미국 FDA, 새로운 의료기기 사이버보안 지침 발표

- 의료기기 제조업체, 사이버보안 대책 발표 -

- 일부 의료기기에 대한 사이버 공격 가능성 대비 -

 

 

 

□ 미국 의약청(FDA), 새로운 사이버 보안지침 마련

 

 ○ 의료기기 사이버 공격 위험성 크게 증가

  - 지난 6월 13일, 미국 식품의약청(FDA)은 사이버 공격에 의해 일부 의료기기들이 손상됐다는 보고에 따라 의료기기 및 병원 네트워크를 위한 사이버 보안 지침을 발표함.

  - 이 지침서는 사이버 보안을 저장 장치 침입 또는 의료기기에서 외부 수신자에게 전송되는 정보에 대한 오용, 무단 사용, 무단 조작을 방지하는 절차로 정의함.

  - 새로운 사이버 보안지침의 주요 대상은 의료기기 제조업체, 병원, 의료기기 이용기관, 의료 IT 및 직원, 생명공학자 등이 있음.

  - FDA는 사이버보안 사고와 관련된 환자의 부상 또는 사망은 없었으며, 특정 의료기기 또는 시스템을 대상으로 새로운 지침을 발표하는 것이 아니라고 밝힘.

 

 ○ 의료기기 사이버 보안 지침 내용

  - 많은 의료기기가 사이버 공격에 노출되기 쉬운 내장 컴퓨터 시스템을 보유하는 가운데 의료기기 간의 상호 연관 관계가 심화되는 환경에 대비

  - 의료기기 내 악성 바이러스 침입 또는 병원 네트워크 무단 액세스로 인한 위험을 최소화하기 위함.

  - 의료기관이 적절한 절차를 거치고 보호조치를 취할 수 있도록 도움주기 위함.

 

 ○ 의료기기 사이버 공격 위험성 증가

  - 최근 FDA는 의료기기 및 병원 네트워크 운영에 직접적인 영향을 미치는 다음과 같은 여러가지 사이버보안 사고에 대해 인지함.

  - 바이러스 침입으로 광범위하게 연결된 병원 전체 네트워크와 연결된 의료기기들의 고장을 일으킬 위험이 높음.

  - 환자 관련 정보, 모니터링 시스템, 또는 환자이식장치에 대한 액세스를 얻기 위해 병원 컴퓨터, 스마트폰, 테블렛 등 모바길 기기에 악성코드를 침입시킴.

  - 악성코드의 예로 특정 그룹에만 암호를 부여하기 위해 만들어진 소프트웨어가 실제 비밀번호, 유효하지 않은 암호 또는 하드코딩된 암호를 무분별하게 배포해 피해를 줌.

  - 많은 의료기기 업체는 의료기기에 대한 적절한 보안 소프트웨어 업데이트 및 패치를 제공하지 못하고 있어 사이버 공격 위험성에 노출돼 있음.

 

□ FDA가 권고하는 새로운 지침

 

 ○ 의료기기 제조업체들은 다음과 같은 사항을 준수해야 함.

  - 의료기기와 관련된 사이버보안 위험성 확인

  - 환자의 안전 및 올바른 기기 사용에 대한 정보 전달

  - 의료기기에 대한 무단 액세스를 제한하기 위한 사이버 보안정책 검토

  - 스마트카드, 패스워드를 이용해 인증된 사용자들에게만 의료기기 액세스 제공

  - 의료기기 별 사용환경에 따른 적절한 보안관리 전략 구축

  - 사이버보안 사고 이후 대응계획 및 복구방법 제공

 

 ○ 의료기관들은 다음과 같은 사항을 준수해야 함.

