의료 환경의 첨단화가 불러온 사이버 위협...보건의료 데이터 보호 부상
[보안뉴스= 조명광 을지행정사사무소 대표 행정사] AI, 빅데이터, 정보통신 등의 과학기술의 발전으로 인해 최근 의료 환경은 많이 달려지고 있다. 비대면 의료 진료도 일부 시행되고 있으며, 코로나19 당시에는 비대면 처방 프로그램이 많이 발전되었다. 이렇듯 최근 의료 환경은 비대면, 의료 소프트웨어 등과 같이 전통적인 의료 환경이 아닌 수많은 의료기기, 의료용 소프트웨어가 의료인과 환자 사이에 존재해 의료의 질을 높이고 있다.
▲의료기기 제조품질관리체계의 위험관리 프로세스[자료: 조명광 대표 행정사]
1. 의료기기, 헬스케어 보건의료 데이터의 사이버보안
특히 ‘보건의료 데이터’에 대한 중요도가 높아지고 있다. 보건의료 데이터란 의료 시 발생되는 각종 의료적·임상적 데이터를 말한다. 환자의 질병 정보, CT 이미지, 처방 내역, 심전도 데이터 등 각종 의료 데이터가 포함된다. 이러한 보건의료 데이터를 활용하려는 움직임이 정부는 물론 기업에서도 많이 나타나고 있다. 의료기기, 헬스케어 기업에서는 자신들의 제품을 이용해 보건의료 데이터를 수집하거나 유·무선 통신을 통해 데이터를 전달하고 있다.
다만, 이전부터 보건의료 데이터를 해킹하려는 사례가 많이 있었으며, 행정기관(식품의약품안전처, 보건복지부 등)과 의료기관뿐만이 아닌 보건의료 데이터를 활용하는 의료기기와 헬스케어 업체를 대상으로 한 해킹 시도는 많이 발생하고 있다.
이러한 사이버보안, 개인정보보호를 위해 정부(식품의약품안전처)에서는 유·무선 통신기능을 사용하는 의료기기 제품의 경우 사이버보안 규제 사항을 확인하고 있다.
2. 의료기기 사이버보안 규제 현황
의료기기 사이버보안 규제는 현재 국내외에서 진행되고 있는 규제이다. 현재 한국 식품의약품안전처는 사이버보안 규제에 발 빠르게 대응하고 있으며, 의료기기 사이버보안 심사를 위해 지속적인 의료기기 사이버보안 규제 개정을 하고 있다. 또한 식품의약품안전처 외 한국인터넷진흥원과 함께 의료기기 사이버보안 규제에 대한 논의와 한국인터넷진흥원의 IoT 보안인증서의 효력을 인정하고 있다.
국제규격으로는 IEC 62443-4-2, IEC TR 60601-4-5, IEC 81001-5-1을 참고해 의료기기 사이버보안 규제 요구사항을 적용하고 있다.
3. 의료기기 사이버보안 규제 심사 적용
의료기기 사이버보안 규제에 해당하는 제품은 의료기기법, 체외진단의료기기법, 디지털의료제품법에 따른 의료기기로 유·무선 통신(Wi-Fi, 블루투스, USB, RS-232, LAN 등) 경로가 있는 의료기기를 말한다.
의료기기 사이버보안은 크게 가용성(Availability), 기밀성(Confidentiality), 무결성(Integrity)을 고려해야 한다. 가용성이란 데이터가 승인된 사용자에게 즉시 제공돼야 하며, 필요한 때에 필요한 곳에서 필요한 형태로 존재해야 함을 의미한다. 기밀성이란 데이터가 허가되지 않은 사람에게 공개되거나, 허가되지 않은 용도로 사용되지 않아야 함을 의미한다. 무결성이란 데이터가 허가되지 않은 방법으로 변환되거나 파괴되지 않아야 함을 나타낸다. 정보는 정확하고 완전해야 하며, 위·변조를 통해 왜곡되지 않도록 해야 한다.
의료기기 사이버보안 규제는 가용성(Availability), 기밀성(Confidentiality), 무결성(Integrity) 여부를 확인하는 과정이다. 이러한 의료기기 사이버보안 규제 심사 시 근거자료로는 사이버보안 체크리스트, 위험관리문서, 사용 설명서, 설계문서 등이 있다.
특히, 의료기기 사이버보안 위험관리는 무척 중요하다. 초기 의료기기 제품 기획 시부터 사이버보안에 대한 위험관리가 시작돼야 하며, 의료기기 사이버보안의 위험관리 프로세스는 위험분석(Risk analysis), 위험평가(Risk evaluation), 위험통제(Risk control), 잔여위험 허용평가(Evaluation of overall residual risk acceptability), 위험관리 보고서(Risk management report), 생산 및 생산 후 정보(Production and post- production information)의 단계로 진행된다. 이러한 사이버보안 위험관리는 정보의 생명주기 전체에 걸쳐 통신 경로가 있는 의료기기에 적용한다.
