WISE COMPANY

[의료기기 후기] 의료영상저장전송장치(PACS)의 사이버보안 프로젝트 완료 후기

안녕하세요.

와이즈컴퍼니(주)는 고객분들이 빠르게 변화하는 규제적 요구사항에 맞춰 효과적으로 대처할 수 있도록 지원하고 있습니다.

특히 의료기기 사이버보안 프로젝트가 성공적으로 완료될 수 있도록 시험·문서화·인허가 전 과정에서 성심성의껏 지원 및 자문을 제공하고 있습니다.

이번 포스팅에서는 FDA 510(k) 사이버보안 프로젝트 후기를 공유드리고자 합니다.

프로젝트 개요

환자 정보를 다루는 의료영상저장전송장치(PACS)는 사이버보안의 중요성이 매우 높은 제품군입니다.

2025년 10월, 해당 PACS 제품에 대해 와이즈컴퍼니와 함께한 FDA 510(k) 사이버보안 프로젝트를 성공적으로 완료하였습니다.

이번 프로젝트는 2025년 6월 발행된 최신 FDA 사이버보안 가이드라인인
“Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”을 A부터 Z까지 모든 항목에 충실히 반영한 사례로, 그 의미가 더욱 깊었습니다.

아래에서는 사이버보안 시험(Cybersecurity Testing)사이버보안 문서화(Cybersecurity Documentation) 관점에서 주요 진행 과정을 간단히 소개드리겠습니다.

1. 사이버보안 시험 (Cybersecurity Testing)

이번 프로젝트에서 가장 큰 이슈이자 핵심 단계는 사이버보안 시험이었습니다.

시험은 아래와 같은 단계로 진행되었습니다.

단계 주요 내용
제품 이해 단계 고객사의 문의가 접수되면 제품의 특성을 파악합니다.
웹 기반 여부, 전용 어플리케이션 사용 여부, 클라우드·DB 구조 등 시스템 아키텍처를 세부적으로 확인합니다.
시험 준비 및 정보 수집 시험에 필요한 기술 문서, 네트워크 구성도, 계정·접근 권한 등 기본 기술 자료와 시스템 접근 정보를 확보합니다.
1차 시험 수행 시험소에서 1차 시험을 수행하고, 시험 보고서(Test Report)를 발행합니다.
보고서에는 발견된 취약점 목록과 함께 CVSS Score, 보완 방법(Remediation)이 상세히 기술됩니다.
보완 및 재시험 고객사는 시험 결과를 바탕으로 취약점을 제거하거나 완화 조치를 수행합니다.
이후 보완 결과를 공유하면 재시험을 통해 수정사항을 검증하며, 보완이 충분하지 않은 항목에 대해서는 지속적인 피드백을 주고받습니다.
최종 보고서 모든 보완 활동이 완료되면 재시험 보고서(Final Report)를 발행하여 인허가 제출 문서에 포함합니다.

와이즈컴퍼니(주)는 미국뿐만 아니라 유럽 및 국내 규제 요구사항에 부합하는 의료기기 사이버보안 시험 서비스를 제공합니다. 합리적인 비용과 효율적인 시험 일정으로 많은 고객사로부터 높은 만족과 신뢰를 받고 있습니다.

2. 사이버보안 문서화 (Cybersecurity Documentation)

시험이 완료되면, FDA가 요구하는 형식에 맞춰 사이버보안 기술 문서를 준비해야 합니다.

FDA는 2023년 이후 사이버보안 제출 요건을 강화하였으며, 대표적인 문서 항목은 다음과 같습니다.

  • Cybersecurity Risk Management Report
  • Threat Model
  • Cybersecurity Risk Assessment
  • Software Bill of Materials (SBOM)
  • Unresolved Anomalies Assessment
  • Measures and Metrics
  • Architecture Views
  • Requirements (Control)
  • Testing Summary
  • Labeling
  • Cybersecurity Management Plans
  • Interoperability 관련 자료

특히 SBOM(Software Bill of Materials)은 소스코드 접근이 필요한 경우가 많기 때문에, 보안 우려가 있는 고객에게는 직접 SBOM을 추출할 수 있도록 가이드를 제공하고, 필요 시 저희가 직접 SBOM을 생성해 드리기도 합니다.

이렇게 준비된 시험 보고서 및 문서를 기반으로 최종적으로 FDA 510(k) SE Letter까지 안전하게 수령할 수 있었습니다.

FDA 510(k) SE Letter

3. 국내 및 유럽 시장 대응

유럽 (EU)

현재는 최신 유럽 의료기기 사이버보안 전용 가이드라인이 제한적인 상황이므로, FDA 요구 수준과 동등한 수준의 시험 및 문서화를 기반으로 서비스를 제공하고 있습니다.

국내 (한국)

국내 인허가를 위해 다음과 같은 문서 작성 및 컨설팅을 지원합니다.

  • 의료기기 사이버보안 요구사항 체크리스트
  • 사이버보안 위험관리 보고서 (위협 모델링, SBOM, 추적성 포함)
  • 라벨링(사용자 보안 안내문) 및 사이버보안 관리 계획

◆ Additional notice

와이즈컴퍼니(주)의 사이버보안 시험 및 문서화 절차에 대해서는 아래 흐름도 이미지를 함께 참고해 주시면 이해에 도움이 됩니다. (의료기기 사이버보안 시험 및 문서화 전체 흐름도)

사이버보안 흐름도

같이 알아보면 좋은 정보

[사이버 보안] 시험과 문서화는 어떻게 진행될까?

이상으로 사이버보안 프로젝트 후기를 소개해 드렸습니다.
읽어주셔서 감사합니다.

문의

사이버보안 시험 및 문서화
와이즈컴퍼니와 함께 합리적으로 진행하세요.
아래 연락처 또는 카카오톡으로 문의주시면 성심껏 도와드리겠습니다.

와이즈컴퍼니 카카오톡 QR

와이즈 – 국내외 인허가 자문

와이즈컴퍼니(주) 카카오톡 문의하기

와이즈컴퍼니(주) 이상록 책임

📧 info@wisecompany.org

📞 02-837-3615

,
, , , , , , , ,
infoa99a4fc02ae의 아바타

Posted by:

infoa99a4fc02ae

댓글 남기기