WISE COMPANY

GMP 갱신, 단순한 품질 심사가 아닙니다.

국내에서는 이제 ‘사이버 보안 관리’까지 QMS 평가 범위에 포함합니다.

안녕하세요.

와이즈컴퍼니(주)는 국내(한국) 의료기기 QMS(GMP) 갱신 심사에서
강화된 사이버 보안 요구사항에 체계적으로 대응할 수 있도록 지원하고 있습니다.

이번 포스팅에서는 QMS(GMP) 갱신 시 식약처(MFDS)가 확인하는 사이버 보안 항목과
국제 표준 기반의 와이즈컴퍼니(주)의 대응 전략을 소개합니다.

---

1. QMS 갱신 신청서에 ‘전자적 침해행위 보안 절차서’가 포함됩니다.

출처 : 디지털 의료기기 제조 및 품질관리 기준(식품의약품안전처 고시)(제2025-28호)

GMP 갱신 신청서에는 이제 단순 품질 문서 외에 ‘전자적 침해행위 보안 절차서’가 포함되어야 합니다.
보안은 제조 품질의 일부로, 공식 심사 항목으로 편입되었습니다.

---

2. QMS 시스템 내 ‘보안 관리 절차’가 문서화되어야 합니다.

출처 : [별표 2] 적합 판정 등 심사 기준(제5조 관련)
(디지털 의료기기 제조 및 품질관리 기준)

식약처는 QMS 문서 내에서 보안 절차의 수립과 유지 여부를 확인합니다.
보안은 단순 기술 요소가 아니라, 품질 시스템 내 운영 프로세스의 일부로 자리 잡았습니다.

---

3. 소프트웨어 요구사항에 ‘보안 요구사항’을 포함해야 합니다.

출처 : [별표 3] 디지털 의료기기 소프트웨어 심사 기준(제5조 관련)
(디지털 의료기기 제조 및 품질 관리 기준)

보안은 개발 이후의 부가 요소가 아닙니다.
식약처는 설계 입력 문서에 보안 요구사항이 포함되어야 함을 명시하고 있으며,
이는 QMS 갱신 심사에서 설계 문서 검토 항목으로 반영됩니다.

---

4. 변경 및 사후관리 시 보안 영향 평가가 요구됩니다.

출처 : [별표 3] 디지털 의료기기 소프트웨어 심사 기준(제5조 관련)
(디지털 의료기기 제조 및 품질관리 기준)

보안 업데이트나 취약점 패치 또한 ‘품질 변경’으로 간주됩니다.
따라서 각 변경 시 보안 영향 평가 및 위험관리 문서가 함께 갱신되어야 합니다.

---

5. 위험 관리와 검증을 통한 ‘보안의 품질화’가 완성됩니다.

출처 : [별표 3] 디지털 의료기기 소프트웨어 심사 기준(제5조 관련)
(디지털 의료기기 제조 및 품질관리 기준)

식약처는 사이버 보안을 단순 기술 검증이 아닌 품질 위험관리의 일부로 평가합니다.
보안 검증과 잔여 위험 문서화는 QMS의 핵심 평가 요소로 자리 잡았습니다.

---

6. 와이즈컴퍼니(주)의 QMS 기반 사이버 보안 지원

와이즈컴퍼니(주)는 디지털 의료기기(Software Medical Device) 전반을 대상으로
GMP 갱신 심사 시 강화된 사이버 보안 요구사항을 체계적으로 반영하고 관리할 수 있도록 지원합니다.

1) 디지털 GMP 갱신 지도 – QMS 체계 진단 및 절차 고도화

• 현행 QMS 진단 및 절차 디지털화
• 식약처 심사 대응 문서 검토 및 사전 점검 진행
• 보안 절차(변경 관리, CAPA, 검증 등)의 IEC 81001-5-1 기반 반영

