[MPIS 2025] 코어시큐리티 “의료기기 수명주기 전반에 걸친 사이버보안 전략 필수”(영상)

윤민규 선임연구원 “의료기기 보안은 생명과 직결…인증 기준 넘어 전략적 프레임워크 필요

데일리시큐는 지난 5월 13일 화요일, 서울 한국과학기술회관 국제회의실에서 전국 국공립 의료기관 및 대학·민간 병원의 개인정보보호 및 정보보안 책임자, 실무자 250여 명이 참석한 가운데 ‘2025 의료·헬스케어 정보보호 페어(MPIS 2025)’를 개최했다. 이번 행사는 보건복지부, 대한병원정보보안협회, 디지털헬스보안협회의 후원으로 진행됐다.

이날 코어시큐리티(대표 김태일) 윤민규 선임연구원은 ‘의료기기 사이버보안 인증(FDA eSTAR 사이버보안)’을 주제로 강연을 진행하며, 미국식품의약국(FDA)의 인허가 규제 변화와 의료기기 보안 요건에 대응하기 위한 전략을 상세히 소개했다.

■의료기기 TPLC 관점에서 보안 접근 필요

윤 연구원은 의료기기가 단순한 하드웨어 제품이 아닌, 생명과 직결되는 시스템이라는 점을 강조하며 강연을 시작했다. 특히 "의료기기의 전체 수명주기(Total Product Life Cycle, TPLC)에 걸쳐 체계적인 보안 프레임워크가 적용돼야 환자 안전과 정보 보호를 보장할 수 있다"고 설명했다.

의료기기는 설계 및 개발단계(Pre-Market)부터 실제 임상 사용 이후(Post-Market)까지, 제품의 생애 전 과정에서 보안 요구사항이 다르게 발생한다. 그는 이를 위해 보안요구사항 정의, 시큐어 코딩, 위협 모델링, 보안기능 테스트 등 개발 단계별 세분화된 대응이 필요하다고 강조했다.

강연에서는 사이버보안 사고 발생 시 평균 대응 시간이 2011년에는 416일에 달했으나, 최근에는 10일 이내로 단축되고 있다고 밝혔다. 윤 연구원은 “위협 탐지부터 완화, 대응, 복구까지 소요되는 ‘Dwell Time’을 최소화하는 것이 의료기기 보안에서 핵심 성과지표”라며, 신속한 탐지 및 복원력이 중요한 평가 기준임을 설명했다.

■FDA eSTAR, 사이버보안 항목 대폭 강화

2024년부터 미국 FDA는 기존 의료기기 인허가 프로세스인 510(k)을 ‘eSTAR’(electronic Submission Template And Resource)로 전면 전환했다. 이 템플릿 내 ‘Cybersecurity’ 항목은 ▲위협 모델링

▲SBOM(Software Bill of Materials) ▲취약점 관리 ▲보안 컨트롤 ▲보안 테스팅 등 12개 대분류, 20개 세부 항목으로 구성되어 있다.

윤 연구원은 “FDA eSTAR는 단순 문서가 아닌, 제품의 사이버보안 수준을 입증하는 기술 기반 인증요건이다. 모든 항목에 대해 명확한 증빙 문서가 필요하다”고 밝혔다.

■Threat Modeling: STRIDE와 ATT&CK 적용

위협 모델링 부분에서는 Microsoft STRIDE 기법과 MITRE ATT&CK 프레임워크를 결합해 공격 시나리오를 정의하는 방식이 소개됐다. 윤 연구원은 실제 사례를 들어, 의료기기 구성요소별 데이터 흐름을 시각화하고 이를 통해 공격 표면을 도출하는 과정을 설명했다.

또한 위험 평가 단계에서는 식별된 위협에 대해 제거, 완화, 수용, 전가 등의 관리방안을 적용하고, 그 근거와 잔여위험(Residual Risk)에 대한 평가 계획을 수립해야 한다고 밝혔다.

■SBOM, 취약점 관리와 EoS 대응의 핵심

의료기기 보안에서 SBOM의 중요성도 강조됐다. SBOM은 의료기기에 탑재된 상용·오픈소스 소프트웨어 구성요소에 대한 목록이며, 각 소프트웨어의 버전, 지원 종료일(EoS), 취약점 여부를 포함해야 한다. 윤 연구원은 “SBOM 기반의 취약점 식별과 관리 능력은 FDA 인증의 핵심 요건”이라고 말했다.

■인증, 인가, 암호화 등 보안 통제 요소 필수 반영

강연에서는 FDA 가이드라인에 따라 구현해야 하는 8가지 사이버보안 통제 항목도 상세히 설명됐다. ▲인증(Authentication) ▲인가(Authorization) ▲암호화(Encryption) ▲무결성(Integrity) ▲기밀성(Confidentiality) ▲로깅(Logging) ▲복원력(Resilience) ▲업데이트(Software/Firmware Update) 등의 항목이 구체적으로 제시되었다.

이 외에도 제품의 보안 상태를 모니터링할 수 있는 정량적 지표(Cybersecurity Metrics)와, 식별된 이상징후(Unresolved Anomalies)에 대한 영향 분석과 대응 방안 마련도 필수적임을 강조했다.

■의료기기 보안 라벨링과 사후 관리계획까지 포함해야

FDA는 사용자에게 제공하는 사이버보안 라벨링(Labeling)도 요구한다. 의료진과 환자가 이해할 수 있도록 의료기기의 보안 설정, 네트워크 포트 정보, 업데이트 절차, 백업 및 복구 방법 등을 명확히 명시해야 한다. 또한 사후 관리계획(Cybersecurity Management Plan)에서는 취약점 모니터링, 보안 패치 일정, 보안 테스트 주기, 공개 절차 등도 포함해야 한다.

윤민규 연구원은 eSTAR에서 요구하는 사이버보안 테스팅 방법도 소개했다. 정적 애플리케이션 보안 테스트(SAST), 퍼징 테스트(Fuzzing), 그리고 MITRE ATT&CK 기반의 레드팀 모의침투까지 다양한 방식이 활용되며, 실제 의료기기에 대한 보안성 평가가 반드시 수반되어야 한다고 강조했다.

■“의료기기 보안은 생명과 직결…인증 기준 넘어 전략적 프레임워크 필요”

강연을 마무리하며 윤 연구원은 “의료기기 사이버보안은 단순히 인증을 위한 과정이 아닌, 환자의 생명과 직결되는 문제로 인식돼야 한다”며 “기업은 제품 개발 전 단계부터 보안 요소를 설계에 포함하고, 사후 관리까지 지속 가능한 전략적 프레임워크를 수립해야 한다”고 말했다.

또한 “미국 FDA는 물론 유럽 MDR, 일본 PMDA 등도 비슷한 사이버보안 기준을 강화하고 있다”며 “글로벌 시장 진출을 위해서라도 국내 기업들은 보안 문서화와 테스팅, SBOM 관리 체계를 조기에 확보해야 한다”고 조언했다.

보다 상세한 내용은 아래 강연영상을 참고하면 되고 데일리시큐 자료실에서 강연자료를 다운로드 할 수 있다

출처 : 데일리시큐(https://www.dailysecu.com)