  - 네트워크화된 의료기기에 대한 무단 액세스 제한

  - 해당 바이러스 백신 소프트웨어 및 방화벽 최신 업데이트

  - 네트워크 내 무단사용 모니터링

  - 보안 패치 업데이트 및 불필요한 포트와 서비스의 비활성화를 포함한 정기적인 평가를 통해 개별 네트워크 구성요소 보호

  - 의료기기와 관련된 사이버보안 문제라고 생각될 시 특정기기 제조업체에 문의. 미확인된 제조업체이거나 연락이 불가능할 경우 FDA와 DHS ICS-CERT가 취약성 보고 및 해결을 위한 지원

 

□ 의료기기 사이버 보안 관련 문제 발생 시 FDA 보고 요청

 

 ○ 의료기기 성능에 영향을 미칠만한 사이버보안 사고가 일어났을 때 의료기기 제조업체들은 FDA 내 안전정보 및 사건발생 보고 프로그램인 MedWatch를 통해 자발적으로 보고서를 제출할 것을 권장

 

 ○ FDA 이용자 보고 시스템 요구사항에 적용되는 의료시설 내 직원은 각 시설이 정한 보고 절차를 따라야 하며, 의료기기 제조업체들은 의료기기 보고 규정(Medical Device Reporting–MDR)을 준수해야 함.

 

 ○ FDA가 특정 의료기기와 관련된 모든 사이버 보안문제에 대해 알아낼 수 있도록 다음 정보가 있는 경우 보고서 내에 포함할 것

  - 문제 발생에 대한 정보를 제공한 출처는 누구인가?

  - 언제/어떻게 처음 정보 보안 및 사이버보안 문제를 발견했는가?

  - 문제가 발생된 기기의 고유 모델 번호 및 펌웨어 버전이 무엇인가?

  - 몇 개의 의료기기에 영향을 미쳤는가?

  - 의료기기의 성능이 저하됐는가? 그렇다면, 기기의 취약점이 어떻게 악용됐는가?(예를 들어 원격 또는 로컬 액세스를 통해 악용 사례 등)

  - 해당 의료기기에 어떤 비정상적인 현상들이 있었나?

 

□ 시사점

 

 ○ 의료기기 사이버 보안 위험에 대한 관심 고조

  - FDA는 의료기기들이 발달하면서 컴퓨터와 네트워크 연결돼 사이버 공격 위험성에 노출돼 있어 이에 대한 대비가 필요하다고 언급

 

 ○ FDA, 의료기기 사이버 보안에 대한 가이드 라인 제공

  - FDA는 의료기기가 사이버 보안에 대한 가이드 라인을 제공해 의료기기 업체 및 의료기관이 이에 대한 적절한 대응을 할 수 있도록 유도함.

  - 관련 업계에서는 사이버 공격에 대한 대비를 권고하고 공격을 받을 사례가 있으면 FDA에 보고할 것을 요청함.

  - 사이버 보안에 대한 관심은 더욱 확대될 것으로 기대되며 FDA는 새로운 사이버 보안 지침을 어기거나 소홀히 하는 의료기기들은 마케팅 허가를 주지 않을 것으로 발표

 

 ○ 이러한 지침 시행으로 의료기기 사용에 대한 신뢰도가 향상될 것으로 예상되며 의료기기 제조업체의 과장된 마케팅과 그동안 별 관심이 없었던 사이버 보안문제 등이 크게 줄어들 것으로 기대됨.

 

 ○ 한국 의료기기 생산업체 및 보안 관련 제품 생산업체 의료기기 진출 시 공략 방법 강구 필요

  - 의료기기 생산업체들은 사이버 공격에서 안전한 의료기기 및 소프트웨어 개발이 필요하며 주기적으로 업데이트 서비스를 제공해 사이버 공격을 받지 않도록 개발해야 함.

  - 보안 소프트웨어를 생산하는 업체들은 의료기기용 보안 프로그램을 개발해 향후 크게 성장할 의료기기 보안시장 진출을 위해 노력해야 함.

 

 

자료원: 미국 식약청 FDA(www.fda.gov), KOTRA 시카고 무역관 종합 및 의견