출처 : http://www.boannews.com/media/view.asp?idx=58377&page=1&kind=2
의료기기 해킹 등 의료 분야에서도 사이버위협 사례가 꾸준히 발생하고 있는 가운데 식품의약품안전처 식품의약품안전평가원이 초안작업에 들어간 ‘의료기기의 사이버 보안 허가·심사 가이드라인(민원인 안내서)’의 윤곽이 나왔다.
해당 가이드라인은 현재 의견 수렴 단계를 거치고 있으며, 향후 확정될 방침이다. 의료기기 보안은 의무화가 아닌 자율 참여이며, 가이드라인은 의료기기의 사이버 보안 중요성이 부각됨에 따라 의료기기의 허가 심사시 고려할 사이버 보안 요구사항을 담고 있다.
이와 관련 식품의약품안전평가원 관계자는 “가이드라인은 아직까지 확정된 건 아니고 의견 수렴 단계에 있다”며 “실제 사용하는 병원 환경에 따라 보안 요구사항이 달라질 수 있기 때문에 의견을 최대한 수렴하고, 향후 심도 있는 논의를 거칠 계획이다. 현재까지 작업된 가이드라인은 의료기기에 대한 최소한의 보안조치를 적용한 것이며, 안전한 의료기기를 사용하기 위한 목적”이라고 밝혔다.
가이드라인에서는 의료기기 허가·심사 시 사이버 보안이 요구되는 의료기기의 적용 대상과 제품의 특성에 따라 적용할 수 있는 보안 요구사항, 허가 심사 시 제출해야 하는 자료의 범위 등이 포함돼 있다.
첫째, 사이버 보안이 적용되는 의료기기는 유·무선 통신을 이용하는 기기로 환자의 생체정보 등 개인정보를 송수신하거나 기기 제어, 펌웨어 또는 소프트웨어를 업데이트하는 의료기기가 해당된다.
둘째, 의료기기 사이버 보안 안전성 등급은 위험도에 따라 ‘상’, ‘중’, ‘하’로 나뉘며, 이에 따라 사이버 보안 요구사항도 달라진다. ‘상’은 사이버 침해로 사용자가 심각한 상해를 입거나 사망할 수 있는 경우나 신체 기능이 영구적으로 장애를 입을 가능성이 있는 경우에 해당된다. 여기에는 △심장충격기와 같은 4등급 의료기기 △로봇수술기와 레이저수술기와 같은 수술용 치료기기 △치료용하전입자가속장치와 같은 치료목적의 방산선 이용 의료기기 △심장충격기와 같은 치료용 의료기기 △인공호흡기와 같은 생명유지용 의료기기 △환자감시장치와 같은 생체신호 측정용 의료기기 등이 해당된다.
안전성 등급 ‘중’은 사이버 침해로 오작동이 발생할 수 있는 초음파 자극기와 같은 치료용 의료기기, 의료영상전송장치와 같은 생체신호 송수신용 의료기기 등이 포함된다.
안전성 등급 ‘하’는 사이버 침해로 생체신호가 위·변조되거나 누락될 수 있는 단백질분석장치, 젖산측정기, 적혈구침강속도측정기, 심박수계 등과 같은 생체신호 측정용 의료기기이다.
의료기기 사이버 보안 요구사항으로는 △접근통제 및 인증 △다중접속 금지 △사용자(의료기기)접속 인식 △비인가 사용자(의료기기) 접속 제한 △비인가된 네트워크 통신 차단 △원격접속 차단 △사용자(의료기기)인증 관리 △자동세션종료 △비밀번호 작성 규칙 강화 △비밀번호 하드코딩 금지 △비밀번호 노출 금지 △펌웨어 또는 소프트웨어 업데이트의 인가 △펌웨어 또는 소프트웨어 업데이트의 무결성 보장 △펌웨어 또는 소프트웨어 업데이트시 인증방식 사용 △네트워크상의 의료기기 제어정보 전송 기밀성 및 무결성 보장 △네트워크 상의 개인의료정보 전송 기밀성 및 무결성 보장 △안전한 암호 알고리즘 사용 △물리적인 통신포트 침해의 최소화 △불필요한 서비스 제거 또는 비활성화 강호 △개인의료정보 저장 관리 △데이터 감사를 위한 시스템 로그 기록 △주요 실행파일 및 설정파일에 대한 무결성 검증 및 대응 △사이버보안 위협 탐지 시 취해야 할 대응책에 관한 정보 제공 △디도스(DDoS) 공격에 대한 방어 등이 포함됐다.
