국내 의료기기 사이버 보안 인허가 가이드: 식약처 요구사항 완벽 정리

작성자: 관리자
작성일: 2026.01.21
조회수: 37

디지털 의료제품법 · 식약처 가이드라인 기반 사이버 보안 인허가 실무 가이드

와이즈컴퍼니(주)는 국내(한국) 의료기기 사이버 보안 인허가 요구사항에 효과적으로 대응할 수 있도록 지원하고 있습니다.

이번 포스팅에서는 국내(한국) 의료기기 사이버 보안 인허가를 위한 와이즈컴퍼니(주)의 대응 전략을 소개합니다.

한국 국기

인허가 법령이 정의하는 ‘보안의 의미’

디지털 의료제품법

⚠️ 디지털 의료제품법의 핵심

의료기기 제조, 수입 단계부터 “보안이 곧 안전성 관리”임을 명확히 합니다.

식약처는 인허가 심사 시 보안 대응 체계가 실제로 운영되고 있는지를 확인하며, 보안 미비는 단순 기술 오류가 아닌 법령 위반으로 간주합니다.

설계 단계에서 시작되는 ‘보안의 일관성’

TPLC 위험관리 원칙
보안테스트
N60

IMDRF-N60

의료기기 사이버 보안 원칙 및 실무

N73

IMDRF-N73

사이버 보안을 위한 소프트웨어 자재명세서(SBOM) 원칙

IEC

IEC 81001-5-1

설치·운영·유지·폐기 단계별 보안 요구사항 문서화

ISO

ISO 14971:2019

의료기기 위험 관리 국제 표준

위험 관리

의료기기 사이버 보안을 위한 소프트웨어 자재명세서 원칙 및 실무 (IMDRF-N73)

제조자는 보안 요구사항 문서화

IEC 81001-5-1: 제조자는 설치, 운영, 유지 보수, 폐기 단계까지 보안 요구사항을 문서화해야 합니다.

ISO 14971:2019

ISO 14971:2019

의료기기 보안은 개발 후가 아니라 설계 단계에서부터 시작됩니다.

IMDRF N60·N73, ISO/IEC 81001-5-1, ISO 14971 등 국제 표준은 보안 인허가의 핵심 요건으로 규정되어 있습니다.

💡 보안 일관성 확보의 핵심

설계 단계에서 위협 모델링, SBOM, 보안 요구사항이 반영되어야 제품의 보안 일관성과 인허가 통과 가능성을 입증할 수 있습니다.

결국, 보안은 설계에서 시작되어 인허가로 이어지는 필수 관리 체계입니다.

문서로 입증되는 보안 체계

의료기기 사이버보안 허가, 심사 가이드라인

식약처 – 의료기기 사이버 보안 허가·심사 가이드라인

식약처 「의료기기 사이버 보안 허가·심사 가이드라인(2025.1.10)」에서는 허가 심사 시 반드시 제출해야 하는 문서 구성을 명확히 제시하고 있습니다.

  • 사이버 보안 요구사항 체크리스트

    식약처 사이버 보안 요구사항(RA-01 ~ RA-20)에 대한 충족 여부를 항목별로 점검한 문서

  • 사이버 보안 위험 관리 보고서

    위협 모델, 사이버 보안 위험평가, 소프트웨어 자재 명세서(SBOM), 취약성 평가, 미해결 이상 평가, 추적성 등을 포함한 종합 보고서

  • 시험 성적서 (Test Report)

    보안 통제가 실제로 구현되고 있는지를 입증하는 자료

  • 라벨링 (Labeling)

    사용자 보안 안내문, 업데이트 정책 등 제품 사용 단계의 보안 관련 정보

  • 사이버 보안 관리 계획

    업데이트, 패치, CVD 절차 등 제품의 유지·관리 및 보안 운영 계획을 기술한 문서

    • 와이즈컴퍼니(주)의 사이버 보안 국내(한국) 인허가 지원

    와이즈컴퍼니는 사이버 보안 시험부터 문서화까지 인허가에 필요한 모든 범위를 통합 지원하며, 고객사의 관점에서 인허가가 원활하게 종료될 수 있도록 지원합니다.

