2025년 6월, FDA는 「의료기기 사이버보안: 품질시스템(QS) 고려사항 및 시판 전 제출자료(Premarket Submissions) 포함 내용」의 최신 개정판을 발표하며, 의료기기 사이버보안 규제의 새로운 단계에 진입했음을 알렸습니다.
이번 개정은 기존 가이던스의 단순 수정에 그치지 않습니다. 점점 심각해지는 사이버보안 위협에 대응하여 의료기기 제품의 전 생애주기 전반에 걸친 관리 요구사항을 강화했으며, 사이버보안이 기기 안전성의 필수 구성요소임을 명확히 했습니다.
의료기기가 네트워크, 클라우드, 사물인터넷(IoT)과 점차 연결되면서 해킹 공격 위험이 크게 증가했습니다. 사이버보안 취약점은 기기의 정상 작동에 영향을 미칠 뿐 아니라 환자 안전에도 위협이 됩니다.
과거 랜섬웨어 사건(예: 2017년 WannaCry 공격)은 사이버보안 미흡이 의료기관 및 장비에 미치는 광범위한 영향을 입증했습니다. 사이버보안은 더 이상 단순한 IT 운영관리 문제가 아니라, 의료기기 안전 및 환자 안전과 직결되는 핵심 요인입니다.
FDA가 본 가이던스를 발표한 배경과 목적은 매우 명확합니다.
사이버공격 수단이 점점 고도화됨에 따라, 기존 컴플라이언스 프레임워크만으로는 새롭게 등장하는 사이버보안 과제를 모두 포괄하기 어렵습니다.
의료기기는 더 이상 단일 기기로 고립되어 있지 않고, 병원 네트워크, 환자 개인 기기, 클라우드 플랫폼 등 다수의 연결고리와 광범위하게 연동되면서 공격 표면(attack surface)이 크게 확대되었습니다.
글로벌 의료기기 규제·컴플라이언스 표준은 사이버보안 요구사항을 점진적으로 강화하고 있습니다. FDA의 이번 조치는 IMDRF의 관련 이니셔티브에도 부응하며, 글로벌 규제 기준의 정합화(조화)를 촉진합니다.
신규 가이던스는 사이버보안이 더 이상 부가적인 기술 요구사항이 아니라, 의료기기 설계 및 품질의 필수 요소임을 명확히 합니다. 이러한 관점은 제조사의 R&D 전략과 규제 대응(컴플라이언스) 경로에 중대한 영향을 미칩니다. 신청인(제조사)은 설계 단계에서부터 보안 보호조치를 고려·통합해야 하며, 물리적 측면뿐 아니라 소프트웨어, 펌웨어, 운영체제(OS) 보안 설계까지 포함해야 합니다.
이는 의료기기 사이버보안 요구사항이 기존의 전통적 물리적 안전 요구사항(예: 생체적합성, 기계적 강도 등)과 동등한 중요도를 갖는다는 점을 의미합니다. 즉, 사이버보안 취약점은 IT 담당자만의 문제가 아니라 의료기기의 핵심 기능과 직결되는 중대한 이슈입니다.
FDA가 제시한 TPLC(Total Product Life Cycle) 안전관리 요구사항은 제조사가 시판 전 시험에만 의존하지 않고, 네트워크 보안을 지속적으로 관리·업데이트할 것을 요구합니다.
초기부터 보안 모범사례(best practices)를 준수하고 SPDF를 구현하도록 보장해야 합니다.
생산 및 사용 과정에서 실시간 보안 탐지, 모니터링, 업데이트가 수행되어야 하며, 발견된 취약점은 신속히 수정되어야 합니다.
시판 후에는 지속 가능한 패치 업데이트 메커니즘을 유지하여, 알려진 취약점이 악용되는 것을 방지하고 기기의 장기적인 사이버보안을 보장해야 합니다.
이러한 생애주기 관리 접근은 제조사가 제품 개발 초기부터 보안 설계를 내재화하도록 요구하며, 사후적 임시조치로 문제를 해결하는 방식에 의존하지 못하게 합니다.
