WISE COMPANY

2025년 FDA QMS · GMP 사이버 보안 대응 완벽 가이드:
ISO 13485 & IEC 81001-5-1 통합 전략

안녕하세요.

와이즈컴퍼니(주)는 고객분들이 빠르게 강화되고 있는 FDA 사이버 보안 요구사항에 대응하여
510(k) / eSTAR 제출 및 사후 보안 체계를 효율적이고 실무적으로 구축할 수 있도록 지원하고 있습니다.

---

1. 왜 FDA는 사이버 보안을 ‘품질의 일부’로 보는가

FDA Premarket Cybersecurity Guidance (2023)
21 CFR Part 820 (QSR) · IEC 81001-5-1:2021

FDA는 2023년 Premarket Cybersecurity Guidance에서 명확히 말합니다.
“Security is part of device safety and effectiveness.”
(보안은 의료기기의 안전성과 성능의 일부다.)

즉, 보안이 단순히 기술적 방어 수단이 아니라,
제품 품질(Quality)을 평가하는 기준이 되었다는 뜻입니다.

GMP 심사에서는 보안이 아래 세 가지 측면에서 직접적으로 평가됩니다.

• 설비 및 시스템 무결성 (System Integrity) – 제조 장비, 시험 장비의 접근 권한 및 데이터 보호
• 데이터 무결성 (Data Integrity) – 전자기록, 로그, 백업의 변조 방지
• 제품 소프트웨어의 보안성 (Device Software Security) – 소프트웨어 구성요소, 패치, 업데이트 검증

---

2. 제품 기준으로 보는 사이버 보안 시험의 필요성

FDA Premarket Cybersecurity Guidance (2023)

FDA는 최신 가이드라인을 통해, 의료기기 제조사(manufacturer)가
기기 및 관련 시스템이 사이버 보안 상태임을 보장할 수 있도록
보안 절차를 설계·개발·유지해야 함을 명확히 규정하고 있습니다.

즉, 이제 사이버 보안은 품질관리(Quality System)의 일부이자 법적 요구사항으로 해석됩니다.

제품의 보안은 곧 ‘안전성’입니다.

의료기기는 더 이상 독립형 장비가 아닙니다.
서버, 클라우드, 네트워크, 모바일 앱과 연결되어 있으며,
하나의 취약점이 전체 시스템에 영향을 미칠 수 있습니다.

공격자가 네트워크를 통해 설정값을 변조하거나,
AI 분석 결과를 바꾸는 경우 직접적인 환자 피해로 이어질 수 있습니다.

따라서 FDA는 보안 시험을 단순 옵션이 아니라,
기능 검증(Validation)과 동일한 수준의 품질 근거(Quality Evidence)로 요구합니다.
보안 시험이 누락되면 심사에서 불이익이 발생할 수 있습니다.

---

3. SPDF와 의료기기 침투 테스트의 필수성

FDA Premarket Cybersecurity Guidance (2023)

FDA Premarket Cybersecurity Guidance (2023)를 보면,
Section V.A – Secure Product Development Framework (SPDF)에서 다음과 같이 정의합니다.

“An SPDF is a set of processes that help identify and reduce the number and severity of vulnerabilities in products.”

즉, 취약점의 식별과 완화를 위해 일련의 절차(Framework)를 운영해야 한다는 뜻입니다.

FDA는 SPDF로 “보안 절차 수립”을 요구하고, 국제표준(IEC 81001-5-1 등)은 그 절차의 검증을 의무화합니다.
말 그대로 침투 테스트 없는 보안 문서들은 인정받기 어렵습니다.

결국, 의료기기 침투 테스트(penetration testing)는 이제 선택이 아닌
QMS 상의 Verification & Validation 절차에 포함되어야 하는 FDA 요구사항이 되었습니다.

---

4. 와이즈컴퍼니(주)의 GMP 중심 FDA 사이버 보안 지원 범위

와이즈컴퍼니(주)는 의료기기 제조사의 품질시스템(QMS) 내에
사이버 보안 절차를 체계적으로 통합하고, FDA 요구 수준의 품질 근거(Quality Evidence)를 확보할 수 있도록
다음과 같은 서비스를 제공합니다.

1) QMS 진단 및 개선 (ISO 13485 & IEC 81001-5-1 통합)

ISO 13485와 IEC 81001-5-1을 기준으로 현재 운영 중인 품질 시스템을 진단하고,
설계관리(Design Control), 변경 관리(Change Control), CAPA, Validation, PMS 등의 절차에
사이버 보안 요구사항(Security Requirements)이 반영되도록 QMS 프로세스를 고도화합니다.

이 단계에서 SPDF(Secure Product Development Framework)의 절차가
Design Controls에 자연스럽게 연동되도록 구조를 확립합니다.

2) 보안 문서화 및 eSTAR 대응

FDA eSTAR 및 Cybersecurity Guidance(2023)에 따라 다음과 같은 핵심 문서를 작성·정비합니다.

• Cybersecurity Risk Management Report
• Threat Model
• Cybersecurity Risk Assessment
• SBOM (Software Bill of Materials)
• Unresolved Anomalies Assessment
• Measures and Metrics
• Architecture Views
• Requirements (Controls)
• Testing Summary
• Cybersecurity Management Plan
• Labeling
• Security Validation Report

FDA 제출용 사이버 보안 문서의 형식, 구성, 링크(Traceability)를 점검하고,
eSTAR 5.6 항목별 요구사항에 따라 사전 완성도 검토를 수행하여
심사 적합성(Completeness Review)을 보장합니다.

3) 보안 시험 및 검증 (침투 테스트)

제품의 실제 보안 수준을 입증하기 위해 자동화 및 수동 취약점 검증(penetration testing)을 수행합니다.
이 검증은 단순 시험이 아닌, FDA가 요구하는 Validation Evidence로서
QMS 상의 Verification & Validation 절차에 포함됩니다.

검증 결과는 Threat Model과 SBOM 리스크 평가 항목과 연계되어,
취약점 완화 조치(CAPA)와 재검증 절차로 이어집니다.

4) 운영 가이드 및 교육

완성된 QMS 내 보안 프로세스가 조직 내에서 지속적으로 운영될 수 있도록
보안 절차별 운영 매뉴얼, 점검 체크리스트, 내부 교육자료를 제공합니다.

이를 통해 보안 절차가 일회성 인증 대응이 아닌,
지속 가능한 Secure QMS 체계로 정착되도록 지원합니다.

5) 전 과정 통합 지원

와이즈컴퍼니(주)는 의료기기 제조사가 GMP 기준을 준수하면서도
사이버 보안 요구사항을 완벽히 통합할 수 있도록,

① 절차 진단 → ② 문서화 → ③ 시험 및 검증 → ④ eSTAR 대응 → ⑤ 운영 체계 구축까지
전 과정을 실무적으로 지원합니다.

---

같이 알아보면 좋은 정보

이상으로 FDA GMP 사이버 보안 가이드였습니다.
감사합니다.

문의

FDA 의료기기 인허가, 사이버 보안 대응, GMP 갱신
와이즈컴퍼니와 함께 합리적으로 진행하세요.
아래 연락처 또는 카카오톡으로 문의주시면 성심껏 도와드리겠습니다.

와이즈 – 국내외 인허가 자문

와이즈컴퍼니(주) 카카오톡 문의하기