4. 디지털의료·건강지원기기의 사이버보안 규제
현재 의료기기에 대한 사이버보안 규제의 적용범위는 다음과 같다.
△적용 범위
- ‘의료기기법’에 따른 의료기기
- ‘체외진단의료기기법’에 따른 체외진단의료기기
- ‘디지털의료제품법’에 따른 디지털의료기기 및 디지털의료기기가 조합된 디지털융합의약품
아직까지 헬스케어 제품에 대한 사이버보안 규제는 없다. 이전까지는 헬스케어 제품은 의료기기 또는 공산품의 규제를 받아왔지만, 디지털의료제품법 제정 이후에는 디지털의료·건강지원기기로 헬스케어 제품을 규제하고 있다.
‘디지털의료·건강지원기기’란 디지털의료기기에 해당하지 아니하나 의료의 지원 또는 건강의 유지·향상을 목적으로 생체신호를 모니터링·측정·수집 및 분석하거나, 생활습관을 기록·분석해 식이·운동 등 건강관리 정보를 제공하는 목적으로 사용되는 디지털 기술이 적용된 기구·기계·장치·소프트웨어 또는 이와 유사한 제품으로서, 식품의약품안전처장이 지정하는 제품을 말한다.
아직 디지털의료제품법의 디지털의료·건강지원기기 제품에는 해당하지 않는다. 하지만 디지털의료·건강지원기기 제품도 다양한 보건의료 데이터와 개인정보가 사용될 것임으로 디지털의료·건강지원기기에 대한 사이버보안에 대한 규제는 필요할 것으로 보인다. 다만 디지털의료·건강지원기기 제품에 의료기기 규제만큼 규제하기에는 어려울 것으로 보인다.
그 이유로는 첫째, 디지털의료·건강지원기기 규제 자체가 신고제도로 운영된다. 둘째, 디지털의료·건강지원기기는 원래는 의료기기가 아닌 공산품 규제 수준으로 관리되고 있었다. 셋째, 디지털의료·건강지원기기 규제가 의료기기 규제 수준으로 관리된다면, 디지털의료·건강지원기기업체들의 어려움과 디지털의료·건강지원기기 시장 축소라는 단점이 발생함으로 현재 디지털의료·건강지원기기 규제제도를 고심 중인 식품의약품안전처의 향후 행보가 주목된다.
[글_ 조명광 을지행정사사무소 대표 행정사]
[보안뉴스= 조명광 을지행정사사무소 대표 행정사] AI, 빅데이터, 정보통신 등의 과학기술의 발전으로 인해 최근 의료 환경은 많이 달려지고 있다. 비대면 의료 진료도 일부 시행되고 있으며, 코로나19 당시에는 비대면 처방 프로그램이 많이 발전되었다. 이렇듯 최근 의료 환경은 비대면, 의료 소프트웨어 등과 같이 전통적인 의료 환경이 아닌 수많은 의료기기, 의료용 소프트웨어가 의료인과 환자 사이에 존재해 의료의 질을 높이고 있다.
▲의료기기 제조품질관리체계의 위험관리 프로세스[자료: 조명광 대표 행정사]
1. 의료기기, 헬스케어 보건의료 데이터의 사이버보안
특히 ‘보건의료 데이터’에 대한 중요도가 높아지고 있다. 보건의료 데이터란 의료 시 발생되는 각종 의료적·임상적 데이터를 말한다. 환자의 질병 정보, CT 이미지, 처방 내역, 심전도 데이터 등 각종 의료 데이터가 포함된다. 이러한 보건의료 데이터를 활용하려는 움직임이 정부는 물론 기업에서도 많이 나타나고 있다. 의료기기, 헬스케어 기업에서는 자신들의 제품을 이용해 보건의료 데이터를 수집하거나 유·무선 통신을 통해 데이터를 전달하고 있다.
다만, 이전부터 보건의료 데이터를 해킹하려는 사례가 많이 있었으며, 행정기관(식품의약품안전처, 보건복지부 등)과 의료기관뿐만이 아닌 보건의료 데이터를 활용하는 의료기기와 헬스케어 업체를 대상으로 한 해킹 시도는 많이 발생하고 있다.
이러한 사이버보안, 개인정보보호를 위해 정부(식품의약품안전처)에서는 유·무선 통신기능을 사용하는 의료기기 제품의 경우 사이버보안 규제 사항을 확인하고 있다.
2. 의료기기 사이버보안 규제 현황
의료기기 사이버보안 규제는 현재 국내외에서 진행되고 있는 규제이다. 현재 한국 식품의약품안전처는 사이버보안 규제에 발 빠르게 대응하고 있으며, 의료기기 사이버보안 심사를 위해 지속적인 의료기기 사이버보안 규제 개정을 하고 있다. 또한 식품의약품안전처 외 한국인터넷진흥원과 함께 의료기기 사이버보안 규제에 대한 논의와 한국인터넷진흥원의 IoT 보안인증서의 효력을 인정하고 있다.
