의료기기 사이버보안 기본원칙
의료기기 사이버보안은 가용성(Availability), 기밀성(Confidentiality), 무결성(Integrity)을 고려하여야 한다. 가용성은 데이터가 승인된 사용자에게 즉시 제공되어야 하며, 필요한 때에 필요한 곳에서 필요한 형태로 존재되어야 함을 의미한다. 기밀성은 데이터가 허가되지 않은 사람에게 공개되거나, 허가되지 않은 용도로 사용되지 않아야 함을 의미한다. 제조자는 데이터의 송·수신 과정 또는 비인가자의 조회 등 비합법적인 방법이나 오류에 의해 데이터가 노출되더라도 해독하기 어렵도록 호화하고 인가된 자에 한해 정보의 접근이 가능하도록 하며, 정보이용자도 목적과 그 권한에 따라 접근범위를 제한하여야 한다. 무결성은 데이터가 허가되지 않은 방법으로 변환되거나 파괴되지 않아야 함을 나타낸다. 정보는 정확하고 완전해야 하며, 위·변조를 통해 왜곡되지 않도록 해야 한다. 정보 변경 시 인가된 사용자에 의해서만 이루어지고, 로그 및 변경 이력이 관리되어야 한다. 의료기기의 사이버보안을 보장하기 위하여 가용성, 기밀성, 무결성이 준수되어야 하며, 의료기기 위험관리와 같이 「의료기기 제조 및 품질관리 기준」에 따라 의료기기 제조자가 품질시스템에서 수립한 위험관리프로세스 내에서 적용되어야 한다. 의료기기 사이버보안의 위험관리 프로세스는 위험분석(Risk analysis), 위험평가(Risk evaluation), 위험통제(Risk control), 잔여위험 허용평가(Evaluation of overall residual risk acceptability), 위험관리보고서 (Risk management report), 생산 및 생산 후 정보(Production and postproduction information)의 단계로 진행된다. 이러한 사이버보안 위험관리는 정보의 생명주기 전체에 걸쳐 통신이 가능하거나 통신 경로가 존재하는 의료기기에 적용한다. 의료기기 사이버보안 위험분석 단계에서는 가용성, 기밀성, 무결성이 파괴되어 환자에게 미치는 위해요인을 식별한다. 또한 이러한 과정에서 식별된 위해요인이 현실화된 결과의 잠재적 영향을 평가하고, 실제적인 발생 가능성을 평가하여 위험 수준을 결정한다. 의료기기 사이버보안 위험평가 단계에서는 식별된 각 위해요인에 대하여 위험관리 계획서에 정의된 위험 수용기준을 바탕으로 산정된 위험이 위험감소를 하지 않아도 될 만큼 낮은 지를 결정하여야 한다. 의료기기 사이버보안 위험통제 단계에서는 위험평가 결과를 감안한 적절한 사이버보안 위험통제 방안을 선택하고, 선택한 방안의 구현에 필요한 모든 통제를 결정 및 실행하여야 한다. 그리고 위험통제 수단을 적용한 후 잔여위험들에 대하여 허용 평가를 하여야 한다. 제조자는 이러한 일련의 사이버보안 위험관리 프로세스에서의 절차들을 위험관리보고서에 기록하여야 한다. 생산 및 생산 후 정보 단계에서는 사이버보안에 대한 정보를 검토하기 위한 체계적인 절차를 수립하고 유지하여야 한다. 또한, 제조자는 사이버보안 위험관리 프로세스를 적용하기 위해 적절한 기능과 수준으로 사이버보안 목표를 수립하여야 한다. 사이버보안 목표는 사이버보안 정책과의 일관성을 유지하고, 실현가능한 수준에서 측정이 가능하며 적용 가능한 사이버보안 요구사항과 위험평가 및 위험처리 결과를 감안하여야 한다. 아울러, 의료기기 생명주기 전체에 걸쳐 내부 및 외부 고객들의 의견을 지속적으로 수집·분석하여 의료기기 사이버보안 위험관리에 반영한다.
의료기기 사이버보안 요구사항
유·무선 통신이 가능하거나 통신 경로가 존재하는 의료기기는 정보의위변조, 오작동 또는 의료기기에 승인되지 않은 접근 등을 방지하기 위한 대책을 마련하여야 한다. 제조자는 표 1을 참고하여 의료기기의 잠재적 결함으로 인해 사용자에게 발생할 수 있는 위해(Harm)의 정도, 의료기기의 통신방법 및 사용환경을 종합적으로 고려하여 표 1의 요구사항 적용 여부를 식별하고, 식별된 요구사항에 대해 사이버보안 안전을 확인할 수 있는 검증자료를 제출하여야 한다. 다만, 제품의 특성상 적용할 수 없는 일부 요구사항에 대해서는 해당 항목의 미적용 사유를 확인할 수 있는 근거자료(위험관리문서, 사용설명서, 설계문서 등)를 제출할 수 있다. 사이버보안 요구사항은 IMDRF ‘의료기기 사이버보안 원칙 및 지침’(Principles and Practices for Medical Device Cybersecurity, IMDRF(2020)) 5.1 보안 요구사항 및 아키텍처 디자인의 사이버보안 설계 원칙을 적용한 것으로 현시점에서 사용되고 있는 제품들의 기술적 특성을 반영하였다. 추후 새로운 제품이 개발되거나 기능, 통신 특성 등이 차이가 있는 경우 사이버보안 요구사항 일부가 제외되거나 추가될 수 있다. 이러한 요구사항은 제품의 허가 이후에도 지속적인 사후관리를 통해 제품에 반영하여야 한다.
결론
정보통신기술의 발달로 유,무선 통신하는 의료기기의 개발이 증가하고 있다. 이러한 의료기기는 원격지료 목적으로 사용되는'유헬스케어 의료기기'에서부터 생명 유지 기능 목적의 '이식형 심장복당기'에 이르기까지 매우 다양하며, 기술의 발전으로 통신 가능한 다양한 유형의 의료기기가 개발되고 있다. 그러나 의료기기의 해킹, 정보 유출 등 사이버보안 위협사례가 꾸준히 보고되고 있고, 이러한 위협사례는 재산적 손실뿐만 아니라 환자 생명에 직접적인 위해를 줄 수 있어 의료기기의 사이버 보안에 대한 중요성이 중요하다. 그렇기 때문에 사이버보안의 기본원칙과 요구사항을 확인하여 의료기기의 안전관리를 확보하는 것이다.