추천 기사

의료기기와 사이버 보안이 협상 불가능한 이유

규제 당국은 오랫동안 의료기기 회사가 자사 제품의 사이버 보안을 효과적으로 관리할 것으로 기대해 왔습니다.

게시일:
2024년 9월 12일

이 기사는 원래 New Electronics에 게재되었습니다.

이러한 노력을 지원하기 위해 식품의약국(FDA)은 기성품(OTS) 소프트웨어를 갖춘 네트워크 의료기기에 초점을 맞춰 2005년에 의료기기 사이버 보안에 대한 첫 번째 지침을 발표했습니다.

그럼에도 불구하고, 수년에 걸쳐 FDA의 시판 전 지침은 크게 발전하여 2014년 9페이지 문서에서 2023년 57페이지 종합 지침으로 확장되었습니다. 이러한 발전만으로도 의료기기 산업에서 사이버 보안의 중요성이 커지고 있음을 알 수 있습니다.

그러나 2023년 통합예산법은 의료기기 사이버 보안에 대한 FDA의 전통적으로 비공식적 권고 사항을 공식적인 법률 기반 요구 사항으로 전환했습니다. 의료기기의 사이버 보안에 대한 FDA의 2023년 업데이트 지침: 품질 시스템 고려 사항 및 시판 전 제출 내용과 결합하여 이 개발은 의료기기 사이버 보안의 기준이 높아졌음을 의미합니다. 이러한 변화는 의료기기 사이버 보안에 대한 규제 환경의 중요한 발전을 나타냅니다.

의료기기의 '사이버 안전' 유지 보장

전 세계의 이니셔티브에서 알 수 있듯이 이러한 기대는 US에만 국한되지 않습니다. 예를 들어, EU의 네트워크 및 정보 시스템 보안에 관한 2022/2555 지침(NIS2)은 이제 화학 물질(API), 의약품, 의료기기를 포함한 의료 제품 제조업체가 포괄적인 사이버 보안 위험 관리 조치를 구현하고 보고 요구 사항을 준수하도록 요구합니다.

그런 다음 호주에서는 의약품 관리국(TGA)이 사이버 보안에 대한 전체 제품 수명 주기(TPLC) 접근 방식을 요구하는 2022년 산업용 의료기기 사이버 보안 지침을 발표했습니다. 이 접근 방식을 사용하려면 제조업체는 침투 테스트, 위협 모델링 및 기타 사전 조치를 위험 관리 평가 프로세스에 통합해야 합니다.

싱가포르에서는 CLS-MD(Cybersecurity Labeling Scheme for Medical Devices)가 사이버보안 조항을 기반으로 의료기기 등급 시스템을 도입했습니다. 이 제도에 따라 의료기기는 사이버 보안 견고성에 따라 평가 및 라벨링되어 일반 대중과 의료 서비스 제공자에게 귀중한 정보를 제공합니다. 이 라벨링 시스템을 통해 정보에 입각한 구매 결정을 내릴 수 있으므로 이해관계자는 높은 사이버 보안 표준을 충족하는 의료기기를 식별하고 선택할 수 있습니다.

이러한 글로벌 이니셔티브는 의료기기 산업에서 강력한 사이버 보안 조치의 중요성에 대한 국제적 공감대가 커지고 있음을 반영합니다.

상호 연결의 장점에는 약점이 없지 않습니다.

의료기기에 소프트웨어가 포함되어 있는 경우, 특히 다른 기기나 네트워크에 전자적으로 연결할 수 있는 경우 사이버 보안의 우선순위가 중요해집니다. 소프트웨어 지원 스마트 의료기기와 사물인터넷(IoT)으로의 전환을 통해 촉진되는 현대 의료 환경에서 의료기기의 상호 연결성은 편리하고 시기적절한 치료라는 이점을 제공한다는 점은 부인할 수 없습니다.

예를 들어, 심장 이식 환자를 원격으로 모니터링할 수 있어 의사를 자주 방문할 필요성이 줄어듭니다. 마찬가지로 혈당 수치를 관리하는 새로운 도구를 사용하면 혈당 측정기와 인슐린 펌프가 원활하게 상호 작용할 수 있습니다. 또한 병원은 데이터를 원활하게 공유함으로써 치료와 효율성을 향상시키기 위해 더 많이 상호 연결된 장치를 채택하고 있습니다. 그러나 동시에 의료 시스템에 약한 연결이 있는 경우 의료기기가 사이버 공격 및 보안 침해에 더욱 취약해집니다.

취약한 장치를 악용하고, 환자 기록에 액세스하고, 운영을 중단하고, 몸값을 요구하거나 네트워크에 침투하기 위해 의료 기관을 표적으로 삼는 악의적인 행위자로부터 위험이 높아졌습니다. 예를 들어, 인슐린 펌프, 심장 박동 조율기, 웨어러블과 같은 장치는 환자 데이터를 실시간으로 추적하고 환자와 의사에게 정보를 즉시 전송하므로 취약성이 높아집니다. 따라서 이러한 중요한 장치를 보호하고 환자의 안전을 보장하려면 강력한 사이버 보안 조치가 필수적입니다.

