의료기기 사이버보안 위협과 규제 대응

■ 의료기기 사이버보안이란?

네트워크와 연결된 의료기기에서 발생할 수 있는 보안 위협을 방지하고, 환자 정보의 탈취 및 변조로 인한 위해를 최소화하기 위한 보안 관리 체계를 의미합니다.
4차 산업혁명과 정보통신 기술의 발전으로 의료기기의 네트워크 연결이 증가하면서 환자의 편의성과 휴대성이 크게 향상되었습니다.
하지만 동시에 사이버보안이라는 새로운 위험이 대두되고 있습니다.
실제로 네트워크 연결 의료기기가 증가함에 따라 환자 정보 탈취 및 변조로 인한 심각한 보안 사고가 발생하고 있으며,
이에 대응하기 위해 전 세계적으로 의료기기 사이버보안 규제가 강화되고 있습니다. 



■ 의료기기 사이버보안은 왜 중요할까?
최근 인슐린 펌프와 심장박동기 등의 의료기기가 보안 취약점으로 인해 대량 리콜된 사례를 계기로, 
사이버보안의 중요성이 더욱 강조되었습니다. 특히, 2020년 이후 의료기기를 통한 건강 데이터 유출 사례가 급격히 증가하면서 글로벌 규제가 강화되고 있습니다.
미국, 유럽을 비롯한 각국은 의료기기 보안을 위한 법정 장치를 마련하여 대응하고 있습니다.



■ 우리나라의 의료기기 사이버보안 규제는?
2019년 '의료기기 사이버보안 허가심사 가이드라인'이 발간되면서 자료 제출이 의무화되었습니다.
2025년 1월, 식약처는 국제 규격 IEC 62443-4-2와 IEC/TR 60601-4-5를 반영한 사이버보안 허가·심사 가이드라인을 발간했습니다.



■ 의료기기 사이버보안 규제 대상은?
'유무선 통신 경로가 있는 의료기기로서, 소프트웨어를 포함하는 의료기기 또는 독립형 소프트웨어 의료기기'가 사이버보안 규제 대상입니다.
즉, 통신 기능이 있는 전기 사용 의료기기와 단독 소프트웨어 의료기기가 이에 해당됩니다.
여기서 '통신 기능'은 의료기기의 사용 목적 달성을 위한 기능뿐만 아니라 소프트웨어 업데이트 및 유지보수를 위한 기능까지 포함됩니다.

따라서 대부분의 전기 사용 의료기기와 단독 소프트웨어 의료기기는 사이버보안 규제 대상이며,
통신 기능이 없는 경우에는 근거 자료를 통해 사이버보안 미적용의 타당성을 입증해야 합니다.



■ 의료기기 사이버보안에서 고려해야할 요소는?
의료기기 사이버보안은 가용성(Availability), 기밀성(Confidentiality), 무결성(Integrity)을 고려해야합니다.



■ 의료기기 사이버보안의 요구사항은?
의료기기 사이버보안 요소인 가용성, 기밀성 무결성을 보장하기 위해 '의료기기 제조 및 품질관리 기준(KGMP)'에 따른
위험관리 프로세스와 설계·개발 과정에서 사이버보안 위험을 최소화해야 합니다. 
식약처 가이드라인은 사이버보안 준수를 위한 35개의 필수 설계 요구사항을 제시하고 있으며, 이는 다음과 같이 분류합니다.

- 식별 및 인증: 의료기기 인터페이스에 접근하는 사용자와 기기를 식별하고 허가된 사용자를 인증
- 사용 통제: 인증된 사용자에게 역할별 적절한 접근 권한을 부여하고 통제
- 시스템 무결성: 정보 전송의 무결성을 보장하고 악성코드 침입 방지
- 데이터 기밀성: 저장 및 전송 중인 정보의 기밀성 보호
- 이벤트 적시 대응: 감사 기록을 비인가 접근으로부터 보호
- 자원 가용성: 외부 공격 시에도 정상 작동을 유지하고 백업·복구 기능 보장

상기 요구사항은 제품의 기능과 통신 특성에 따라 제외되거나 추가될 수 있습니다. 
또한, '디지털 의료제품법' 제14조에 따른 '디지털의료기기 전자적 침해행위 보안지침(식약처 고시)'의 
'인공지능 보안'에 대해서는 추가 사이버보안 요구사항을 제시하거나 식약처 가이드라인의 요구사항에서 선별하여 추가 검증해야 합니다.