FDA 가이던스는 기기의 보안 관련 정보가 명확하고 투명해야 하며, 모든 사용자가 기기의 보안 기능과 각자의 책임을 이해할 수 있도록 해야 한다고 규정합니다.
제조사는 라벨에 잠재적 사이버보안 위험, 책임 배분, 위험을 최대한 최소화하기 위한 운영 방법을 공개해야 합니다.
의료기기 제조사는 펌웨어 업데이트, 취약점 수정, 타 시스템과의 호환성 시험 등 기기 보안에 대한 책임을 부담해야 합니다.
의료기관 및 최종 사용자는 기기가 적절한 환경에서 운영되고, 적정한 업데이트 및 관리가 수행되도록 하는 등 상응하는 책임을 부담해야 합니다. 이러한 투명한 책임 구분은 의료기기 생태계 전반의 안전성과 신뢰성을 제고합니다.
가이던스는 모든 의료기기 제조사가 SPDF를 채택하여 기기 보안 리스크를 관리할 것을 권고합니다. SPDF는 단순한 기술 프로세스가 아니라, 다음 요소를 포괄하는 전사적 관리체계입니다.
제품 생애주기 동안 직면할 수 있는 다양한 사이버보안 위협을 식별하고 잠재 리스크를 분석합니다.
암호화, 인증, 접근통제 등을 포함하여 알려진/알려지지 않은 네트워크 공격에 대한 저항성을 제품 설계에 반영합니다.
설계·개발 단계에서 철저한 보안 검증과 침투시험을 수행하여 보안 설계가 효과적으로 구현되는지 확인해야 합니다.
이 프레임워크의 적용은 시판 직전의 일회성 취약점 점검이 아니라, 개발 전 과정에서 사이버보안을 지속적으로 고려하도록 요구합니다.
SBOM은 이번 가이던스에서 처음으로 공식 도입되었으며, 시판 전 제출자료의 일부로 FDA에 제출해야 합니다.
SBOM의 목적은 기기의 소프트웨어 투명성을 제고하여, 제조사가 기기에 사용된 모든 소프트웨어 구성요소(제3자 오픈소스 구성요소 및 상용 소프트웨어 포함)에 대해 포괄적인 통제 및 관리 역량을 갖추도록 하는 데 있습니다.
SBOM은 취약점 발견 시 영향을 받는 구성요소를 신속히 특정하고, 보안 업데이트를 적시에 배포하는 데 도움이 됩니다.
가이던스에 따라 기기는 모든 소프트웨어 구성요소를 나열하고, 소프트웨어 공급업체의 지원 생애주기 등 상세한 공급망 정보를 제공해야 합니다.
SBOM 도입은 규제 준수 목적을 넘어, 글로벌 의료기기 산업의 소프트웨어 관리 수준을 향상시키고 산업 전반의 투명성과 추적가능성(traceability)을 촉진합니다.
가이던스는 인증, 권한부여, 암호화, 데이터 무결성, 이벤트 탐지 등 다수의 보안 통제조치를 상세히 제시하며, 제조사가 이를 설계에 구현하고 검증시험을 통과하여 네트워크 공격으로부터 기기를 효과적으로 보호할 수 있음을 입증하도록 요구합니다.
제조사는 기기가 네트워크 공격에 저항할 수 있음을 입증하기 위해 침투시험 보고서 및 취약점 스캐닝 결과를 제출해야 합니다.
기기 내 펌웨어 및 소프트웨어에 대해 심층 퍼즈 테스트와 소스코드 감사를 수행하여 잠재 보안 취약점을 식별해야 합니다.
이는 사이버보안이 더 이상 “사후 복구”의 문제가 아니라, 제품 설계 단계에서부터 종합적인 보안 보호체계를 구축해야 함을 의미합니다.
FDA는 시판 전 제출문서에서 제조사가 다음 자료를 제공해야 함을 명시했습니다.
