와이즈컴퍼니는 다수 업체의 미국 FDA 사이버보안 지도를
성공적으로 진행 / 완료하였으며,
이와 관련 아래 지도 서비스를 제공드리고 있습니다.
📌 지도 대상: 소프트웨어 기능이 있는 하드웨어 혹은 소프트웨어 의료기기 (미국 및 유럽 인허가)
📝 지도 항목:
1) 사이버보안 문서화
2) 사이버보안 시험
3) 상호운영성 위험 평가, 검증 및 밸리데이션
4) 기타 성능 시험 (예; 네트워크 분석 및 시험)
📎 관련 규격:
* Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions
* Postmarket Management of Cybersecurity in Medical Devices
* AAMI TIR57:2016
* NIST SP 800-30
* ANSI/ISA 62443-4-1
* Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)”
* AAMI/UL 2900-1:201
* IEC 810001-5-1: 2021
* FDA eSTAR Version 5.1
🖋 WHAT :: 사이버보안 문서화 및 시험은 무엇이 고려되어야 하나요?
2024년 1월 8일 기준 소프트웨어 기능이 있는 하드웨어 혹은 소프트웨어 의료기기의 FDA 인허가를 위해서는 하위 섹션 포함 아래 9 가지 섹션들에 대해 모두 문서화 및 시험이 수행되어야 합니다.
1️⃣ Risk Management (위험 관리)
- Report (보고서)
- Threat Model (위협 모델)
- Cybersecurity Risk Assessment (사이버보안 위험 평가)
- SBOM and Related Information (소프트웨어자재명세서 및 관련 정보)
2️⃣ Assessment of Unresolved Anomalies (해결되지 않은 이상 징후의 평가)
3️⃣ Cybersecurity Metrics (사이버보안 지표를 모니터링한 데이터)
4️⃣ Cybersecurity Controls (사이버보안 제어)
- Authentication controls (인증 제어)
- Authorization controls (권한부여 제어)
- Cryptography controls (암호화 제어)
- Code, data, and execution integrity controls (코드, 데이터 및 실행 무결성 제어)
- Confidentiality controls (기밀성 제어)
- Event detection and logging controls (이벤트 감지 및 로깅 제어)
- *로깅: 일련의 기록인 로그(Log)를 생성하도록 시스템을 작성하는 활동
- Resiliency and recovery controls (복원력 및 복구 제어)
- Firmware and software update controls (펌웨어 및 소프트웨어 업데이트 제어)
5️⃣ Architecture Views (아키텍처 보기)
*아키텍처: 소프트웨어가 어떻게 구성 및 동작이 되는지를 보여주는 밑그림
6️⃣ Cybersecurity Testing (사이버보안 시험)
7️⃣ Cybersecurity Labeling (사이버보안 라벨링)
8️⃣ Cybersecurity Management Plan (사이버보안 관리 계획)
9️⃣ Interoperability (상호운용성)
🖋 HOW LONG :: 사이버보안 문서화 및 시험 기간은 얼마나 소요되나요?
시료 확보 및 요청된 모든 정보 제공일 기준 약 3~4개월 소요됩니다.
🖋 WHICH :: 사이버보안 위험 관리 문서화는 어떤 사항들이 고려되어야 하나요?
사이버보안 위험 관리 문서화에서 고려되어야 하는 주요 사항은 아래와 같습니다.
1️⃣ Report (보고서)
보고서는 AAMI TIR57 지침에 부합하게 수립되어야 하며, 다음 세부 내용을 포함해야 함.
- 위험 평가 방법 및 프로세스에 대한 요약
- 보안 위험 평가의 잔여 위험 결론에 대한 자세한 설명
- 수행된 위험 완화 활동에 대한 자세한 설명
- 위협 모델, 사이버 보안 위험 평가, SBOM, 시험 문서 및 다른 관련 사이버 보안 위험 관리 문서들 간의 추적성
2️⃣ Threat Model (위협 모델)
시스템 내 외부의 모든 End-to-end 연결을 포함 전체 의료기기 시스템에 대한 위협 모델을 제공해야 하며, End-to-end 요소는 FDA에 검토되지 않은 기능도 고려되야 합니다.
위협 모델 문서는 다음을 포함해야 합니다:
- 의료기기 시스템의 위험과 완화 조치를 식별하고, 사이버 보안 위험 평가의 일부로 고려되는 사전 및 사후 완화 조치 위험을 설명.
