WISE COMPANY

[사이버보안] 미국 FDA 사이버보안 지도 안내

와이즈컴퍼니(주)는 사이버보안 심사가 원활하게 진행될 수 있도록 도와드리고 있습니다.

안녕하세요.

국내외 제품 인허가 및 품질 시스템 인증 전문 컨설팅
와이즈컴퍼니(주) 입니다.

와이즈컴퍼니(주)는 다수의 업체의 미국/유럽/국내 사이버보안 지도를 성공적으로 수행하였으며, 이와 관련하여 아래 지도 서비스를 제공 드리고 있습니다.

대상

다음 중 하나라도 충족/충족할 가능성이 있는 의료기기

  • 다른 장치/시스템과 통신할 수 있는 경우
  • 네트워크/서버 연결이 있는 경우
  • 무선 통신 사용하는 경우 (블루투스, Wi-Fi 등)
  • USB 포트와 같은 접근을 허용하는 경우
  • 소프트웨어/펌웨어 다운로드를 허용하는 경우
  • 클라우드 저장 혹은 기타 서비스를 사용하는 경우

지도 항목

✅ 사이버보안 시험

  • Vulnerability Assessment
  • Penetration Testing

✅ 사이버보안 문서화

  • Threat Modeling
  • Risk Management
  • Assessment of Unresolved Anomalies
  • Cybersecurity Metrics
  • Cybersecurity Controls
  • Architecture Views
  • Cybersecurity Labeling
  • Cybersecurity Management Plan
  • Interoperability (필요시)

본 포스팅에서는 사이버보안 시험/문서화에서 반드시 확인해야 하는 핵심 사항을 Q&A 형식으로 정리드리고자 합니다.

What: 사이버보안 문서화 및 시험은 무엇이 고려되어야 하나요?

▶ FDA 인허가를 위해 소프트웨어 기능이 있는 하드웨어 혹은 소프트웨어 의료기기는 아래 9가지 섹션에 대해 문서화 및 시험이 필요합니다. 각 항목은 FDA의 요구 사항에 맞춰 체계적으로 준비해야 합니다.

eSTAR / FDA 사이버보안 제출 핵심 9개 섹션

  1. Risk Management (위험 관리)
    • Report(보고서): 사이버보안 위험 관련 위험 분석, 완화 및 설계 고려 사항 포함
    • Threat Model(위협 모델): 잠재적 위협 요소 식별·분석 및 보안 취약점 사전 파악
    • Cybersecurity Risk Assessment(사이버보안 위험 평가): 완화 전/후 점수화 방법, 수용 기준 등
    • SBOM and Related Information: 오픈소스 포함 Third-party 및 전체 SW 목록(정해진 형식으로 생성)
  2. Assessment of Unresolved Anomalies (해결되지 않은 이상 징후의 평가)
  3. Cybersecurity Metrics (사이버보안 지표)
  4. Cybersecurity Controls (사이버보안 제어)
    • Authentication controls (인증 제어)
    • Authorization controls (권한부여 제어)
    • Cryptography controls (암호화 제어)
    • Code, data, and execution integrity controls (코드·데이터·실행 무결성 제어)
    • Confidentiality controls (기밀성 제어)
    • Event detection and logging controls (이벤트 감지 및 로깅 제어)
    • Resiliency and recovery controls (복원력 및 복구 제어)
    • Firmware and software update controls (펌웨어/소프트웨어 업데이트 제어)
  5. Architecture Views (아키텍처 보기)
  6. Cybersecurity Testing (사이버보안 시험)
  7. Cybersecurity Labeling (사이버보안 라벨링)
  8. Cybersecurity Management Plan (사이버보안 관리 계획)
    • 출시 이후 취약점 식별/전달 방법
    • 책임자, 주기적 보안 테스트 일정, 취약점 식별 및 대응 방법 포함
  9. Interoperability (상호운용성) — 해당 시

How long: 사이버보안 문서화 및 시험은 얼마나 소요되나요?

▶ 시료 확보 및 요청된 모든 정보 제공일 기준 약 3~4개월 소요됩니다.

Which: 사이버보안 위험 관리 문서화는 어떤 사항들이 고려되어야 하나요?

▶ 사이버보안 문서화에서 고려되어야 하는 주요 사항은 아래와 같습니다.

1) Report (보고서)

사이버보안 위험 관리 보고서는 AAMI TIR57 지침에 부합해야 하며, 아래 세부 항목들을 포함해야 합니다.

  • 위험 평가 방법 및 프로세스 요약: 사용 방법론과 프로세스 설명
  • 보안 위험 평가의 잔여 위험: 완화 이후에도 남는 잔여 위험 상세 설명
  • 위험 완화 활동 설명: 수행된 기술적/관리적 조치 구체 기술
  • 추적성(Traceability): SBOM, 시험보고서, 위험관리 보고서, 지표 문서 간 상호 연계 확보

2) Threat Model (위협 모델)

위협 모델은 의료기기 시스템 내외부의 End-to-End 연결을 포함한 모든 연결을 보여줘야 하며, FDA에 검토되지 않은 기능도 고려해야 합니다.