    1) 사이버 보안 시험 및 문서화 전체 흐름도

    와이즈컴퍼니 사이버보안 흐름도
    STEP 1
    계약 & 킥오프

    STEP 2-3
    기본 문서화

    STEP 4
    1차 시험

    STEP 5
    취약점 완화

    STEP 6-7
    2차 시험 & 최종 문서화

    단계 기간 & 활동 산출물
    STEP 1 계약 & 킥오프 미팅 (1주) 1) 계약서
    2) 킥오프 미팅
    STEP 2 기본 문서 작성 시작 (4주) 1) 위협 모델링 초안
    2) SBOM 초안
    3) 시험 계획서
    STEP 3 기본 문서 최종 검토 (2주) 1) 위협 모델링 확정
    2) SBOM 확정
    STEP 4 1차 시험 수행 (2~4주) 1) 시험 성적서 (초안)
    2) 취약점 목록
    STEP 5 취약점 완화 기간 + 문서화 (4~8주) 1) 사이버보안 관리 계획
    STEP 6 2차 시험 시작 (2주) 1) 재시험
    2) 재시험 보고서
    STEP 7 2차 시험 후 문서화 (4주) 1) 사이버보안 요구사항 체크리스트
    2) 사이버보안 위험 관리 보고서

    2) 시험 프로세스 (Testing Workflow)

    와이즈컴퍼니 사이버보안 시험 프로세스
    1

    계획 수립 (Planning)

    범위·방법·리스크·허가(법적)를 확정합니다.

    2

    정보 수집 (Reconnaissance & Discovery)

    공개 출처 및 허가된 범위 내에서 타깃 정보를 수집하여 테스트 전략을 수립합니다.

    3

    취약점 자동 검증 (Automated Scanning)

    넓은 범위를 대상으로 스캐너·도구를 이용해 잠재 취약점을 빠르게 탐지합니다.

    4

    취약점 수동 검증 (Manual Verification)

    자동 탐지 결과의 오탐을 제거하고 실제 악용 가능성을 수동으로 확인합니다.

    5

    매뉴얼 수동 검증 (Controlled Exploitation)

    비즈니스 로직, 권한 상승, 인증 우회 등 고급 취약점을 통제된 환경에서 검증합니다.

    6

    증거 수집 (Evidence & Forensics)

    발견된 취약점 및 익스플로잇에 대한 증거를 안전하게 수집·보존합니다.

    7

    보고서 (Reporting & Handover)

    규제 제출용·내부 개선용 증거 기반 보고서를 완성합니다.

    8

    재검증 (Retest)

    취약점을 제거 또는 보완한 항목에 대해 재시험을 진행합니다.

    3) 문서화 (Documentation)

    와이즈컴퍼니 사이버보안 문서화

    와이즈컴퍼니 제공 문서

    1

    사이버 보안 요구사항 체크리스트

    식약처 사이버 보안 요구사항(RA-01 ~ RA-20)에 대한 충족 여부를 항목별로 점검한 문서입니다.

    2

    사이버 보안 위험 관리 보고서 (Cybersecurity Risk Management Report)

    위협 모델, 사이버 보안 위험평가, 소프트웨어 자재 명세서(SBOM), 취약성 평가, 미해결 이상 평가, 추적성 등을 포함한 종합 문서입니다.

    3

    라벨링 (Labeling)

    사용자 보안 안내문, 업데이트 정책 등 제품 사용 단계의 보안 관련 정보를 제공합니다.

    4

    사이버 보안 관리 계획 (Cybersecurity Management Plan)

    업데이트, 패치, CVD 절차 등 제품의 유지·관리 및 보안 운영 계획을 기술한 문서입니다.

    5

    요구사항 미적용 항목에 대한 근거 및 보완 문서 (필요 시)

    사이버 보안 요구사항 중 적용이 불가능하거나 불필요한 항목의 제외 사유를 명확히 기술하고, 대체 및 보완 근거를 포함한 문서입니다.

    7단계
    시험 프로세스
    8단계
    전체 워크플로우
    5종
    필수 제출 문서

    사이버 보안은 설계에서 시작되어 인허가로 이어지는 필수 관리 체계입니다.