사이버보안 요구사항, 나라마다 얼마나 다를까요?

와이즈컴퍼니(주)는 고객분들이 빠르게 변화하는 규제적 요구사항에 맞춰 대처할 수 있도록 도와드리고 있습니다.

이번 포스팅에서는 FDA, CE, 국내(MFDS) 의료기기 사이버보안 규제 요구사항을 비교·정리해 보겠습니다.

의료기기 사이버보안 규제는 왜 중요한가?

의료기기 사이버보안은 의료기기에 내장된 소프트웨어와 네트워크 연결 환경에서 발생할 수 있는 보안 위협으로부터 환자 정보와 기기 기능을 보호하기 위한 관리 체계를 의미합니다.

최근 의료기기가 병원 네트워크와 클라우드, 모바일 앱과 연결되면서 사이버 공격으로 인한 위험이 빠르게 증가하고 있으며, 이에 따라 미국 FDA, 유럽 CE(MDR/MDCG), 한국 식약처(MFDS)는 모두 사이버보안 요구사항을 강화하고 있습니다.

2026년 현재 각국의 주요 근거 문서

🇺🇸 FDA
Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions (2026)

🇪🇺 CE
Guidance on cybersecurity for medical devices (MDCG 2019-16)

🇰🇷 국내(MFDS)
식품의약품안전처 「의료기기 사이버보안 허가·심사 가이드라인」

FDA·CE·MFDS 요구사항 8가지

1

보안 요구사항 (Security Requirements)

설계 입력(Design Input) 단계에서 정의된 보안 요구사항이 최종 제품에 성공적으로 구현되었음을 객관적 증거로 입증해야 합니다.

💡 요구사항 추적성 매트릭스(RTM)를 통한 관리가 권장됩니다.

2

위협 완화 (Threat Mitigation)

위협 모델에 따라 효과적인 위험 제어 조치와 세부 사항을 제공해야 하며, 모든 사이버보안 위협 제어의 적절성을 보장해야 합니다.

3

취약성 시험 (Vulnerability Testing)

제품에 잠재된 취약점을 식별하기 위해 다음과 같은 시험이 요구됩니다.

  • Fuzzing test — 비정상 입력에 대한 시스템 견고성 평가
  • 정적 코드 분석(SAST) — 소스 코드 단계의 취약점 탐지
  • 동적 코드 분석(DAST) — 실행 중 동작 기반 취약점 탐지

4

침투 테스트 (Penetration Testing)

의도적인 해킹을 시도하여 시스템의 취약점을 찾는 모의해킹 테스트로, 하드웨어·데스크톱·웹·모바일·클라우드 등 제품 구성에 따라 범위가 결정됩니다.

5

설계 단계부터 보안 내재화 (Security by Design)

IEC 62304, IEC 81001-5-1, MDR Annex §17.2 등을 기반으로 보안 설계 요구사항을 식별하고 구현 증거를 확보해야 합니다.

알려진 위협의 최소화 및 보안 통제 구현 사항을 기술문서에 반영해야 합니다.

6

위협 모델링 + 잔여 위험 관리

ISO 14971 기반 위험 관리 프레임워크 내에서 사이버보안 위험을 식별하고, STRIDE 등 방법론으로 위협 모델을 수립합니다.

각 위협별 보안 통제 매핑과 잔존 위험에 대한 수용 근거를 함께 제시해야 합니다.

7

SBOM (Software Bill of Materials)

소프트웨어 자재 명세서(SBOM) 작성은 필수입니다.

특히 CycloneDX 또는 SPDX 기계 판독(machine-readable) 형식으로 제출될 것을 명확히 요구합니다.

8

의료기기 사이버보안 요구사항 체크리스트 (국내)

국내 식약처 가이드라인은 2024년 11월 개정을 통해 기존 15개 요구사항에서 국제표준(IEC 62443 등) 기반의 35개 요구사항으로 세분화·구체화 되었습니다.

35개 요구사항은 다음 6개의 카테고리로 분류됩니다.

국내 35개 요구사항 6대 카테고리

IA

식별 및 인증 (Identification & Authentication)

의료기기 인터페이스에 접근하는 사용자와 기기를 식별하고 허가된 사용자를 인증

UC

사용 통제 (Use Control)

인증된 사용자에게 역할별 적절한 접근 권한을 부여하고 통제

SI

시스템 무결성 (System Integrity)

정보 전송의 무결성을 보장하고 악성코드 침입 방지

DC

데이터 기밀성 (Data Confidentiality)

저장 및 전송 중인 정보의 기밀성 보호

TRE

이벤트 적시 대응 (Timely Response to Events)

감사 기록을 비인가 접근으로부터 보호

RA

자원 가용성 (Resource Availability)

외부 공격 시에도 정상 작동 유지 및 백업·복구 기능 보장

국가별 요구·증거 매트릭스 한눈에 보기

항목 한국 (MFDS) 미국 (FDA) CE (MDR/MDCG)
Threat Modeling 가이드라인 Section 524B Annex I
Cybersecurity Risk Assessment Cybersecurity Risk Management Report Cybersecurity Risk Assessment EN 80001-1 기반 Cybersecurity Risk Assessment
SBOM 구성 요소 목록 제출 CycloneDX/SPDX 기계 판독 형식 제출 SW 구성요소 목록
Labeling 사용자 안내서(IFU) 내 보안 정보 Labeling 최소 IT 요구사항 명시
사후관리 계획 사후 관리 계획 시판 후 관리 계획 PMS + PSUR 내 포함

📌 참고 사항

표현 방식은 조금씩 다르지만 글로벌 규제가 요구하는 핵심은 동일합니다.

맺음말

FDA·CE·MFDS의 사이버보안 요구사항의 표현은 다르더라도 다음과 같은 동일한 큰 흐름을 공유합니다.

위협 식별 → 보안 설계 → 구현 증거 → 시험 검증 → SBOM 및 사후관리

⚠️ 변화하는 규제 환경

통신 기능이 있는 의료기기 대부분이 사이버보안 규제 대상에 포함되었고, 미적용 항목조차 그 타당성을 객관적 자료로 입증해야 하는 시대가 되었습니다.

한 시장만을 목표로 하더라도 처음부터 세 규제의 공통 요구사항을 충족하는 형태로 기술문서와 시험 증거를 구축해두는 것이 글로벌 진출 시 가장 효율적인 전략입니다.

와이즈컴퍼니의 통합 컨설팅 서비스

  • 위협 모델링(STRIDE 기반) 및 사이버보안 위험 분석
  • 침투 테스트 (하드웨어·데스크톱·웹·모바일·클라우드)
  • SBOM 작성 (CycloneDX / SPDX 기계 판독 형식)
  • FDA·CE·MFDS 인허가 기술문서 작성 지원
  • 설계 단계 Security by Design 컨설팅
  • 사후관리(PMS·PSUR) 사이버보안 영역 통합 지원

와이즈컴퍼니는 위협 모델링부터 침투 테스트, SBOM 작성, 인허가 기술문서 작성에 이르기까지 의료기기 사이버보안 전 단계에 걸친 컨설팅 서비스를 제공하고 있습니다. 궁금하신 부분이 있으시면 언제든 편하게 문의해주세요.

사이버보안은 선택이 아닌 필수, 글로벌 규제의 공통 언어입니다.