본 포스팅에서는 FDA Premarket Cybersecurity Guidance 2026 개정 내용을 정리해 드립니다.

FDA Premarket Cybersecurity Guidance 2026 개정 내용 정리

Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premarket Submissions — 2026년 최신 개정판 분석

안녕하세요, 와이즈컴퍼니(주)는 고객분들이 빠르게 변화하는 규제적 요구사항에 맞춰 대처할 수 있도록 도와드리고 있습니다. 이번 포스팅은 FDA Premarket Cybersecurity Guidance 2026 개정 내용 정리를 가져왔습니다.
FDA Premarket Cybersecurity Guidance 2026

📅 2026년 2월 3일 발표

U.S. Food and Drug Administration(FDA)는 Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premarket Submissions 최신 개정판을 발표했습니다. 이번 개정은 2026년 2월 2일 발효된 QMSR(Quality Management System Regulation) 체계를 반영한 전면 정비이며, 2025년 6월 27일판을 공식 대체합니다.

주요 개정 내용 6가지

1

가장 큰 변화: 21 CFR 820 → ISO 13485 인용 체계 전환

기존 가이던스는 21 CFR 820 조항을 직접 인용했습니다. 2026년판은 이를 ISO 13485 Clause/Subclause 체계로 전환했습니다.

조항 매핑 비교

기존 (21 CFR 820) 2026년 (ISO 13485) 내용
820.30ISO 13485 7.3Design & Development
820.90ISO 13485 8.5Improvement
820.198ISO 13485 8.2.2Complaint Handling
820.50ISO 13485 7.4Purchasing

💡 핵심 포인트

“무엇을 하라”는 같고, “어떤 품질 시스템 근거로 하라”는 기준이 바뀐 것입니다. 요구 수준은 동일하지만, 이제 사이버보안 활동은 ISO 13485 기반 QMS 프로세스 안에서 설명·문서화되어야 합니다.

2

리스크 관리: Security Risk의 독립적 명시

이번 개정에서 구조적으로 가장 중요한 부분은 리스크 관리입니다. ISO 13485 7.1에 따라 제품 실현 전반에 대한 리스크 관리 프로세스를 명확히 문서화해야 합니다.

Safety Risk Assessment

안전성 리스크 평가

Security Risk Assessment

보안 리스크 평가

보안 리스크를 설계 검증의 일부로 간접 처리하는 것이 아니라, 독립적이고 체계적인 보안 리스크 관리 프로세스로 운영하라는 의미입니다.

3

FD&C Act 524B와 QMSR 체계의 통합

2022년 신설된 FD&C Act 524B는 Cyber Device에 대해 다음을 요구합니다.

Postmarket 취약점 모니터링 및 대응 계획

설계·개발·유지 절차 수립

SBOM 제출

사이버보안에 대한 합리적 보증 확보

2026년 가이던스는 이를 ISO 13485 조항 (7.1, 7.3, 7.4, 8.5 등)과 직접 연결해 설명합니다. 즉, 사이버보안 제출 요구와 품질 시스템 요구가 하나의 프레임으로 통합되었습니다.

4

“연결 가능성” 해석 확대

2026년판은 Cyber Device의 “인터넷에 연결될 수 있는 기능”을 폭넓게 해석합니다. 다음 기능 중 하나라도 존재하면 해당될 수 있습니다.

Wi-Fi / Cellular
무선 네트워크 연결 기능
Bluetooth / BLE
근거리 무선 통신 기능
Magnetic Inductive
자기 유도 통신 기능
USB / Ethernet / Serial
유선 연결 인터페이스

⚠️ 주의

특히 USB 서비스 포트처럼 일시적 연결이라도 연결 능력이 존재하면 포함된다고 명시합니다. 이는 적용 범위를 실질적으로 넓게 해석한 부분입니다.

5

보안 요구는 강화되지 않았습니다

많은 분들이 우려하지만, 다음 항목들은 이미 2025년 가이던스에서도 요구된 사항입니다.

기존부터 요구된 항목들

  • Threat Modeling
  • Cybersecurity Risk Assessment
  • SBOM 제출
  • Known Exploited Vulnerabilities 확인
  • Penetration Testing
  • TPLC 기반 패치 계획

이번 개정은 새로운 보안 요구를 추가한 것이 아니라, ISO 13485 기반 QMS 구조 안에서 재정렬한 것입니다.

6

와이즈컴퍼니(주)는 어떻게 지원할 수 있을까요?

와이즈컴퍼니(주)는 시험과 문서화를 분리하지 않고 하나의 프로세스로 제공합니다.

STEP 1
사전 준비
STEP 2
취약점 분석
STEP 3
완화 및 재시험
STEP 4
문서 패키지 완성
1

사전 준비

SBOM 추출, Threat Modeling, 보안 아키텍처 정리, Labeling 문서화

2

취약점 분석

자동·수동 취약점 분석 및 침투시험 수행

3

완화 및 재시험

발견된 취약점에 대한 완화 가이드와 재시험 지원

4

문서 패키지 완성

Cybersecurity Risk Management Report 및 규제 제출용 문서 패키지 완성

시험 결과가 곧바로 인허가 제출 자료로 연결되는 구조를 제공합니다.

결론

이번 FDA 2026년 개정은 보안 요구 수준을 높인 것이 아니라, 기존 요구사항을 ISO 13485 기반 QMS 프레임워크 안에 체계적으로 재정렬한 것입니다.

따라서 이미 QMSR 체계에 맞춰 품질 시스템을 구축한 기업이라면, 사이버보안 활동을 ISO 13485 프로세스 안에서 문서화하는 방식으로 전환하는 것이 핵심 대응 과제입니다.

FDA 2026 대응 체크리스트

  • 21 CFR 820 → ISO 13485 조항 매핑 검토
  • Safety / Security Risk Assessment 독립적 문서화 여부 확인
  • FD&C Act 524B 요구사항과 QMS 연계 구조 점검
  • 제품의 “연결 가능성” 범위 재검토 (USB 포트 포함)
  • 기존 제출 문서의 ISO 13485 기반 재정렬 필요 여부 확인
사이버보안은 설계에서 시작되어 인허가로 이어지는 필수 관리 체계입니다.