미국 FDA 사이버보안 – 라벨링

이번 글에서는 사이버보안 라벨링의 중요성에 대해 살펴보겠습니다.

사이버보안 위험이 있는 장치에 대해서 사용자에게 관련 정보를 제공하는 것은,
이러한 위험을 완화하고 장치의 안전성과 성능을 지속적으로 유지하는 데 매우 중요합니다.

사용자에게 이전된 모든 위험은 명확하게 설명되어야 하며,
사용자가 해당 위험을 어떻게 관리할 수 있는지 이해할 수 있도록 해야 합니다.

온라인 포털을 통해 정보를 제공하는 경우,
항상 최신 링크를 제공하여 사용자가 정확한 정보를 얻을 수 있도록 보장해야 합니다.

​사이버보안 라벨

사이버보안 라벨에 포함될 수 있는 정보는 다음과 같습니다:

✅ 사이버보안 제어와 관련된 장치의 지침 및 제품 사양, 사용 환경에 적합한 사이버보안 제어 방법
(예: 방화벽 사용, 비밀번호 요구 사항 등)
✅ 사용자가 권장되는 사이버보안 제어를 구현할 수 있도록 하는 충분히 자세한 다이어그램
✅ 데이터 수신 및 전송이 예상되는 네트워크 포트 및 기타 인터페이스 목록
✅ 장치가 의도한대로 작동할 수 있도록 지원하는 인프라 요구 사항에 대한 특정 지침
– 안전한 네트워크의 배포 및 서비스를 허용하기 위한 기술 지침
– 사이버보안 취약점 또는 사건이 감지되었을 때 사용자가 대응하는 방법에 대한 지침
✅ 소프트웨어 자재명세서
– 기계 판독 가능 형식이어야 하며, 사용자가 최신 링크를 통해 정확한 정보를 얻을 수 있어야 함
✅ 소프트웨어 및 펌웨어를 다운로드할 수 있는 체계적인 절차에 대한 설명
✅ 비정상적인 조건이 감지되었을 때 대응할 수 있는 방법에 대한 설명
– 비정상적인 조건: 네트워크 이상, 로그인 시도, 비정상적인 트래픽 등
– 비정상적인 조건이 감지되었을 때, 사용자에게 알림을 보내고 관련 정보를 기록한다는 내용
✅ 중요한 기능을 보호하는 장치에 대한 상위 수준의 설명 (예: 백업 모드, 포트/통신 비활성화)
✅ 인증된 구성을 복원하기 위한 백업 및 복원 기능, 절차에 대한 설명
✅ 배송된 장치의 안전한 구성, 사용자가 구성 가능한 변경 사항에 대한 지침
– 이러한 변경 사항이 의료기기 시스템의 보안 위험을 증가시킬 수 있는지에 대한 설명
✅ 의도된 사용 환경에 적합한 경우, 보안 이벤트에 대한 로그 파일의 유지 관리 방법
– 로그 파일이 위치하고, 저장되고, 재활용되는 방법과 자동화된 분석 소프트웨어에 대한 설명
✅ 알려져 있거나 예상되는 경우, 장치의 사이버보안 지원 종료 및 수명 종료에 대한 정보
– 지원 종료 시, 제조업체는 보안 패치나 소프트웨어 업데이트를 합리적으로 제공할 수 없음
✅ 민감한 데이터와 소프트웨어를 제거하여 장치를 안전하게 폐기하는 방법에 대한 정보

​

위에서 언급한 권장 사항 중 일부는 MDS2(Manufacturer Disclosure Statement for Medical Device Security) 및 JSP(Medical Device and Health IT Joint Security Plan)에서 다루는 고객 보안 문서를 통해 보다 구체적으로 제공될 수 있습니다.

이러한 문서들은 장치의 사이버보안 위험을 완화하고, 사용자와 제조업체 간의 책임을 명확히 구분하는 데 도움을 줍니다.

지금까지 사이버보안 라벨링에 대해 알아보았습니다.

사이버보안 라벨링은 사용자에게 중요한 정보를 제공함으로써 제품의 신뢰성을 높이고,

장치의 보안 유지에 기여할 수 있습니다.