디지털 의료제품법 · 식약처 가이드라인 기반 사이버 보안 인허가 실무 가이드
안녕하세요.
와이즈컴퍼니(주)는 국내(한국) 의료기기 사이버 보안 인허가 요구사항에
효과적으로 대응할 수 있도록 지원하고 있습니다.
이번 포스팅에서는 국내(한국) 의료기기 사이버 보안 인허가를 위한 와이즈컴퍼니(주)의 대응 전략을 소개합니다.
1. 인허가 법령이 정의하는 ‘보안의 의미’
디지털 의료제품법은 의료기기 제조, 수입 단계부터 “보안이 곧 안전성 관리”임을 명확히 합니다.
식약처는 인허가 심사 시 보안 대응 체계가 실제로 운영되고 있는지를 확인하며,
보안 미비는 단순 기술 오류가 아닌 법령 위반으로 간주합니다.
2. 설계 단계에서 시작되는 ‘보안의 일관성’
의료기기 사이버 보안 원칙 및 실무 (IMDRF-N60)
의료기기 사이버 보안을 위한 소프트웨어 자재명세서 원칙 및 실무 (IMDRF-N73)
IEC 81001-5-1 : 제조자는 설치, 운영, 유지 보수, 폐기 단계까지 보안 요구사항을 문서화해야 합니다.
IEC 81001-5-1 : 제조자는 보안 코딩 기준을 적용하여 소프트웨어를 구현해야 합니다.
ISO 14971:2019
의료기기 보안은 개발 후가 아니라 설계 단계에서부터 시작됩니다.
IMDRF N60·N73, ISO/IEC 81001-5-1, ISO 14971 등 국제 표준은
보안 인허가의 핵심 요건으로 규정되어 있습니다.
설계 단계에서 위협 모델링, SBOM, 보안 요구사항이 반영되어야
제품의 보안 일관성과 인허가 통과 가능성을 입증할 수 있습니다.
결국, 보안은 설계에서 시작되어 인허가로 이어지는 필수 관리 체계입니다.
3. 문서로 입증되는 보안 체계
식약처 – 의료기기 사이버 보안 허가·심사 가이드라인
식약처 「의료기기 사이버 보안 허가·심사 가이드라인(2025.1.10)」에서는
허가 심사 시 반드시 제출해야 하는 문서 구성을 명확히 제시하고 있습니다.
-
사이버 보안 요구사항 체크리스트
식약처 사이버 보안 요구사항(RA-01 ~ RA-20)에 대한 충족 여부를 항목별로 점검한 문서 -
사이버 보안 위험 관리 보고서 (Cybersecurity Risk Management Report)
위협 모델, 사이버 보안 위험평가, 소프트웨어 자재 명세서(SBOM), 취약성 평가, 미해결 이상 평가, 추적성 등을 포함한 종합 보고서 -
시험 성적서 (Test Report)
보안 통제가 실제로 구현되고 있는지를 입증하는 자료 -
라벨링 (Labeling)
사용자 보안 안내문, 업데이트 정책 등 제품 사용 단계의 보안 관련 정보 -
사이버 보안 관리 계획 (Cybersecurity Management Plan)
업데이트, 패치, CVD 절차 등 제품의 유지·관리 및 보안 운영 계획을 기술한 문서
4. 와이즈컴퍼니(주)의 사이버 보안 국내(한국) 인허가 지원
와이즈컴퍼니는 사이버 보안 시험부터 문서화까지 인허가에 필요한 모든 범위를 통합 지원하며,
고객사의 관점에서 인허가가 원활하게 종료될 수 있도록 지원합니다.