- 의료기기 시스템이나 사용 환경에 대한 가정을 명시. (예, 병원 네트워크는 본질적으로 적대적이므로 제조자는 공격자가 Packets울 변경, 삭제 및 재생할 수 있는 능력으로 네트워크를 제어한다고 가정하는 건을 권고함)
- *Packets: 컴퓨터 간 데이터를 주고받을 때 네트워크를 통해 전송되는 데이터조각
- 공급망, 제조, 배포, 다른 장치와 상호운용성, 유지관리/업데이트 및 폐기 활동으로 부터의 사이버 보안 위험을 포착.
3️⃣ Cybersecurity Risk Assessment (사이버보안 위험 평가)
사이버보안 위험 평가는 위협 모델에서 식별된 위험과 통제를 포착해야 하며, 이는 대상 기기의 안전성에 대한 위험 관리와 별개입니다.
이 문서는 다음을 고려해야 합니다.
- 식별된 위험은 장치와 장치가 작동하는 시스템에서 발생하는 위험 수준에 따라 평가해야 함.
- 위험 허용기준은 의료기기 시스템의 전체 제품 수명주기(TPLC)를 고려해야 함.
- 완화 전후의 위험 점수를 매기는데 사용되는 방법과 관련 허용기준, 사이버보안 위험을 기기의 위험 관리 프로세스로 전환하는 방법이 제공되어야 함.
- 보안 위험 및 제어는 잔여 위험에 대해 평가해야 하며, 사이버보안과 관련된 실패가 의도적으로 혹은 의도하지 않게 발생할 수 있다는 사실을 해결해야 함.
- 알려진 취약점은 합리적으로 예측 가능한 위험으로 평가되어야 함.
- 사이버보안 시험 중 식별된 취약점은 제품의 TPLC를 고려해야 함. 또한 CISA(사이버보안 및 인프라 보안국)의 알려진 취약점은 이미 악용되고 있음으로 기기 설계에서 해당 위험을 최소화할 수 있어야 함.
- 악용 가능성을 통해 사이버보안 위험을 평가하는 방법론 예시: CVSS, IEEE 11073-40101-2020, NIST SP 800-30, DREAD
- 사이버보안의 위험평가는 환자 피해의 심각도(취약점이 악용되는 경우, 제품의 위험관리와 동일), 악용 가능성을 기반으로 평가됨.
4️⃣ SBOM and Related Information (소프트웨어자재명세서 및 관련 정보)
- SBOM은 디바이스 제조자가 개발한 소프트웨어 구성 요소뿐만 아니라 구매/라이선스 소프트웨어, 오픈 소스 소프트웨어, 그리고 상류 소프트웨어 의존성 등 모든 소프트웨어 구성 요소가 포함되어야 함.
- 상류 소프트웨어 의존성: 소프트웨어 프로젝트가 제대로 작동하기 위해 의존하는 외부 소프트웨어 라이브러리, 패키지 또는 모듈을 의미함. 의존성에서 발생하는 변경, 업데이트 또는 문제가 하류에 있는 의존 프로젝트에 영향을 미칠 수 있음.
- 제조자는 NTIA의 “Framing Software Component Transparency: Establishing a Common Software Bill of Materials(SBOM)” 문서에 확인된 최소 요소와 일치하는 기계 판독 가능한 SBOM을 제공해야 하며, NTIA 문서는 소프트웨어 의존성의 깊이를 설명하고 있음.
- *소프트웨어 의존성의 깊이: 소프트웨어 구성 요소가 얼마나 많은 다른 구성 요소에 의존하고 있는지, 그리고 이러한 의존성이 얼마나 멀리 확장되는지를 나타냄.
- 소프트웨어 구성 요소에 대한 정보(예, 모든 최소 구성요소)를 모르는 경우 제조자는 해당 정보를 얻거나 결정하 없는 이유에 대한 정당성을 제공해야 함.
- SBOM은 관련 정보가 포함된 경우 다른 업계 모범 사례나 표준을 따를 수 있음.
- SBOM에 식별된 각 소프트웨어 구성 요소(예: OTS 소프트웨어)에 대한 소프트웨어 지원 수준과 지원 종료 날짜를 제공하는 문서를 제공해야 하며, 제공할 수 없는 경우 그 근거를 제공해야 함.
- 장치/시스템에서 지원되는 운영체제 및 관련 버전 식별해야 함. 더 이상 지원되지 않거나(예: Windows 7, Mac OS 9) 지원이 종료된 운영 체제를 나열하는 경우 이는 부정확한 응답으로 간주되며, 장치가 운영 체제를 사용하지 않는 경우 “N/A” 식별
- SBOM의 모든 소프트웨어 구성 요소에 대해 장치에서 사용하는 구성 요소 소프트웨어의 사이버 보안 취약성에 대한 안전 및 보안 평가와 취약성을 해결하는 모든 제어 기능에 대한 설명이 제공되어야 함.
