디지털 의료기기의 사이버보안은 여러 단계에서 이루어집니다. 주요 규제 기관들은 의료기기의 수명주기 전반에 걸쳐 사이버보안을 중요시하고 있으며, 이를 위한 검증 및 확인 과정에는 보안취약성 점검, 퍼즈 시험(fuzz testing), 침투 시험(penetration testing) 등이 포함됩니다.
디지털 의료기기 보안취약성 점검
의료기기의 소프트웨어나 네트워크에서 취약점을 찾아내는 과정입니다. 이를 통해 발견된 취약점은 수정되어야 하며, 새로운 보안 위협에 대응하기 위해 지속적으로 업데이트되어야 합니다.
퍼즈 시험
데이터를 의도적으로 조작하여 시스템의 예외 처리 능력을 테스트하는 방법입니다. 이를 통해 예상치 못한 입력에 대한 의료기기의 반응을 확인할 수 있습니다.
침투 시험
사이버 공격을 모의하여 의료기기의 보안 수준을 평가하는 과정입니다. 이 시험을 통해 발견되지 않은 취약점을 식별하고, 보안을 강화할 수 있습니다.
의료기기 제조업체는 소프트웨어 변경 시 보안취약성 점검 및 침투 시험을 반복해야 하며, 회귀 테스트(regression test)를 통해 변경사항이 사이버보안에 부정적인 영향을 미치지 않음을 확인해야 합니다.
마무리
식품의약품안전처는 의료기기의 사이버보안 가이드라인을 배포하여, 유무선 통신 기능이 있는 의료기기의 사이버보안 방안을 제시하고 있습니다. 이 가이드라인에는 의료기기 사이버보안 보호 체계를 갖춘 제품의 개발과 사용 단계에서 환자 보호, 사이버 보안이 적용되지 않고 사용 중인 의료기기를 위한 기업 및 의료기관의 역할, 의료기기 사이버보안 안전관리를 위한 소프트웨어 자재 명세서(SBOM) 수집과 정보 제공 방법 등이 포함되어 있습니다.
이러한 방법들을 통해 디지털 의료기기의 사이버보안을 체계적으로 관리하고, 환자의 안전을 보장할 수 있습니다.