본 포스팅에서는 미국 FDA 사이버보안 라벨링의 중요성과 필수 포함 정보에 대해 살펴보겠습니다.

미국 FDA 사이버보안 – 라벨링

Cybersecurity Labeling

와이즈컴퍼니는 다수의 업체의 미국 FDA 사이버보안 지도를 성공적으로 진행 혹은 완료하였으며, 이와 관련 지도 서비스를 제공 드리고 있습니다.

📧 문의

제품 정보와 필요하신 서비스를 이메일 info@wisecompany.org로 보내주시면 성심성의껏 도움 드리도록 노력하겠습니다.

사이버보안 지도 대상 및 항목

대상 지도 항목

다음 기준 중 하나라도 충족하는 의료기기

  • 다른 장치/시스템과 통신할 수 있는 경우
  • 네트워크/서버 연결이 있는 경우
  • 무선 통신 형태를 사용하는 경우 (블루투스, Wi-Fi 등)
  • USB 포트와 같은 접근을 허용하는 경우
  • 소프트웨어/펌웨어 다운로드를 허용하는 경우
  • 클라우드 저장 혹은 기타 서비스를 사용하는 경우

✅ 사이버보안 시험

  • Vulnerability Assessment
  • Penetration Testing

✅ 사이버보안 문서화

  • Risk Management
  • Assessment of Unresolved Anomalies
  • Cybersecurity Metrics
  • Cybersecurity Controls
  • Cybersecurity Labeling
  • Cybersecurity Management Plan
  • Interoperability (필요 시)

사이버보안 라벨링의 중요성

사이버보안 위험이 있는 장치에 대해서 사용자에게 관련 정보를 제공하는 것은, 이러한 위험을 완화하고 장치의 안전성과 성능을 지속적으로 유지하는 데 매우 중요합니다.

핵심 원칙

  • 사용자에게 이전된 모든 위험은 명확하게 설명되어야 함
  • 사용자가 해당 위험을 어떻게 관리할 수 있는지 이해할 수 있도록 해야 함
  • 온라인 포털을 통해 정보를 제공하는 경우, 항상 최신 링크를 제공하여 사용자가 정확한 정보를 얻을 수 있도록 보장

사이버보안 라벨 필수 포함 정보

사이버보안 라벨에 포함될 수 있는 정보는 다음과 같습니다:

사이버보안 제어와 관련된 장치의 지침 및 제품 사양

사용 환경에 적합한 사이버보안 제어 방법 (예: 방화벽 사용, 비밀번호 요구 사항 등)

다이어그램

사용자가 권장되는 사이버보안 제어를 구현할 수 있도록 충분히 자세한 다이어그램

네트워크 포트/인터페이스 목록

데이터 수신 및 전송이 예상되는 네트워크 포트 및 기타 인터페이스 목록

인프라 요구 사항 지침

장치가 의도한대로 작동할 수 있도록 지원하는 인프라 요구 사항에 대한 특정 지침

  • 안전한 네트워크의 배포 및 서비스를 허용하기 위한 기술 지침
  • 취약점 또는 사건 감지 시 사용자가 대응하는 방법에 대한 지침

소프트웨어 자재명세서(SBOM)

기계 판독 가능 형식이어야 하며, 사용자가 최신 링크를 통해 정확한 정보를 얻을 수 있어야 함

소프트웨어/펌웨어 다운로드 절차

소프트웨어 및 펌웨어를 다운로드할 수 있는 체계적인 절차에 대한 설명

비정상 조건 감지 시 대응 방법

비정상적인 조건이 감지되었을 때 대응할 수 있는 방법에 대한 설명

  • 비정상적인 조건: 네트워크 이상, 로그인 시도, 비정상적인 트래픽 등
  • 감지 시 사용자 알림 및 관련 정보 기록

중요한 기능을 보호하는 장치에 대한 상위 수준 설명

예: 백업 모드, 포트/통신 비활성화

백업 및 복원 기능/절차

인증된 구성을 복원하기 위한 백업 및 복원 기능, 절차에 대한 설명

안전한 구성 및 사용자가 구성 가능한 변경 사항 지침

배송된 장치의 안전한 구성, 사용자가 구성 가능한 변경 사항에 대한 지침

이러한 변경 사항이 의료기기 시스템의 보안 위험을 증가시킬 수 있는지 설명

로그 파일 유지 관리 방법

의도된 사용 환경에 적합한 경우, 보안 이벤트 로그 파일의 유지 관리 방법

로그 파일 위치/저장/재활용 방식 및 자동화 분석 소프트웨어 설명

사이버보안 지원 종료 및 수명 종료 정보

알려져 있거나 예상되는 경우, 지원 종료(EOL) 및 수명 종료 정보

지원 종료 시 제조업체는 보안 패치/업데이트를 합리적으로 제공할 수 없음

안전한 폐기 방법

민감한 데이터와 소프트웨어를 제거하여 장치를 안전하게 폐기하는 방법에 대한 정보

참고: MDS2 및 JSP 문서

📋 추가 보안 문서

위에서 언급한 권장 사항 중 일부는 MDS2(Manufacturer Disclosure Statement for Medical Device Security) 및 JSP(Medical Device and Health IT Joint Security Plan)에서 다루는 고객 보안 문서를 통해 보다 구체적으로 제공될 수 있습니다.

이러한 문서들은 장치의 사이버보안 위험을 완화하고, 사용자와 제조업체 간의 책임을 명확히 구분하는 데 도움을 줍니다.

사이버보안 라벨링 핵심 요약

카테고리 주요 내용
기술 정보 • 사이버보안 제어 지침
• 다이어그램
• 네트워크 포트/인터페이스
• 인프라 요구 사항
관리 정보 • SBOM
• 소프트웨어/펌웨어 다운로드 절차
• 백업 및 복원
• 로그 파일 유지 관리
대응 정보 • 비정상 조건 감지 대응
• 안전한 구성 지침
• EOL 정보
• 안전한 폐기 방법

결론

사이버보안 라벨링은 사용자에게 중요한 정보를 제공함으로써 제품의 신뢰성을 높이고, 장치의 보안 유지에 기여할 수 있습니다.

포괄적이고 명확한 라벨링을 통해 사용자는 의료기기를 안전하게 사용하고 관리할 수 있으며, 제조사는 규제 요구사항을 충족할 수 있습니다.

사이버보안 라벨링 준비 체크리스트

  • 사이버보안 제어 지침 및 제품 사양 작성
  • 상세 다이어그램 준비
  • 네트워크 포트/인터페이스 목록 작성
  • 인프라 요구 사항 문서화
  • SBOM 기계 판독 가능 형식 제공
  • 소프트웨어/펌웨어 다운로드 절차 수립
  • 비정상 조건 대응 방법 정의
  • 백업 및 복원 절차 문서화
  • 안전한 구성 지침 제공
  • 로그 파일 관리 방법 설명
  • EOL 정보 제공
  • 안전한 폐기 방법 안내