GMP 갱신, 단순한 품질 심사가 아닙니다.
유럽 CE는 이제 ‘사이버 보안 관리’까지 QMS 평가 범위에 포함합니다.
안녕하세요.
와이즈컴퍼니(주)는 유럽 의료기기 QMS(GMP) 갱신 심사에서
강화된 사이버 보안 요구사항에 체계적으로 대응할 수 있도록 지원하고 있습니다.
이번 포스팅에서는 QMS(GMP) 갱신 시 NB가 확인하는 사이버 보안 항목과
국제 표준 기반의 와이즈컴퍼니(주)의 대응 전략을 소개합니다.
1. QMS에서도 보안은 품질의 일부입니다.
MDR Annex 1 : 소프트웨어는 최신 기술 기준에 따라, 정보 보안을 포함한 위험관리 및 검증, 유효성 절차를 거쳐야 한다.
보안은 제품의 안전성(Safety)과 직결되는 품질 요소입니다.
따라서 NB는 QMS 내 보안 절차가 품질 관리 체계에 통합되어 있는지를 검토합니다.
2. QMS 갱신 시 평가 핵심은 ‘보안의 최신성’입니다.
MDR Annex 9 : NB는 QMS가 여전히 MDR 요건을 충족하며, 보안 관련 위험관리 및 시험, 검증 문서가 최신 상태로 유지되고 있는지 평가해야 한다.
MDR Annex 2 : 소프트웨어 설계, 개발 및 검증 근거를 기술문서에 포함해야 한다.
QMS 갱신 심사에서는 제품 변경 여부와 관계없이
보안 시험 결과, 리스크 평가, 패치 기록이 최신으로 반영되어 있는지를 확인합니다.
즉, 기술문서와 QMS가 지속적으로 동기화되어야 합니다.
3. 설계 변경 시, 보안 영향 검토는 필수입니다.
ISO 13485:2016 : 보안 패치, 암호화 변경, 접근 통제 강화 등은 설계 변경으로 간주됩니다.
따라서 이러한 조치는 QMS 변경 관리 절차에 따라
Review → Verification → Validation → Documentation 과정을 거쳐야 합니다.
4. PMS·CAPA에도 보안 절차를 포함해야 합니다.
AAMI TIR97:2019 : 취약점이나 위협 발생 시 안전성·보안성에 미치는 영향을 평가해야 한다.
보안 취약점이나 사고는 단순 기술 결함이 아닌 비일치(Nonconformity)입니다.
따라서 취약점 대응, 패치 관리, 사고 보고, 재발 방지를 CAPA 절차서에서 관리해야 하며,
이는 시판 후 감시(PMS)에도 통합되어야 합니다.
5. QMS 절차 내 보안 관리 통합
IEC 81001-5-1:2021 : 제조자는 보안 설계 활동을 수립하고, 모범 사례를 적용해 문서화해야 한다.
보안 활동은 IT 부서가 단독으로 관리하는 별도 영역이 아니라,
QMS 전체 과정(설계–검증–변경–사후관리)에 내재된 품질 프로세스입니다.
NB는 실제 절차서·기록에서 이 일관성을 확인합니다.
6. 와이즈컴퍼니(주)의 QMS 기반 사이버 보안 지원
와이즈컴퍼니(주)는 디지털 의료기기 전반을 대상으로
GMP 갱신 심사 시 강화된 사이버 보안 요구사항을 관리할 수 있도록 전문적으로 지원합니다.