다양한 보안 통제조치를 통해 기기 및 환자 데이터를 어떻게 보호하는지 보여주는 도식.
기기의 안전성 및 유효성 분석을 포함하며, 특히 잠재 사이버보안 위협에 대한 평가를 포함해야 합니다.
취약점 스캐닝, 침투시험, 정적 코드 분석 등의 결과를 통해 기기 보안이 FDA가 설정한 기준을 충족함을 입증해야 합니다.
제조사는 더 높은 R&D 비용에 직면하게 됩니다. 특히 사이버보안 투자 확대, 전문 보안팀 구축, 컴플라이언스 교육 강화, 적절한 보안 시험 도구 도입 등이 필요합니다.
더 중요한 점은, 제조사가 제품 개발 과정에서 사이버보안 리스크 평가 및 통제 시스템을 점진적으로 구축해야 한다는 것입니다. 이는 개발 기간과 비용 증가로 이어집니다.
시장 경쟁 측면에서, FDA의 신규 규정을 충족할 수 있는 기업은 특히 글로벌 시장에서 더 높은 신뢰를 확보할 수 있습니다. 보안 패치를 적시에 배포하고 제3자 소프트웨어 공급망을 관리할 수 있는 기업은 입찰 및 해외 시장에서 경쟁우위를 가질 가능성이 큽니다.
병원 및 의료기관은 FDA 신규 규정의 시행으로 직접적인 혜택을 받게 됩니다. 점점 복잡해지는 사이버보안 환경에서, 의료기관은 단순 사용자에 그치지 않고 장비 유지보수 및 취약점 개선 등 추가 책임도 부담하게 됩니다.
이는 IT 자원에 대한 부담을 증가시키지만, 의료기관 전반의 사이버보안 수준을 향상시키는 데 기여합니다.
본 가이던스는 글로벌 의료기기 산업, 특히 유럽과 중국에 중대한 영향을 미칠 것입니다. EU MDR 및 중국 NMPA 등 규정이 연이어 도입·강화됨에 따라, 글로벌 의료기기 시장은 통합된 사이버보안 기준으로 수렴할 것으로 예상됩니다.
다국적 기업은 보다 정합화된 규제 요구사항에 직면하게 되며, 이러한 신규 기준은 글로벌 의료기기 산업의 기술 혁신과 컴플라이언스 프로세스를 견인할 것입니다.
이번 신규 가이던스는 의료기기 산업이 “사이버보안 = 컴플라이언스” 시대에 진입했음을 의미합니다.
향후 규제 트렌드는 다음과 같은 특징을 보일 것입니다.
사이버보안은 단순 가이던스가 아니라 점차 의무 규정으로 편입될 것입니다.
SBOM은 글로벌 의료기기 공급망의 투명성과 협업을 촉진합니다.
규제당국은 시판 전 심사뿐 아니라 시판 후 모니터링 및 컴플라이언스 점검을 강화할 것입니다.
기업에게 도전은 투자와 전환에 있으며, 기회는 컴플라이언스 역량을 활용해 새로운 경쟁우위를 구축하는 데 있습니다.
면책조항: 상기 내용은 공개된 정보를 기반으로 정리한 것으로, 참고용으로만 제공됩니다.
Proregulations는 글로벌 의료기기 기업을 대상으로 FDA 의료기기 사이버보안 컴플라이언스 서비스를 종합적으로 제공합니다. 맞춤형 규제 대응 전략 및 실행 계획을 수립하여 제품이 최신 규제 요구사항을 완전하게 충족하도록 지원하고, 경쟁력 강화를 돕습니다.
Proregulations는 고객 의료기기의 시장 출시를 가속화하고, 규제 리스크를 효과적으로 저감하며, 기업의 안정적·지속가능한 성장을 지원하기 위해 신뢰할 수 있는 전문 원스톱 컴플라이언스 솔루션을 지속적으로 제공해 왔습니다. 서비스에 관심이 있으시면 문의하기를 통해 연락해 주시기 바랍니다.
관련 서비스