- 제조자는 대상 기기 및 소프트웨어에 대해 널리 알려진 취약점(CISA’s 알려진 악용 취약점 카탈로그와 NIST 국가 취약점 데이터베이스)을 식별해야 함. 각 발견된 취약점이 어떻게 발견되었고, 평가 방법이 충분히 견고했는지에 대한 설명이 포함되어야 함.
- 대상 기기 및 소프트웨어의 구성 요소에 알려진 취약점이 있는 경우 각 취약점에 대한 안전 및 보안 위험 평가(기기 및 시스템 영향 포함)를 수행해야 하며, 각 취약점을 해결하기 위해 적용 가능한 안전 및 보안 위험 통제에 대한 세부 정보가 제공되어야 함.
🖋 WHICH :: 사이버보안 시험은 어떤 사항들이 고려되어야 하나요?
제조자는 사이버보안 시험 자료를 제공해야 하며, 이는 보안 요구 사항 시험, 위협 완화 시험, 취약성 시험 및 침투 시험이 포함되지만 이에 국한되지는 않습니다.
또한 특정 시험이 수행되지 않은 이유에 대한 정당성이 제공되어야 합니다.
다음은 제공되어야 하는 보안 시험 문서와 관련 보고서에 대한 안내입니다.
1️⃣ 보안 요구 사항
- 각 설계 입력 요구사항이 성공적으로 구현되었다는 증거가 제공되야 함.
- 경계 분석의 증거와 경계 가정에 대한 근거가 제공되야 함.
- 경계 분석: 사이버보안 경계(의료기기와 그것이 상호작용하는 시스템이나 네트워크 사이의 물리적, 논리적 경계)를 정의하고 분석하는 과정
- 경계 가정: 사이버보안 설계와 관련해 설정된 가정들. 예를 들어 네트워크 보안, 운영 환경의 안전성, 사용자의 보안 관련 행동 등.
2️⃣ 위협 완화
- 글로벌 시스템에서 제공하는 위협 모델, 다중 환자 피해, 업데이트 및 패치 가능성, 보안 사용 사례 보기에 따라 효과적인 위험 제어 조치를 입증하는 시험 증거가 제공되어야 함.
- 각 사이버 보안 위험 제어의 적절성이 보장되어야 함. 예를 들어, 적절한 경우 지정된 보안 정책을 시행하는 보안 효과, 최대 트래픽 조건에서의 성능, 안정성 및 신뢰성.
3️⃣ 취약성 시험(예: ANSI/ISA 62443-4-1의 섹션 9.4)
- 다양한 시험과 분석에 대한 세부 사항과 증거를 제공되야 하며, 이 시험은 남용 또는 오용 사례, 잘못된 입력 및 예기치 않은 입력, 견고성, 퍼즈 시험, 공격 표면 분석, 취약점 연쇄, 알려진 취약점에 대한 폐쇄형 시험, 바이너리 실행 파일의 소프트웨어 구성 분석, 정적 및 동적 코드 분석을 포함합니다.
4️⃣ 침투 시험
- 제품의 보안 취약점 발견하고 악용하는데 중점을 둔 시험을 통해 보안 관련 문제를 식별하고 특성화해야 합니다.
- 시험 보고서는 시험자의 독립성 및 기술적 전문성, 시험 범위, 시험 기간, 사용된 시험 방법, 시험 결과, 발견 사항 및 관찰 사항을 포함해야 함.
- 시험 보고서는 내부 혹은 외부 시험자와 대상 기기를 담당자가 장치 설계를 담당하는 개발자로부터 어느 수준의 독립성을 갖는지를 포함해야 함. 이 독립성을 보장하기 위해 제3자를 활용해야 할 수도 있음.
- 모든 시험에서 제조자는 발견 사항(예, 취약성 및 이상 징후)에 대한 평가를 제공해야 하며, 발견 사항을 구현하지 않거나 향후 릴리스로 연기하는 근거를 포함해야 함.
감사합니다.
와이즈컴퍼니(주) 이상록 책임
사이버보안 지도 관련하여
아래 연락처 또는 카카오톡 문의하기로 문의주시면
성심성의껏 답변하고 도움 드리겠습니다.
info@wisecompany.org / 02-831-3615
WISE COMPANY 
댓글 남기기