이번 포스트에서는 FDA 사이버보안 문서화 및 시험에서 고려되어야 할 사항을 종합적으로 안내드립니다.

FDA 사이버보안 문서화 및 시험 종합 가이드

FDA eSTAR 5.1 기반 | 9가지 섹션 문서화 및 시험 요구사항

와이즈컴퍼니는 다수의 업체의 미국 FDA 사이버보안 지도를 성공적으로 진행 혹은 완료하였으며, 이와 관련 아래 지도 서비스를 제공드리고 있습니다.

서비스 안내

대상 지도 항목 관련 규격
소프트웨어 기능이 있는 하드웨어 혹은 소프트웨어 의료기기 (미국 및 유럽 인허가) 1) 사이버보안 문서화
2) 사이버보안 시험
3) 상호운영성 위험 평가, 검증 및 밸리데이션
4) 기타 성능 시험 (예: 네트워크 분석 및 시험) 		FDA Cybersecurity Guidance
AAMI TIR57:2016
NIST SP 800-30
ANSI/ISA 62443-4-1
AAMI/UL 2900-1
IEC 81001-5-1:2021
FDA eSTAR Version 5.1

What. 사이버보안 문서화 및 시험은 무엇이 고려되어야 하나요?

2024년 1월 8일 기준 소프트웨어 기능이 있는 하드웨어 혹은 소프트웨어 의료기기의 FDA 인허가를 위해서는 하위 섹션 포함 아래 9가지 섹션들에 대해 모두 문서화 및 시험이 수행되어야 합니다.

1

Risk Management (위험 관리)

  • Report (보고서)
  • Threat Model (위협 모델)
  • Cybersecurity Risk Assessment (사이버보안 위험 평가)
  • SBOM and Related Information (소프트웨어자재명세서 및 관련 정보)

2

Assessment of Unresolved Anomalies (해결되지 않은 이상 징후의 평가)

3

Cybersecurity Metrics (사이버보안 지표 모니터링 데이터)

4

Cybersecurity Controls (사이버보안 제어)

  • Authentication controls (인증 제어)
  • Authorization controls (권한부여 제어)
  • Cryptography controls (암호화 제어)
  • Code, data, and execution integrity controls (코드·데이터·실행 무결성 제어)
  • Confidentiality controls (기밀성 제어)
  • Event detection and logging controls (이벤트 감지 및 로깅 제어)
  • Resiliency and recovery controls (복원력 및 복구 제어)
  • Firmware and software update controls (펌웨어·소프트웨어 업데이트 제어)

5

Architecture Views (아키텍처 뷰)

6

Cybersecurity Testing (사이버보안 시험)

7

Cybersecurity Labeling (사이버보안 라벨링)

8

Cybersecurity Management Plan (사이버보안 관리 계획)

9

Interoperability (상호운용성)

How long. 소요 기간은?

시료 확보 및 요청된 모든 정보 제공일 기준 약 3~4개월 소요

Which. 사이버보안 위험 관리 문서화 고려사항

1. Report (보고서)

보고서는 AAMI TIR57 지침에 부합하게 수립되어야 하며, 다음 세부 내용을 포함해야 합니다.

위험 평가 방법 및 프로세스에 대한 요약

보안 위험 평가의 잔여 위험 결론에 대한 자세한 설명

수행된 위험 완화 활동에 대한 자세한 설명

위협 모델, 사이버보안 위험 평가, SBOM, 시험 문서 및 다른 관련 문서들 간의 추적성

2. Threat Model (위협 모델)

시스템 내·외부의 모든 End-to-end 연결을 포함한 전체 의료기기 시스템에 대한 위협 모델을 제공해야 합니다.

위협 모델 문서 필수 포함 사항

  • 의료기기 시스템의 위험과 완화 조치를 식별하고, 사전 및 사후 완화 조치 위험을 설명
  • 의료기기 시스템이나 사용 환경에 대한 가정을 명시
  • 공급망, 제조, 배포, 상호운용성, 유지관리/업데이트 및 폐기 활동으로부터의 사이버보안 위험을 포착

ℹ️ 예시: 병원 네트워크는 본질적으로 적대적이므로 제조자는 공격자가 Packets을 변경, 삭제 및 재생할 수 있는 능력으로 네트워크를 제어한다고 가정하는 것을 권고합니다.