국제규격으로는 IEC 62443-4-2, IEC TR 60601-4-5, IEC 81001-5-1을 참고해 의료기기 사이버보안 규제 요구사항을 적용하고 있다.
3. 의료기기 사이버보안 규제 심사 적용
의료기기 사이버보안 규제에 해당하는 제품은 의료기기법, 체외진단의료기기법, 디지털의료제품법에 따른 의료기기로 유·무선 통신(Wi-Fi, 블루투스, USB, RS-232, LAN 등) 경로가 있는 의료기기를 말한다.
의료기기 사이버보안은 크게 가용성(Availability), 기밀성(Confidentiality), 무결성(Integrity)을 고려해야 한다. 가용성이란 데이터가 승인된 사용자에게 즉시 제공돼야 하며, 필요한 때에 필요한 곳에서 필요한 형태로 존재해야 함을 의미한다. 기밀성이란 데이터가 허가되지 않은 사람에게 공개되거나, 허가되지 않은 용도로 사용되지 않아야 함을 의미한다. 무결성이란 데이터가 허가되지 않은 방법으로 변환되거나 파괴되지 않아야 함을 나타낸다. 정보는 정확하고 완전해야 하며, 위·변조를 통해 왜곡되지 않도록 해야 한다.
의료기기 사이버보안 규제는 가용성(Availability), 기밀성(Confidentiality), 무결성(Integrity) 여부를 확인하는 과정이다. 이러한 의료기기 사이버보안 규제 심사 시 근거자료로는 사이버보안 체크리스트, 위험관리문서, 사용 설명서, 설계문서 등이 있다.
특히, 의료기기 사이버보안 위험관리는 무척 중요하다. 초기 의료기기 제품 기획 시부터 사이버보안에 대한 위험관리가 시작돼야 하며, 의료기기 사이버보안의 위험관리 프로세스는 위험분석(Risk analysis), 위험평가(Risk evaluation), 위험통제(Risk control), 잔여위험 허용평가(Evaluation of overall residual risk acceptability), 위험관리 보고서(Risk management report), 생산 및 생산 후 정보(Production and post- production information)의 단계로 진행된다. 이러한 사이버보안 위험관리는 정보의 생명주기 전체에 걸쳐 통신 경로가 있는 의료기기에 적용한다.
4. 디지털의료·건강지원기기의 사이버보안 규제
현재 의료기기에 대한 사이버보안 규제의 적용범위는 다음과 같다.
△적용 범위
- ‘의료기기법’에 따른 의료기기
- ‘체외진단의료기기법’에 따른 체외진단의료기기
- ‘디지털의료제품법’에 따른 디지털의료기기 및 디지털의료기기가 조합된 디지털융합의약품
아직까지 헬스케어 제품에 대한 사이버보안 규제는 없다. 이전까지는 헬스케어 제품은 의료기기 또는 공산품의 규제를 받아왔지만, 디지털의료제품법 제정 이후에는 디지털의료·건강지원기기로 헬스케어 제품을 규제하고 있다.
‘디지털의료·건강지원기기’란 디지털의료기기에 해당하지 아니하나 의료의 지원 또는 건강의 유지·향상을 목적으로 생체신호를 모니터링·측정·수집 및 분석하거나, 생활습관을 기록·분석해 식이·운동 등 건강관리 정보를 제공하는 목적으로 사용되는 디지털 기술이 적용된 기구·기계·장치·소프트웨어 또는 이와 유사한 제품으로서, 식품의약품안전처장이 지정하는 제품을 말한다.
아직 디지털의료제품법의 디지털의료·건강지원기기 제품에는 해당하지 않는다. 하지만 디지털의료·건강지원기기 제품도 다양한 보건의료 데이터와 개인정보가 사용될 것임으로 디지털의료·건강지원기기에 대한 사이버보안에 대한 규제는 필요할 것으로 보인다. 다만 디지털의료·건강지원기기 제품에 의료기기 규제만큼 규제하기에는 어려울 것으로 보인다.
그 이유로는 첫째, 디지털의료·건강지원기기 규제 자체가 신고제도로 운영된다. 둘째, 디지털의료·건강지원기기는 원래는 의료기기가 아닌 공산품 규제 수준으로 관리되고 있었다. 셋째, 디지털의료·건강지원기기 규제가 의료기기 규제 수준으로 관리된다면, 디지털의료·건강지원기기업체들의 어려움과 디지털의료·건강지원기기 시장 축소라는 단점이 발생함으로 현재 디지털의료·건강지원기기 규제제도를 고심 중인 식품의약품안전처의 향후 행보가 주목된다.
[글_ 조명광 을지행정사사무소 대표 행정사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