■ 의료기기 허가 시 사이버 보안 제출 자료는?
사이버보안이 적용되는 의료기기의 경우 의료기기 허가 신청 시 다음과 같은 서류를 제출해야 합니다. 
- 의료기기 사이버보안 요구사항 체크리스트: 제품의 특성에 따른 적용 여부와 근거자료를 기입하고 미적용 항목에 대해서는 그 타당성을 입증할 수 있는 자료 제출
- 사이버보안 요구사항을 검증한 자료: 소프트웨어 검증 및 유효성 확인 자료, 사이버보안 위험관리 문서, 성능시험 성적서, 사용자 메뉴얼 등
- 사이버보안 요구사항 미적용 근거를 확인할 수 있는 자료: 사이버보안 위험관리 등



■ 사이버보안 자료의 인정 요건은?
사이버보안에 관한 자료의 요건은 '의료기기 허가·신고·심사 등에 관한 규정' (식약처 고시) 제 8호 성능에 관한 자료에 따릅니다.
요건 중 전문기관의 시험자료로는 의료기기 사이버보안 자료로 한국인터넷진흥원(KISA)의 loT 보안 인증서 및 시험 성적서를 제출할 수 있습니다. 



■ 허가 이후 의료기기 사이버보안 변경 관리 방법은?
1. 의료기기 허가 후 사이버 보안 관리
- 허가 취득 후에도 사이버보안에 대한 지속적인 모니터링 관리가 필수적입니다.
- 새로운 보안 위협이나 취약점을 정기적으로 점검하고, 위험이 예상될 경우 위험관리 프로세스와 설계·개발 프로세스를 통해 이를 통제해야 합니다.

2. 제품 변경 시 사이버보안 자료 제출
- 허가 후 제품에 사이버보안에 영향을 미치는 변경사항이 발생하면, 변경 허가·인증·신고 절차를 진행하고 신규 허가와 동일한 사이버보안 자료를 제출해야 합니다.
- 2019년 11월 사이버보안 자료 의무 제출 제도 시행 이전에 허가된 제품을 변경할 경우에도, 새로운 규정에 따른 사이버보안 자료 제출이 필요합니다. 



■ 마무리하며
의료기기의 사이버보안 규제는 전 세계적으로 강화되고 있으며, 각국의 규제 기관과 IMDRF 등 국제 기구에서도 관련 가이드라인을
지속적으로 재·개정하고 있습니다. 기술이 빠르게 변화함에 따라 규제도 신속히 발전하고 있으며, 우리나라의 규정도 국제 기준에 맞춰
강화되고 있어 의료기기 업계의 사이버보안 규제 대응 부담이 증가하고 있습니다.
특히 제품 설계가 완료된 후 허가 단계에서 사이버보안 규정을 검토하면, 설계 초기 단계부터 다시 검토해야 하므로 상당한 시간이 소요될 수 있습니다. 

효과적인 규제 대응을 위해 필요하 사항
- 품질경영시스템(QMS) 내에서 사이버보안 전주기 관리 절차를 체계적으로 수립
- 제품의 설계 및 개발 초기 단계부터 사이버보안을 고려하여 설계의 근거와 기록 준비

사이넥스에서는 의료기기 품질경영시스템에서 사이버보안 관리 절차를 수립하고, 설계 초기 단계부터 식약처의 사이버보안 요구사항을 검토하여
반영할 수 있도록 품질시스템 수립 및 설계·개발 자문을 제공하고 있습니다. 

강화되는 사이버보안 규제, 사이넥스 전문가와 함께라면 걱정 없습니다.
효과적인 대응 전략이 필요하다면, 지금 바로 사이넥스 전문가에게 문의하세요.