3. Cybersecurity Risk Assessment (사이버보안 위험 평가)

사이버보안 위험 평가는 위협 모델에서 식별된 위험과 통제를 포착해야 하며, 이는 대상 기기의 안전성에 대한 위험 관리와 별개입니다.

고려 사항

식별된 위험은 장치와 시스템에서 발생하는 위험 수준에 따라 평가

위험 허용기준은 전체 제품 수명주기(TPLC)를 고려

완화 전후의 위험 점수 방법과 허용기준 제공

잔여 위험에 대한 평가 및 의도적/비의도적 실패 가능성 해결

알려진 취약점은 합리적으로 예측 가능한 위험으로 평가

CISA 알려진 취약점은 이미 악용되고 있으므로 기기 설계에서 위험 최소화

💡 악용 가능성 평가 방법론 예시

CVSS, IEEE 11073-40101-2020, NIST SP 800-30, DREAD

사이버보안의 위험평가는 환자 피해의 심각도(취약점이 악용되는 경우)와 악용 가능성을 기반으로 평가됩니다.

4. SBOM and Related Information (소프트웨어자재명세서)

SBOM 필수 요구사항

  • 제조자 개발 소프트웨어, 구매/라이선스 소프트웨어, 오픈 소스 소프트웨어, 상류 소프트웨어 의존성 등 모든 소프트웨어 구성 요소 포함
  • NTIA의 “Framing Software Component Transparency” 문서에 확인된 최소 요소와 일치하는 기계 판독 가능한 SBOM 제공
  • 각 소프트웨어 구성 요소에 대한 소프트웨어 지원 수준과 지원 종료 날짜 제공
  • 장치/시스템에서 지원되는 운영체제 및 관련 버전 식별
  • 모든 소프트웨어 구성 요소에 대한 사이버보안 취약성 안전 및 보안 평가
  • CISA 알려진 악용 취약점 카탈로그와 NIST 국가 취약점 데이터베이스에서 널리 알려진 취약점 식별

⚠️ 더 이상 지원되지 않는 운영 체제(예: Windows 7, Mac OS 9)를 나열하는 경우 이는 부정확한 응답으로 간주됩니다.

Which. 사이버보안 시험 고려사항

제조자는 사이버보안 시험 자료를 제공해야 하며, 이는 보안 요구 사항 시험, 위협 완화 시험, 취약성 시험 및 침투 시험이 포함됩니다.

1. 보안 요구 사항
각 설계 입력 요구사항이 성공적으로 구현되었다는 증거 제공. 경계 분석의 증거와 경계 가정에 대한 근거 제공.

2. 위협 완화
위협 모델(전체 시스템 뷰, 다중 환자 피해 뷰, 업데이트/패치 뷰, 보안 사용 사례 뷰)에 따라 효과적인 위험 제어 조치를 입증하는 시험 증거 제공.

3. 취약성 시험
남용/오용 사례, 잘못된 입력, 견고성, 퍼즈 시험, 공격 표면 분석, 취약점 연쇄, 폐쇄형 시험, 소프트웨어 구성 분석, 정적·동적 코드 분석 포함.
(ANSI/ISA 62443-4-1 섹션 9.4 참조)

4. 침투 시험
제품의 보안 취약점 발견 및 악용에 중점. 시험자의 독립성 및 기술적 전문성, 시험 범위, 기간, 방법, 결과, 발견 사항 포함. 제3자 활용 권장.

ℹ️ 모든 시험에서 제조자는 발견 사항(취약성 및 이상 징후)에 대한 평가를 제공해야 하며, 발견 사항을 구현하지 않거나 향후 릴리스로 연기하는 근거를 포함해야 합니다.