1) 사이버 보안 시험 및 문서화 전체 흐름도
| 단계 | 주요 활동 | 세부 내용 |
|---|---|---|
| STEP 1 | SBOM 추출 | 소프트웨어 구성요소와 버전, 라이선스를 식별해 취약점 및 공급망 보안 위험을 관리합니다. |
| STEP 2 | 1차 시험 전 문서화 (2주) |
1) 위협 모델링 2) 라벨링 |
| STEP 3 | 시험 준비 (1주) |
1) 계획 수립 2) 정보 수집 |
| STEP 4 | 1차 시험 시작 (5주) |
1) 취약점 자동 검증 2) 취약점 수동 검증 3) 매뉴얼 수동 검증 4) 증거 수집 5) 시험 보고서 |
| STEP 5 | 취약점 완화 기간 + 문서화 (4~8주) | 1) 사이버보안 관리 계획 |
| STEP 6 | 2차 시험 시작 (2주) |
1) 재시험 2) 재시험 보고서 |
| STEP 7 | 2차 시험 후 문서화 (4주) |
1) 사이버보안 요구사항 체크리스트 2) 사이버보안 위험 관리 보고서 |
2) 시험 프로세스 (Testing Workflow)
| 단계 | 주요 활동 | 세부 내용 |
|---|---|---|
| STEP 1 | 계획 수립 (Planning) | 범위·방법·리스크·허가(법적)를 확정합니다. |
| STEP 2 | 정보 수집 (Reconnaissance & Discovery) | 공개 출처 및 허가된 범위 내에서 타깃 정보를 수집하여 테스트 전략을 수립합니다. |
| STEP 3 | 취약점 자동 검증 (Automated Scanning) | 넓은 범위를 대상으로 스캐너·도구를 이용해 잠재 취약점을 빠르게 탐지합니다. |
| STEP 4 | 취약점 수동 검증 (Manual Verification) | 자동 탐지 결과의 오탐을 제거하고 실제 악용 가능성을 수동으로 확인합니다. |
| STEP 5 | 매뉴얼 수동 검증 (Controlled Exploitation) | 비즈니스 로직, 권한 상승, 인증 우회 등 고급 취약점을 통제된 환경에서 검증합니다. |
| STEP 6 | 증거 수집 (Evidence & Forensics) | 발견된 취약점 및 익스플로잇에 대한 증거를 안전하게 수집·보존합니다. |
| STEP 7 | 보고서 (Reporting & Handover) | 규제 제출용·내부 개선용 증거 기반 보고서를 완성합니다. |
| STEP 8 | 재검증 (Retest) | 취약점을 제거 또는 보완한 항목에 대해 재시험을 진행합니다. |
3) 문서화 (Documentation)
| 번호 | 제공 문서 | 세부 내용 |
|---|---|---|
| 1 | 사이버 보안 요구사항 체크리스트 | 식약처 사이버 보안 요구사항(RA-01 ~ RA-20)에 대한 충족 여부를 항목별로 점검한 문서입니다. |
| 2 |
사이버 보안 위험 관리 보고서 (Cybersecurity Risk Management Report) |
위협 모델, 사이버 보안 위험평가, 소프트웨어 자재 명세서(SBOM), 취약성 평가, 미해결 이상 평가, 추적성 등을 포함한 종합 문서입니다. |
| 3 | 라벨링 (Labeling) | 사용자 보안 안내문, 업데이트 정책 등 제품 사용 단계의 보안 관련 정보를 제공합니다. |
| 4 |
사이버 보안 관리 계획 (Cybersecurity Management Plan) |
업데이트, 패치, CVD 절차 등 제품의 유지·관리 및 보안 운영 계획을 기술한 문서입니다. |
| 5 | 요구사항 미적용 항목에 대한 근거 및 보완 문서 (필요 시) | 사이버 보안 요구사항 중 적용이 불가능하거나 불필요한 항목의 제외 사유를 명확히 기술하고, 대체 및 보완 근거를 포함한 문서입니다. |
같이 알아보면 좋은 정보
[사이버 보안] 국내(한국) 의료기기 사이버 보안 가이드
이상으로 국내(한국) 의료기기 사이버 보안 인허가 대응 전략이었습니다.
감사합니다.
문의
의료기기 사이버보안 국내 인허가
와이즈컴퍼니와 함께 합리적으로 진행하세요.
아래 연락처 또는 카카오톡으로 문의주시면 성심껏 도와드리겠습니다.
와이즈 – 국내외 인허가 자문
와이즈컴퍼니(주) 카카오톡 문의하기
WISE COMPANY 
댓글 남기기