국제의료정보포털

미국 FDA, 의료기기 제조사에 사이버보안 설계 강화 요구

• 미국 식품의약국(FDA)이 의료기기 사이버보안 확보를 위해 기존 제품 출시 전 사이버보안 가이드라인(Previous Market Cyber Security Guidance)을 전면 개정함
• 2014년에는 FDA는 사이버보안 위험을 줄이기 위한 의료기기 설계 방안을 권고한 초안 가이드라인을 발표하면서 제조사들이 보안을 위한 기본 설계 조치를 고려해야 한다고 권고함
• 2018년에는 위협 모델링(Threat Modeling)^* 개념이 도입되어 사이버보안 개발·배포 등의 전 과정에 통합하고, 보안, 유지관리 등을 반영하는 방향으로 심화됨
^* 시스템 개발 초기 단계에서 보안 위험 시나리오를 식별해, 설계 상 보안 결함이나 취약점을 예방적으로 차단하기 위한 분석 기법
• 이후 미국 의회는 PATCH Act(Protecting and Transforming Cyber Health Care Act of 2022)^**를 통과시켜, 제조사가 FDA에 보안 업데이트 계획과 위험 대응 체계를 제출하도록 하는 법적 기반을 마련함
^** 제조사가 △사이버보안 업데이트 계획 △보안 관리 시스템 △지속가능한 위협 대응 등을 포함한 문서를 FDA에 사전 제출해야하는 법령
• 2025년 개정 가이드라인에서는 △보안기능 내재화 △실시간 위협 감지 및 대응 시스템 △보안 업데이트 가능성 등을 사전 설계에 포함할 것을 요구하며, 사이버보안을 의료기기의 안전성과 효과성 요건에 포함함

[BANKINFOSECURITY, 2025.06.27.; RegulatoryFocus, 2025.06.30.]