의료 기기 사이버 보안에 대한 7가지 오해와 진실

의료 기기 사이버 보안에 대한 미국 식품의약국(FDA)의 역할에 대해 알아야 할 주요 사실

의료 기기 및 의료 사물 인터넷(IoMT)의 사이버 보안에 관해서는 아직 해결되지 않은 많은 의문점이 있습니다. 이러한 기기의 민감하고 중요한 특성(때로는 생사를 좌우하기도 함)을 고려할 때 의료 기기 제조업체(MDM)와 운영자 모두 임상 기기의 운영과 안전에 영향을 미칠 수 있는 결정을 내리기 전에 필요한 모든 답을 얻고자 하는 것은 당연한 일입니다.

의료 기기를 관리하는 다양한 기관, 규칙 및 규정으로 인해 사이버 보안 디바이스 환경이 더욱 복잡해질 수 있습니다. 이러한 복잡한 환경을 탐색하는 데 도움을 드리기 위해 미국 식품의약국(FDA)이 의료기기 사이버 보안에서 수행하는 역할에 대해 명확하게 설명하여 혼란을 줄이고자 합니다. 

일반적으로 FDA는 의료 기기의 위험을 줄이고 지속적인 가용성과 효과를 보장하기 위해 시판 전 및 시판 후 지침을 제공합니다. 이 사이트에서는 "FDA는 제조업체가 사이버 보안을 갖춘 제품을 설계하고 유지하는 데 도움이 되는 지침을 제공합니다. 또한 FDA는 환자를 대신하여 제조업체가 사이버 보안 취약성 위험을 모니터링 및 평가하고 취약성과 이를 해결하기 위한 솔루션을 선제적으로 공개할 것을 촉구합니다."라고 설명합니다. 

저는 의료기기 사이버 보안에 대한 몇 가지 오해를 발견했습니다. 전부는 아니며 손가락질하는 것은 아니지만, 바이오메디컬 엔지니어링 커뮤니티가 기록을 바로잡고 의료 기기 및 병원의 전반적인 보안을 개선하는 데 도움을 주는 것이 중요하다고 생각합니다. 다음은 의료기기 보안에 있어 FDA의 역할에 대해 가장 흔히 혼동하는 7가지 측면입니다.

1. FDA는 의료 기기의 사이버 보안을 담당하는 유일한 연방 정부 기관입니다.

FDA는 사이버 보안 디바이스 퍼즐의 한 조각일 뿐입니다. FDA는 "디바이스 제조업체, 병원, 의료 서비스 제공자, 환자, 보안 연구자, 미국 국토안보부의 사이버 보안 및 인프라 보안국(CISA) 및 미국 상무부를 비롯한 기타 정부 기관과 책임을 공유합니다."라고 언급하고 있습니다.

2. 의료 기기용 사이버 보안은 선택 사항입니다.

안전하지 않은 디바이스를 출시하는 것은 비즈니스에 좋지 않다는 당연한 사실 외에도 디바이스 제조업체는 제품을 설계, 제작 및 유지 관리할 때 다양한 견제와 균형(연방 규정)을 준수해야 합니다. "이러한 규정의 일부인 품질 시스템 규정(QSR)은 의료 기기 제조업체가 사이버 보안 위험을 포함한 위험을 해결하도록 요구합니다. 시판 전 및 시판 후 사이버 보안 지침은 QSR을 충족하기 위한 권장 사항을 제공합니다." 

3. 의료 기기 제조업체는 사이버 보안을 위해 의료 기기를 업데이트할 수 없습니다.

의료 기기 제조업체는 언제든지 제품의 사이버 보안을 강화하는 업데이트를 수행할 수 있습니다. FDA는 일반적으로 이러한 변경 사항을 검토할 필요가 없습니다. 즉, 모든 제조업체는 필요할 때마다 언제든지 디바이스를 업데이트할 수 있습니다.

4. 의료 서비스 제공 기관(HDO)은 사이버 보안을 위해 의료 기기를 업데이트 및 패치할 수 없습니다.

실제로 HDO는 위험을 줄이는 패치와 업데이트를 디바이스에 구현할 수 있으며, 구현해야 합니다. FDA는 의도하지 않은 결과가 발생하지 않도록 모든 변경 사항을 조율하기 위해 HDO가 MDM과 긴밀히 협력할 것을 권장합니다. 

일반적으로 의료 기기의 업데이트 또는 패치와 관련된 더 중요한 문제는 더 실용적인 경향이 있습니다. 기기가 환자 치료에 관여하거나 계속 이동 중일 수 있으므로 업데이트를 수행하기에 안전한 시기를 찾아내는 것이 어려울 수 있습니다. 

5. FDA는 사이버 보안 취약성을 해결하기 위해 소프트웨어 변경 사항을 검증할 책임이 있습니다.

의료 기기 제조업체는 사이버 보안 취약성을 해결하는 데 필요한 소프트웨어 변경을 포함하여 기기에 대한 모든 소프트웨어 변경을 검증할 책임이 있습니다.

6. FDA는 의료 기기의 사이버 보안을 테스트합니다.

FDA는 시판 전 또는 시판 후 테스트를 수행하지 않습니다. 의료 기기 제조업체는 의료 기기에 대한 사이버 보안 문제를 테스트하고 수정할 책임이 있습니다. 

7. 의료 기기에 사용되는 기성품(OTS) 소프트웨어를 제조하는 회사는 해당 소프트웨어의 안전한 사용을 검증할 책임이 있습니다.

많은 MDM은 의료 기기에서 OTS 소프트웨어를 사용하며, 이를 보호하고 기기의 지속적인 안전하고 효과적인 성능을 보장할 책임이 있습니다. 또한 MDM은 디바이스에 사용하는 모든 소프트웨어 또는 하드웨어 자재 명세서(SBOM)를 보고해야 할 책임이 있습니다. 

생체의학 엔지니어는 기기에 대한 매우 정확한 데이터로 무장하여 사이버 보안 문제가 있는 기기를 패치, 수정 또는 격리하는 데 필요한 조치를 취할 수 있도록 하는 것이 매우 중요합니다.

의료 기기 사이버 보안에 대한 자세한 내용은 메디게이트에서 확인하세요.