는 경우 요구사항을 추가 기재하게 된다.
사이버보안 요구사항 검증 자료: 성능시험성적서, 사이버보안 위험관리문서. 소프트웨어 검증 및 유효성 확인자료
성능시험성적서는 의료기기가 가이드라인의 보안 요구사항에 적합한 성능을 가졌는지 시험 결과를 통해 확인하기 위한 서류다. 또한, 사이버보안 위험관리문서를 작성하기 위해서는 우선 의료기기 전 생명주기에 사이버보안과 관련된 위험요인을 파악하고 위험관리 활동을 기록해야 한다. 발생할 수 있는 외부의 위협을 최소화하고 차단하는 결과를 확인하기 위해서다. 이때, 의료기기의 사이버위협에 대한 식별과 위험 분석 및 위험의 경감조치 결과를 함께 작성해야 한다. 더불어 의료기기의 특성상 보안 요구사항이 적용되지 않았을 경우 사이버보안 침해로 인해 환자에게 위험이 되지 않는 수준임을 확인하는 자료를 제출하기도 한다.
소프트웨어 검증 및 유효성 확인 자료는 의료기기의 위험을 관리하는 과정에서 식별된 위험 요인을 통제할 수 있는지를 밝히는 검증 결과다. 사이버보안 요구사항에 대한 시험 및 검증 절차와 시험 결과 내용을 담는다. 또한, 시험검증 도중에 소프트웨어 변경이 발생한 변수의 상황에서 재시험을 진행, 그 결과를 포함해야 한다.
▲의료기기 사이버보안 가이드라인 심사 사례. 심사 대상인 의료기기의 사이버보안 요구사항 여부와 적합성 및 해당되는 첨부자료와 문서번호, 적합성 입증 방법이 적혀 있다[자료=식약처]
이처럼 의료기기 사이버보안을 유지하기 위한 요구사항과 체크리스트, 심사·허가 과정의 과정이 의료기기 사이버보안 가이드라인을 통해 정리돼 있다.
한편, 식약처는 2019년 11월 의료기기의 사이버보안 자료 제출이 의무화되면서 사이버보안 가이드라인을 제작했다. 이후 2020년 사이버보안 전담 심사를 위한 기획팀(TF)을 운영하고, 2021년 2월부터 의료기기의 사이버보안에 대한 이해도를 높이기 위해 간헐적으로 의료기기 사이버보안 업무 설명회를 개최했다. 2022년에는 빠르게 변화하는 의료기기산업 환경과 사이버위협에 발맞춰 의료기기 사이버보안 허가·심사과정을 개정했다. 같은 해 디지털 헬스케어 의료기기와 통신기술을 이용한 의료기기 개발이 활성화되자 ‘디지털헬스규제지원과’를 신설해 보안사고를 예방하기 위한 정책을 마련하고 있다.
그러나 끊임없이 의료기기를 대상으로 한 사이버 공격이 이어지고 의료기기 소프트웨어의 취약점이 발견되고 있다. 의료기기 보안업체 Cynerio가 발간한 ‘State Of Healthcare IoT Device Security 2022’ 보고서에서 미국 병원 300여 곳에서 사용하는 1,000만 대 이상의 의료기기를 조사한 결과, 2021년 의료기관에 총 500건 넘는 사이버 공격이 감행됐다. 이로 인해 210억 달러(약 28조 770억원)의 손해를 입은 것으로 드러났다.
이렇듯 피해가 이어지자, 디지털헬스규제지원과에서는 디지털 헬스케어 기기를 서비스 구성요소별로 구별하고, △사용자 인증 △암호화 △데이터 보호 △접근 통제 △소프트웨어 보안 △보안기능 관점에서 보안위협 및 대책을 제시했다.
사람의 건강을 유지하고 생명을 지키기 위해 만들어진 의료기기의 보안이 위협받고 있다. 이는 사람의 건강과 생명이 위협받고 있다는 의미와 같다. 의료기기의 보안을 강화하는 것이 사람의 건강과 생명을 유지하는 일이 되고 있는 셈이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
