의료기기도 사이버 보안 심사 받는다

국내 처음으로 의료기기 사이버 보안 가이드라인이 마련됐다. 의료기기 사이버 보안의 안전성 등급을 구분했다. 식품의약품안전처는 다음 달 '의료기기의 사이버 보안 허가 심사 가이드라인'을 확정 발표한다. 정보통신기술(ICT) 발전으로 유·무선 통신 의료기기의 개발이 늘었다. 이에 따라 의료기기 해킹과 정보 유출 등 사이버 보안 위협 사례가 꾸준히 보고되고 있다. 의료기기의 사이버 위협은 재산 손실을 넘어 환자 생명에 직접 영향을 미칠 수도 있어 심각한 사회 문제로 떠올랐다.

@게티이미지뱅크
@게티이미지뱅크

식약처는 가이드라인 발표로 제조사에 의료기기 개발 시 사이버 보안 위험을 관리하도록 장려할 계획이다. 가이드라인 준수는 의무가 아니다. 자율 참여다.

식약처는 의료기기 허가 심사 때 사이버 보안 적용 대상을 정했다. 제품 특성에 따라 적용하는 보안 요구 사항과 허가 심사에 제출하는 자료의 범위를 정했다. 유·무선 통신을 이용해 환자의 생체 정보 등 개인 의료 정보를 송수신하는 의료기기는 가이드라인 적용 대상이다. 유·무선 통신을 이용해 기기를 제어하거나 펌웨어(FW), 소프트웨어(SW)를 업데이트하는 의료기기도 포함된다.

의료기기도 사이버 보안 심사 받는다

식약처는 상·중·하로 의료기기의 사이버 보안 안전성 등급을 구분했다. '상'은 의료기기의 사이버 보안 침해 사고로, 사용자에게 심각한 상해나 사망 등을 가져올 수 있는 등급이다. 이식형 등 4등급 의료기기가 여기에 해당된다. 수술용 의료기기, 치료 목적의 방사선 이용 의료기기, 치료용 의료기기, 생명 유지용 의료기기도 포함된다. 알람이나 경보가 누락되면 생명에 영향을 미치는 생체 신호 측정용 의료기기 등의 해킹으로 신체 기능의 영구 장애나 신체 구조의 영구 손상을 일으킬 수 있는 일부 2, 3등급 의료기기가 해당된다.

'중'은 경미한 상해나 의학상의 중재가 필요한 등급이다. 해킹으로 말미암아 생체 신호 또는 분석 진단 결과가 위변조되거나 누락돼 잘못된 치료를 할 수 있는 생체 신호 송수신용 의료기기, 생체 신호 측적용 의료기기가 이 등급에 들어간다. 분석진단용 의료기기 등 2등급 기기도 포함된다. '하' 등급 의료기기는 해킹으로 생체 신호가 위·변조되거나 누락돼도 오진에 영향을 미칠 가능성이 옅거나 없는 2등급 생체 신호 측정용이 해당된다.

의료기기도 사이버 보안 심사 받는다

식약처는 의료기기의 사이버 보안은 기밀성, 무결성, 가용성을 고려한다고 명시했다. 기밀성은 개인 의료 정보가 허가되지 않은 사람에게 공개되거나 다른 용도로 사용되지 않는 것을 의미한다. 제조사는 데이터 송수신 과정이나 비인가자 조회 등으로 개인 의료 정보가 노출돼도 해독하기 어렵게 암호화해야 한다. 개인 의료 정보는 허가되지 않은 방법으로 변환되거나 파괴되지 않는 무결성을 준수해야 한다. 개인 의료 정보는 승인된 사용자에게 제공돼야 하며, 필요한 때에 쓸 수 있는 가용성을 보장해야 한다.

의료기기의 사이버 보안 위험 관리 프로세스는 △위험분석 △위험평가 △위험통제 △잔여위험 △허용평가 △위험관리보고서 △생산 및 생산 후 정보 단계로 진행된다. 제조사는 사이버 보안 위험 관리 프로세스를 적용, 제품을 생산하게 된다.

의료기기 사이버 보안 요구 사항은 설계 단계부터 사용에 이르는 전 주기에 적용하고, 식별-보호-탐지-대응-복구 체계를 갖춰야 한다. 제조사는 사이버 보안 위험을 확인하고 평가하는 '식별' 활동을 해야 한다. 의료기기를 개발할 때는 사이버 접근 통제, 데이터 보안을 적용한다. 또 의료기기의 사이버 보안 사고 발생을 탐지할 수 있는 모니터링을 구현해야 한다. 탐지된 사고를 조치하는 활동과 손상된 의료 기기의 기능 복구 활동도 포함된다. 제조사는 의료기기의 사이버 보안 안전성 등급을 결정하고, 이에 해당하는 사이버 보안 요구 사항을 적용한다.

식약처 관계자는 “2월 중에 가이드라인 확정안이 발표될 예정”이라면서 “의료기기에 SW 탑재 비중이 높아져서 제품의 신뢰성 제고에 도움을 줄 것”이라고 말했다.

[표] 의료기기 사이버 보안 안전성 등급 분류 및 대상 품목 예시




의료기기도 사이버 보안 심사 받는다


김인순 보안 전문기자 insoon@etnews.com, 정용철 의료/SW 전문기자 jungyc@etnews.com