의료영상저장전송장치(PACS)의 사이버보안 프로젝트 완료 후기

이번 포스팅은 사이버보안 프로젝트 후기를 가져왔습니다.

​

환자 정보를 다루는 의료영상저장전송장치 (PACS)는 사이버보안의 중요성이 높은 제품으로,

25년 10월 저희 와이즈컴퍼니와 FDA 510(k) 사이버보안 프로젝트를 성공적으로 완료했습니다.

​

이번 프로젝트는 2025년 6월에 발행된 최신 FDA 사이버보안 가이드라인(“Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”)을 A부터 Z까지 모든 항목에 철저히 적용한 결과물로,

그 의미가 더욱 깊었습니다.

​

이번 글에서는 프로젝트 진행 과정과 평가 절차를 중심으로 간단히 소개드리고자 합니다.

사이버보안 시험 (Cybersecurity Testing)

이번 프로젝트에서 가장 큰 이슈는 사어비보안 시험이었습니다.

​

사이버보안 시험은 아래 순서로 진행되었습니다.

1. 제품 이해 단계
2. 먼저, 고객사의 문의가 접수되면 제품의 특성을 파악합니다.
   • 웹 기반인지, 어플리케이션이 있는지, 클라우드나 데이터베이스를 사용하는지 등 시스템 구조를 세부적으로 확인합니다.
3. 시험 준비 및 정보 수집
4. 시험에 필요한 기본 기술 자료와 시스템 접근 정보 등을 요청합니다.
5. 1차 시험 수행 및 보고서 제공
6. 시험소에서 첫 번째 시험을 수행하고, 결과를 시험 보고서(Test Report) 형태로 제공합니다.
7. 이 보고서에는 발견된 취약점 목록과 함께 각 취약점의 CVSS Score, 보완 방법(Remediation)이 상세히 기술되어 있습니다.
8. 고객사는 시험 결과를 바탕으로 취약점을 제거하거나 완화 조치를 수행합니다.
9. 이후 보완 결과를 공유하면, 재시험을 통해 수정사항을 검증합니다.
10. 보완이 충분하지 않은 항목에 대해서는 지속적으로 피드백을 주고받으며,
11. 최종적으로 재시험 보고서(Final Report)가 발행됩니다.

​

와이즈컴퍼니(주)는 미국뿐만 아니라 유럽 및 국내 규제 요구사항에 부합하는 의료기기 사이버보안 시험 서비스를 제공합니다.

합리적인 비용과 효율적인 시험 일정으로 많은 고객사로부터 높은 만족과 신뢰를 받고 있습니다.

사이버보안 문서화 (Cybersecurity Documentation)

시험이 완료되면, FDA가 요구하는 형식에 맞게 사이버보안 기술 문서를 준비해야 합니다.

FDA는 2023년 이후 사이버보안 제출 요건을 강화하였으며, 주요 문서 항목은 다음과 같습니다.

​

1. Cybersecurity Risk Management Report
   • Threat Model
   • Cybersecurity Risk Assessment
   • Software Bill of Materials (SBOM)
   • Unresolved Anomalies Assessment
2. Measures and Metrics
3. Architecture Views
4. Requirements (Control)
5. Testing Summary
6. Labeling
7. Cybersecurity Management Plans
8. Interoperability

​

특히, SBOM(Software Bill of Materials) 작성은 소스코드 접근이 필요한 경우가 많기 때문에,

보안 우려가 있는 고객에게는 직접 SBOM 추출할 수 있게 가이드를 제공하고, 필요하신 경우에는 저희가 직접 SBOM을 생성해드리기도 합니다.

​

위 시험 보고서 및 문서를 제출하여 아래 SE Letter까지 받을 수 있었습니다.

국내 및 유럽 시장의 대응

• 유럽
  • 별도의 최신 사이버보안 가이드라인이 아직 없어, 대부분 FDA 기준을 기반으로 한 문서화 서비스를 제공하고 있습니다.

국내 및 유럽 시장의 대응

• 유럽
  • 최신 유럽 사이버보안 가이드라인이 아직 없어, FDA 와 동등한 수준의 시험 및 문서화 서비스를 제공하고 있습니다.
• 국내
  • 다음 항목에 대해 작성 및 컨설팅을 지원합니다.
    1. 의료기기 사이버보안 요구사항 체크리스트
    2. 사이버보안 위험관리 보고서 (위협모델링, SBOM, 추적성 포함)
    3. 라벨링 및 사이버보안 관리 계획

​

◆ Additional notice
와이즈컴퍼니(주)의 사이버보안 시험 및 문서화 절차에 대해서는 아래 그림을 참고해주세요!