안전성 등급 분류 중 ‘상’에 해당하는 의료기기는 위에 언급한 보안요구사항이 모두 적용돼야 하며, ‘중’은 디도스 공격 방어 장비를 제외하곤 모두 적용해야 한다. ‘하’는 △원격접속 차단 △펌웨어 또는 소프트웨어 업데이트의 인가 △펌웨어 또는 소프트웨어 업데이트의 무결성 보장 △펌웨어 또는 소프트웨어 업데이트 시 인증방식 △사이버 보안 위협 탐지 시 취해야 할 대응책에 관한 정보를 제공해야 한다.
셋째, 유·무선 통신이 가능한 의료기기의 경우 허가 신청 시 제출해야 할 서류는 ‘의료기기 허가·신고·심사 등에 관한 규정(식약처 고시 제29조의 성능에 관한 자료)’에 따라 △의료기기 사이버 보안 필수원칙 체크리스트 △사이버 보안 위험관리 문서 △소프트웨어 검증 및 유효성 확인 자료 등이 포함된다.
의료기기 사이버 보안 필수원칙 체크리스트는 의료기기 사이버 보안 요구사항에 대한 적합성 여부를 확인할 수 있는 자료로 의료기기 허가 및 심사 시 의료기기 사이버 보안 필수원칙 체크리스트 양식을 활용해 제품의 특성에 맞게 작성해 제출해야 한다.
사이버 보안 필수 원칙 체크리스트 항목으로는 △접근통제 및 인증 △다중접속 금지 △사용자(의료기기) 접속 인식 △비인가된 사용자(의료기기) 접속 제한 △비인가된 네트워크 통신 차단 △원격접속 차단 △사용자(의료기기) 인증 관리 △자동세션종료 △비밀번호 작성 규칙 강화 △비밀번호 하드코딩 금지 △비밀번호 노출 금지 △펌웨어 또는 소프트웨어 업데이트의 인가 등이 포함돼 있다.
사이버 보안 위험관리 문서는 의료기기 전체 생명주기에서 사이버 보안과 관련된 위해요인을 파악해 발생 가능한 위해 요소를 최소화하고, 차단하기 위한 위험관리 활동을 기록한 보고서라고 할 수 있다. 해당 문서는 신청 제품의 사이버 보안과 관련된 위해요인 식별과 각 위해요인에 대한 위험분석 및 위험 경감 조치 결과를 기재해야 한다.
마지막으로 소프트웨어 검증 및 유효성 확인 자료는 의료기기의 위험관리 과정에서 식별된 위해요인에 대한 위험통제 조치의 결과를 검증할 수 있는 객관적인 자료로, 사이버보안 요구사항에 대한 시험 및 검증 절차, 시험결과, 시험 및 검증 도중 소프트웨어 변경이 발생한 경우 재시험 결과를 포함해야 한다.
'old > 관리적 보안' 카테고리의 다른 글
| [자료] 사이버 공격에 따른 보험사 보상 내용 (0) | 2017.12.27 |
|---|---|
| [기사] 방통위,「개인정보의 기술적ㆍ관리적 보호조치 기준」해설서 개정 발간 (0) | 2017.12.12 |
| [기사] 정보보호제품 성능평가제도 (0) | 2017.11.26 |
| [기사] 개인정보 위탁시 꼭 지켜야 할 보안수칙 2가지 (0) | 2017.11.16 |
| [기사] 보안 내재화의 핵심은 시스템을 간결하게 하는 것 (0) | 2017.11.06 |