개발자를 위한 실질적인 영향

FDA의 사이버 보안 지침 및 규제 범위는 데이터 저장, 전송 및 분석을 포함한 광범위한 장치 소프트웨어 기능을 포함합니다. 업그레이드 가능한 소프트웨어, USB 포트 또는 컴팩트 디스크 기술을 갖춘 모든 의료 또는 진단 장치는 이제 연결된 장치로 분류되며 새로운 규정에 속합니다.

FDA과 UK의 NCSC-보안 설계 원칙은 제조업체가 더 넓은 생태계와 장치의 상호 연결성을 고려하는 것이 중요하다는 점을 강조합니다.

보안 목표는 독립적으로 운영되기보다는 의료기기의 전체 시스템 아키텍처에 걸쳐 통합되어야 합니다.

의료기기 제조업체(MDM)는 보안 위협과 취약성을 즉시 식별하고 평가하며 우선 순위를 지정하여 기기가 시장에 출시되기 전에 보안을 보장할 수 있도록 기기 출시에 앞서 위협 모델링을 수행해야 합니다. 주요 문제의 우선순위 목록을 작성하면 팀이 제출 전에 중요한 문제를 효과적으로 처리하고 해결할 수 있습니다. 또한 팀이 향후 반복에서 체계적으로 해결할 수 있는 문서화된 보안 고려 사항 로그를 설정합니다.

나중에 단일 수정이 필요하지 않도록 시스템 문제를 해결하는 것도 중요합니다. 여기에는 표준 운영 절차 개정, 품질 관리 시스템 조정, 전체 개발 수명 주기에 걸쳐 사이버 보안 표준과 규제 요구 사항을 모두 충족하는 포괄적인 보안 전략 개발이 포함될 수 있습니다.

궁극적으로 사이버 보안 조치에 대해 FDA이 정한 명시적인 기준을 충족하지 못하면 환자의 안전이 위험해지고 데이터 무결성이 손상될 뿐만 아니라 시장 진입이 지연되어 재정적 손실과 평판 손상을 초래할 수도 있습니다. 마찬가지로, EU의 경우, 사이버 복원력법을 준수하지 않는 제조업체는 단일 시장에서 제품이 제거되거나 일반 데이터 보호 규정(GDPR)에 규정된 것과 유사한 상당한 벌금이 부과될 수 있습니다.

위험을 완화하기 위해 FDA에서는 소프트웨어 보안 및 공급망 관리의 기본 요소로 "소프트웨어 재료 명세서"(SBOM) 프로그램을 구현할 것을 권장합니다. SBOM은 장치 내의 모든 소프트웨어 구성 요소에 대한 포괄적인 목록을 제공하여 취약점을 효과적으로 추적하고 관리할 수 있도록 합니다.

제조업체가 규제 환경을 효과적으로 탐색하고 의료기기의 보안과 무결성을 보장하려면 목표 시장의 사이버 보안 요구 사항과 기대치를 이해하고 이에 맞추는 것이 필수적입니다.

치료보다 예방이 낫다

사이버 보안은 나중에 고려할 것이 아니라 의료기기 개발의 기초에 통합되어야 한다는 점을 기억하는 것이 중요합니다.

사이버 보안은 예산 할당, 리소스 할당, 교육 등을 포함하여 비즈니스의 모든 측면에서 우선 순위가 되어야 합니다. 단순히 규정을 준수하고 처벌을 피하는 것만이 아닙니다. 이는 최종 사용자가 자신의 삶에 밀접하게 통합된 장치를 신뢰할 수 있는 경우에만 상호 연결된 고급 장치의 진정한 이점이 빛을 발할 것이라는 점을 인식하는 것입니다. 이러한 장치 뒤에 있는 소프트웨어는 사이버 보안을 염두에 두고 구축되지 않으면 사이버 위협에 취약해져서 이를 사용하는 환자도 동일한 위험에 노출될 수 있습니다. 그것은 목적을 무너뜨리는 것입니다.

후속 수정을 피하기 위해 보안 전략을 설계할 때 시스템적인 문제도 해결해야 합니다. 이러한 프로세스에 중요성을 부여하면 개발자는 잠재적인 위험을 예측하고 사전에 시정 조치를 취할 수 있게 되어 궁극적으로 잠재적인 평판 손상, 재정적 손실, 시장 지연 및 환자 안전 문제를 피할 수 있습니다.

뉴스레터 구독
월간 뉴스레터를 이메일로 받아보세요.
구독하면 이용약관에 동의하는 것입니다.
감사합니다. 제출이 접수되었습니다.
양식을 제출하는 중 문제가 발생했습니다.
Get your instant estimate
AI-powered dossier compilation and local representation, all for a flat annual fee.
견적 확인
더 읽기

어디에 계시든,
상담해 드립니다.

더 많은 정보가 필요하든 협업을 시작할 준비가 되었든, 규제 절차의 모든 단계를 안내합니다.

문의하기