1) 디지털 GMP 갱신 지도 – QMS 체계 진단 및 절차 고도화
- 현행 QMS 진단 및 절차 디지털화
- NB 대응 문서 검토 및 사전 심사 수행
- IEC 81001-5-1 기반 보안 절차 반영
2) 사이버 보안 대응 프로세스
① 사이버 보안 시험 및 문서화 전체 흐름도
| 단계 | 주요 활동 | 세부 내용 |
|---|---|---|
| STEP 1 | SBOM 추출 |
소프트웨어 구성요소·버전·라이선스를 식별하여 취약점 및 공급망 보안 위험을 관리합니다. |
| STEP 2 | 1차 시험 전 문서화 (2주) |
1) Threat Model 2) Architecture Views 3) Labeling |
| STEP 3 | 시험 준비 (1주) | 1) 계획 수립 2) 정보 수집 |
| STEP 4 | 1차 시험 시작 (5주) |
1) 취약점 자동 검증 2) 취약점 수동 검증 3) 매뉴얼 수동 검증 4) 증거 수집 5) 시험 보고서 |
| STEP 5 | 취약점 완화 + 문서화 (4~8주) | Cybersecurity Management Plans |
| STEP 6 | 2차 시험 시작 (2주) |
1) 재시험 2) 재시험 보고서 |
| STEP 7 | 2차 시험 후 문서화 (4주) |
1) Cybersecurity Risk Management Report 2) Measures and Metrics 3) Requirements (Controls) |
② 시험 프로세스 (Testing Workflow)
| 단계 | 주요 활동 | 세부 내용 |
|---|---|---|
| STEP 1 | 계획 수립 (Planning) | 범위·방법·리스크·법적 허가를 확정합니다. |
| STEP 2 | 정보 수집 (Reconnaissance) | 공개 출처 및 허가된 범위에서 타깃 정보를 수집합니다. |
| STEP 3 | 취약점 자동 검증 | 스캐너·도구로 잠재 취약점을 탐지합니다. |
| STEP 4 | 취약점 수동 검증 | 오탐 제거 및 실제 악용 가능성 확인. |
| STEP 5 | 매뉴얼 수동 검증 | 권한 상승·로직 오류 등 고급 취약점 검증. |
| STEP 6 | 증거 수집 | 익스플로잇 및 취약점 증거를 안전하게 보존. |
| STEP 7 | 보고서 작성 | 규제 제출용 보고서 작성. |
| STEP 8 | 재검증 | 취약점 보완 후 재시험 수행. |
3) 문서화 (Documentation)
CE의 보안 문서 요구는 MDR · MDCG 2019-16 Rev.1 · IEC 81001-5-1 · ISO 13485 기준을 기반으로 합니다.
NB는 FDA 수준의 문서 구성을 요구하며,
와이즈컴퍼니(주)는 국제 기준을 통합한 리스크 중심 문서화를 제공합니다.
| 번호 | 제공 문서 | 세부 내용 |
|---|---|---|
| 1 |
사이버 보안 위험관리 보고서 (Cybersecurity Risk Management Report) |
• Threat Model • Cybersecurity Risk Assessment • SBOM 및 Related Information |
| 2 | 보안 조치 및 지표 (Measures and Metrics) | 적용된 보안 조치 및 효과 정량 평가 자료. |
| 3 | 아키텍처 뷰 (Architecture Views) | 시스템 구조 및 데이터 흐름 시각화 문서. |
| 4 | 보안 요구사항 및 통제 (Requirements / Controls) | 보안 요구사항 정의 및 검증 문서. |
| 5 | 시험 요약 (Test Summary) | 수행 시험 항목 및 주요 결과 요약. |
| 6 | 라벨링 문서 (Labeling) | 사용자 보안 경고 및 관리 지침. |
| 7 | 사이버 보안 관리 계획 | 패치·업데이트·운영 절차 문서. |
| 8 | 상호 운용성 (필요 시) | 타 시스템 연동 시 보안성 평가 자료. |
| 9 | Software Validation Report (필요 시) | 변경된 SW의 기능·보안 요구 적합성 검증. |
3. 사용자 적합성(Usability Engineering) 지원
와이즈컴퍼니(주)는 KOLAS ISO/IEC 17025 인증 시험기관과 협력하여
IEC 62366-1 기반의 사용자 적합성 평가·문서화를 지원합니다.
사용자 오류 예방과 설계 검증 강화를 위한 보고서를 제공합니다.
같이 알아보면 좋은 정보
[유럽 CE] 의료기기 사이버 보안 가이드 (2025 최신)
이상으로 유럽(CE) 의료기기 사이버 보안
QMS(GMP) 갱신 대응 전략이었습니다.
감사합니다.
문의
유럽(CE) 의료기기 사이버 보안 QMS(GMP) 갱신
와이즈컴퍼니와 함께 합리적으로 진행하세요.
아래 연락처 또는 카카오톡으로 문의주시면 성심껏 도와드리겠습니다.
와이즈 – 국내외 인허가 자문
와이즈컴퍼니(주) 카카오톡 문의하기
WISE COMPANY 
댓글 남기기