세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
의료기기 보안 가이드라인, 드러난 윤곽 짚어보기
  |  입력 : 2017-12-04 11:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
의료기기의 사이버 보안 허가·심사 가이드라인, 의견수렴 거쳐 확정 예정
의료기기 사이버 보안 위한 최소한의 보안수칙...의무화 아닌 자율화


[보안뉴스 김경애 기자] 의료기기 해킹 등 의료 분야에서도 사이버위협 사례가 꾸준히 발생하고 있는 가운데 식품의약품안전처 식품의약품안전평가원이 초안작업에 들어간 ‘의료기기의 사이버 보안 허가·심사 가이드라인(민원인 안내서)’의 윤곽이 나왔다.

[이미지=iclickart]


해당 가이드라인은 현재 의견 수렴 단계를 거치고 있으며, 향후 확정될 방침이다. 의료기기 보안은 의무화가 아닌 자율 참여이며, 가이드라인은 의료기기의 사이버 보안 중요성이 부각됨에 따라 의료기기의 허가 심사시 고려할 사이버 보안 요구사항을 담고 있다.

이와 관련 식품의약품안전평가원 관계자는 “가이드라인은 아직까지 확정된 건 아니고 의견 수렴 단계에 있다”며 “실제 사용하는 병원 환경에 따라 보안 요구사항이 달라질 수 있기 때문에 의견을 최대한 수렴하고, 향후 심도 있는 논의를 거칠 계획이다. 현재까지 작업된 가이드라인은 의료기기에 대한 최소한의 보안조치를 적용한 것이며, 안전한 의료기기를 사용하기 위한 목적”이라고 밝혔다.

가이드라인에서는 의료기기 허가·심사 시 사이버 보안이 요구되는 의료기기의 적용 대상과 제품의 특성에 따라 적용할 수 있는 보안 요구사항, 허가 심사 시 제출해야 하는 자료의 범위 등이 포함돼 있다.

첫째, 사이버 보안이 적용되는 의료기기는 유·무선 통신을 이용하는 기기로 환자의 생체정보 등 개인정보를 송수신하거나 기기 제어, 펌웨어 또는 소프트웨어를 업데이트하는 의료기기가 해당된다.

둘째, 의료기기 사이버 보안 안전성 등급은 위험도에 따라 ‘상’, ‘중’, ‘하’로 나뉘며, 이에 따라 사이버 보안 요구사항도 달라진다. ‘상’은 사이버 침해로 사용자가 심각한 상해를 입거나 사망할 수 있는 경우나 신체 기능이 영구적으로 장애를 입을 가능성이 있는 경우에 해당된다. 여기에는 △심장충격기와 같은 4등급 의료기기 △로봇수술기와 레이저수술기와 같은 수술용 치료기기 △치료용하전입자가속장치와 같은 치료목적의 방산선 이용 의료기기 △심장충격기와 같은 치료용 의료기기 △인공호흡기와 같은 생명유지용 의료기기 △환자감시장치와 같은 생체신호 측정용 의료기기 등이 해당된다.

안전성 등급 ‘중’은 사이버 침해로 오작동이 발생할 수 있는 초음파 자극기와 같은 치료용 의료기기, 의료영상전송장치와 같은 생체신호 송수신용 의료기기 등이 포함된다.

안전성 등급 ‘하’는 사이버 침해로 생체신호가 위·변조되거나 누락될 수 있는 단백질분석장치, 젖산측정기, 적혈구침강속도측정기, 심박수계 등과 같은 생체신호 측정용 의료기기이다.

의료기기 사이버 보안 요구사항으로는 △접근통제 및 인증 △다중접속 금지 △사용자(의료기기)접속 인식 △비인가 사용자(의료기기) 접속 제한 △비인가된 네트워크 통신 차단 △원격접속 차단 △사용자(의료기기)인증 관리 △자동세션종료 △비밀번호 작성 규칙 강화 △비밀번호 하드코딩 금지 △비밀번호 노출 금지 △펌웨어 또는 소프트웨어 업데이트의 인가 △펌웨어 또는 소프트웨어 업데이트의 무결성 보장 △펌웨어 또는 소프트웨어 업데이트시 인증방식 사용 △네트워크상의 의료기기 제어정보 전송 기밀성 및 무결성 보장 △네트워크 상의 개인의료정보 전송 기밀성 및 무결성 보장 △안전한 암호 알고리즘 사용 △물리적인 통신포트 침해의 최소화 △불필요한 서비스 제거 또는 비활성화 강호 △개인의료정보 저장 관리 △데이터 감사를 위한 시스템 로그 기록 △주요 실행파일 및 설정파일에 대한 무결성 검증 및 대응 △사이버보안 위협 탐지 시 취해야 할 대응책에 관한 정보 제공 △디도스(DDoS) 공격에 대한 방어 등이 포함됐다.

안전성 등급 분류 중 ‘상’에 해당하는 의료기기는 위에 언급한 보안요구사항이 모두 적용돼야 하며, ‘중’은 디도스 공격 방어 장비를 제외하곤 모두 적용해야 한다. ‘하’는 △원격접속 차단 △펌웨어 또는 소프트웨어 업데이트의 인가 △펌웨어 또는 소프트웨어 업데이트의 무결성 보장 △펌웨어 또는 소프트웨어 업데이트 시 인증방식 △사이버 보안 위협 탐지 시 취해야 할 대응책에 관한 정보를 제공해야 한다.

셋째, 유·무선 통신이 가능한 의료기기의 경우 허가 신청 시 제출해야 할 서류는 ‘의료기기 허가·신고·심사 등에 관한 규정(식약처 고시 제29조의 성능에 관한 자료)’에 따라 △의료기기 사이버 보안 필수원칙 체크리스트 △사이버 보안 위험관리 문서 △소프트웨어 검증 및 유효성 확인 자료 등이 포함된다.

의료기기 사이버 보안 필수원칙 체크리스트는 의료기기 사이버 보안 요구사항에 대한 적합성 여부를 확인할 수 있는 자료로 의료기기 허가 및 심사 시 의료기기 사이버 보안 필수원칙 체크리스트 양식을 활용해 제품의 특성에 맞게 작성해 제출해야 한다.

사이버 보안 필수 원칙 체크리스트 항목으로는 △접근통제 및 인증 △다중접속 금지 △사용자(의료기기) 접속 인식 △비인가된 사용자(의료기기) 접속 제한 △비인가된 네트워크 통신 차단 △원격접속 차단 △사용자(의료기기) 인증 관리 △자동세션종료 △비밀번호 작성 규칙 강화 △비밀번호 하드코딩 금지 △비밀번호 노출 금지 △펌웨어 또는 소프트웨어 업데이트의 인가 등이 포함돼 있다.

사이버 보안 위험관리 문서는 의료기기 전체 생명주기에서 사이버 보안과 관련된 위해요인을 파악해 발생 가능한 위해 요소를 최소화하고, 차단하기 위한 위험관리 활동을 기록한 보고서라고 할 수 있다. 해당 문서는 신청 제품의 사이버 보안과 관련된 위해요인 식별과 각 위해요인에 대한 위험분석 및 위험 경감 조치 결과를 기재해야 한다.

마지막으로 소프트웨어 검증 및 유효성 확인 자료는 의료기기의 위험관리 과정에서 식별된 위해요인에 대한 위험통제 조치의 결과를 검증할 수 있는 객관적인 자료로, 사이버보안 요구사항에 대한 시험 및 검증 절차, 시험결과, 시험 및 검증 도중 소프트웨어 변경이 발생한 경우 재시험 결과를 포함해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)