2) 사이버 보안 대응 프로세스

① 사이버 보안 시험 및 문서화 전체 흐름도

단계	주요 활동	세부 내용
STEP 1	SBOM 추출	소프트웨어 구성요소와 버전, 라이선스를 식별해 취약점 및 공급망 보안 위험을 관리합니다.
STEP 2	1차 시험 전 문서화 (2주)	1) Threat Model 2) Architecture Views 3) Labeling
STEP 3	시험 준비 (1주)	1) 계획 수립 2) 정보 수집
STEP 4	1차 시험 시작 (5주)	1) 취약점 자동 검증 2) 취약점 수동 검증 3) 매뉴얼 수동 검증 4) 증거 수집 5) 시험 보고서
STEP 5	취약점 완화 기간 + 문서화 (4주–8주)	1) Cybersecurity Management Plans
STEP 6	2차 시험 시작 (2주)	1) 재시험 2) 재시험 보고서
STEP 7	2차 시험 후 문서화 (4주)	1) Cybersecurity Risk Management Report 2) Measures and Metrics 3) Requirements (Controls)

② 시험 프로세스 (Testing Workflow)

단계	주요 활동	세부 내용
STEP 1	계획 수립 (Planning)	범위·방법·리스크·허가(법적)를 확정합니다.
STEP 2	정보 수집 (Reconnaissance & Discovery)	공개 출처 및 허가된 범위 내에서 타깃 정보를 수집하여 테스트 전략을 수립합니다.
STEP 3	취약점 자동 검증 (Automated Scanning)	넓은 범위를 대상으로 스캐너·도구를 이용해 잠재 취약점을 빠르게 탐지합니다.
STEP 4	취약점 수동 검증 (Manual Verification)	자동 탐지 결과의 오탐을 제거하고 실제 악용 가능성을 수동으로 확인합니다.
STEP 5	매뉴얼 수동 검증 (Controlled Exploitation)	비즈니스 로직, 권한 상승, 인증 우회 등 고급 취약점을 통제된 환경에서 검증합니다.
STEP 6	증거 수집 (Evidence & Forensics)	발견된 취약점 및 익스플로잇에 대한 증거를 안전하게 수집·보존합니다.
STEP 7	보고서 (Reporting & Handover)	규제 제출용·내부 개선용 증거 기반 보고서를 완성합니다.
STEP 8	재검증 (Retest)	취약점을 제거 또는 보완한 항목에 대해 재시험을 진행합니다.

3) 문서화 (Documentation)

번호	제공 문서	세부 내용
1	사이버 보안 요구사항 체크리스트	식약처 사이버 보안 요구사항(RA-01 ~ RA-20)에 대한 충족 여부를 항목별로 점검한 문서입니다.
2	사이버 보안 위험 관리 보고서 (Cybersecurity Risk Management Report)	위협 모델, 사이버 보안 위험평가, 소프트웨어 자재 명세서(SBOM), 취약성 평가, 미해결 이상 평가, 추적성 등을 포함한 종합 문서입니다.
3	라벨링 (Labeling)	사용자 보안 안내문, 업데이트 정책 등 제품 사용 단계의 보안 관련 정보를 제공합니다.
4	사이버 보안 관리 계획 (Cybersecurity Management Plan)	업데이트, 패치, CVD 절차 등 제품의 유지·관리 및 보안 운영 계획을 기술한 문서입니다.
5	요구사항 미적용 항목에 대한 근거 작성 및 보완 문서 구성 (필요 시)	사이버 보안 요구사항 중 적용이 불가능하거나 불필요한 항목의 제외 사유를 명확히 기술하고, 대체 및 보완 근거를 포함한 문서입니다.

4) 사용자 적합성(Usability Engineering) 지원

와이즈컴퍼니(주)는 KOLAS ISO/IEC 17025 인증 시험 기관과 협력하여
IEC 62366-1 기반의 사용자 적합성 시험 및 문서화를 지원합니다.
사용자 오류 예방과 설계 검증 강화를 위한 평가, 보고서를 제공합니다.

---

같이 알아보면 좋은 정보

[사이버 보안] 국내(한국) 사이버 보안 가이드

이상으로 국내(한국) 의료기기 사이버 보안
QMS(GMP) 갱신 대응 전략이었습니다.
감사합니다.

문의

의료기기 사이버보안 국내 인허가 및 QMS(GMP) 갱신
와이즈컴퍼니와 함께 합리적으로 진행하세요.
아래 연락처 또는 카카오톡으로 문의주시면 성심껏 도와드리겠습니다.

와이즈 – 국내외 인허가 자문

와이즈컴퍼니(주) 카카오톡 문의하기