  • 위험과 완화 조치: 사전/사후 완화 조치 위험 포함
  • 가정 명시: 예) 병원 네트워크를 적대적 환경으로 가정
  • 공급망/제조/배포/상호운용성/유지관리·업데이트·폐기에서 발생 가능한 위험 고려

3) Cybersecurity Risk Assessment (사이버보안 위험 평가)

위험 평가는 위협 모델에서 식별된 위험과 이를 완화하기 위한 제어를 포착해야 하며, 다음 사항이 포함되어야 합니다.

  • 위험 수준 평가: 장치 및 시스템 관점의 위험 수준으로 평가
  • 위험 허용기준: TPLC(전체 제품 수명주기) 고려해 설정
  • 완화 전/후 점수: 점수화 방법과 허용기준 제시
  • 알려진 취약점: CVSS, NIST SP 800-30 등 기반 합리적으로 예측 가능한 위험 평가
  • 악용 가능성 평가: CVSS, IEEE 11073-40101-2020, NIST SP 800-30, DREAD 등 활용
  • 사이버보안 실패 및 위험 해결: 의도적/비의도적 실패 가능성 반영

4) SBOM and Related Information (소프트웨어자재명세서 및 관련 정보)

SBOM은 제조자가 개발한 소프트웨어 뿐만 아니라, 구매/라이선스 소프트웨어, 오픈 소스, 상류 의존성 등 모든 소프트웨어 구성 요소를 포함해야 합니다.

  • 소프트웨어 의존성: 상류 의존성 포함, 외부 라이브러리/패키지 의존 정도 명확화
  • 최소 요구 사항: NTIA 최소 요소 기반 기계 판독 가능한 SBOM 제공
  • 지원 종료(EOL) 날짜: 제공 및 미제공 시 사유 명시
  • 취약성 평가: 구성 요소별 취약성 평가 + 제어 기능 제공

Which: 사이버보안 시험은 어떤 사항들이 고려되어야 하나요?

▶ 제조자는 사이버보안 시험 자료를 제공해야 하며, 보안 요구 사항 시험, 위협 완화 시험, 취약성/침투 시험을 포함합니다(이에 국한되지 않음).

1) 보안 요구 사항

  • 설계 입력 요구사항 구현 증거: 각 요구사항 구현 입증 자료
  • 경계 분석 증거: 의료기기와 시스템/네트워크 간 물리·논리 경계 설정 및 분석
  • 경계 가정 근거: 운영 환경, 사용자 보안 행동 등 가정 근거 제시

2) 위협 완화

  • 위협 모델 및 위험 제어: 다중 환자 피해, 업데이트/패치 가능성, 보안 사용 사례 등 반영
  • 위험 제어 적절성: 보안 정책 시행, 최대 트래픽 조건 성능/안정성/신뢰성 검토 포함

3) 취약성 시험

다양한 시험/분석 세부 사항과 증거 제공이 필요합니다.

  • 남용 또는 오용 사례
  • 잘못된 입력 및 예기치 않은 입력
  • 퍼즈 시험
  • 공격 표면 분석
  • 취약점 연쇄 분석
  • 알려진 취약점에 대한 폐쇄형 시험
  • 바이너리 실행 파일 소프트웨어 구성 분석
  • 정적 및 동적 코드 분석

4) 침투 시험

제품의 보안 취약점을 발견하고 악용하는 데 중점을 두며, 보안 문제를 식별·특성화합니다.

  • 시험자의 독립성: 제3자 활용 가능, 기술적 전문성 필요
  • 시험 범위 및 기간: 범위/기간 명확화
  • 시험 방법: 사용된 방법 구체 설명
  • 시험 결과 및 발견 사항: 취약점/이상 징후 등 명확 기록
  • 관찰 사항: 기타 중요 관찰 내용 포함
  • 발견 사항 평가: 미해결/릴리스 연기 시 근거 명시

같이 알아보면 좋은 정보

👇🏻 👇🏻 👇🏻

[가이드/안내] 국내 사이버보안 가이드라인

미국 FDA 사이버보안 – 위협 모델링

미국 FDA 사이버보안 – 위험 관리

문의

의료기기 사이버보안 시험 및 문서화
와이즈컴퍼니(주)와 함께 합리적으로 진행하세요.
아래 연락처 또는 카카오톡으로 문의주시면 성심껏 도와드리겠습니다.

와이즈컴퍼니 카카오톡 QR

와이즈 – 국내외 인허가 자문

와이즈컴퍼니(주) 카카오톡 문의하기

와이즈컴퍼니(주) 이상록 책임

📧 info@wisecompany.org

📞 02-831-3615

, , , , , , , ,
infoa99a4fc02ae의 아바타

Posted by:

infoa99a4fc02ae

댓글 남기기