오늘은 사이버보안 위험 관리에 있어서 중요한 역할을 하는 AAMI TIR57에 대해 알아보겠습니다.

AAMI TIR57: 의료기기 사이버보안 위험 관리 가이드

사이버보안 위험 식별 및 관리 프레임워크

와이즈컴퍼니는 다수의 업체의 미국 FDA 사이버보안 지도를 성공적으로 진행 혹은 완료하였으며, 이와 관련 사이버보안 시험 및 문서화 지도 서비스를 제공드리고 있습니다.

서비스 안내

대상 지도 항목
다음 중 하나라도 충족/충족할 가능성이 있는 의료기기

✔ 다른 장치/시스템과 통신할 수 있는 경우
✔ 네트워크/서버 연결이 있는 경우
✔ 무선 통신 사용하는 경우 (블루투스, Wi-Fi 등)
✔ USB 포트와 같은 접근을 허용하는 경우
✔ 소프트웨어/펌웨어 다운로드를 허용하는 경우
✔ 클라우드 저장 혹은 기타 서비스를 사용하는 경우

✅ 사이버보안 시험
✔ Vulnerability Assessment
✔ Penetration Testing

✅ 사이버보안 문서화
✔ Threat Modeling
✔ Risk Management
✔ Assessment of Unresolved Anomalies
✔ Cybersecurity Metrics
✔ Cybersecurity Controls
✔ Architecture Views
✔ Cybersecurity Labeling
✔ Cybersecurity Management Plan
✔ Interoperability (필요시)

AAMI TIR57이란?

AAMI TIR57은 의료기기에서 사이버보안 위험을 식별하고 관리하는 프레임워크를 제공하는 기술 정보 보고서(TIR, Technical Information Report)입니다. 이 보고서는 의료기기 제조업체들이 사이버보안 위험을 효과적으로 평가하고 관리하는 데 필요한 지침을 제공합니다.

사이버보안의 보안 위험 관리는 ISO 14971의 안전 위험 관리 프로세스와 유사하지만 보안 측면에서 조금은 다른 접근 방식을 포함하고 있습니다. 따라서 FDA는 보안 위험 관리를 안전 위험 관리와는 별도의 프로세스를 만들어 분리할 것을 권장하고 있습니다.

안전 및 보안 위험 관리 프로세스

💡 안전 및 보안 위험 관리 프로세스의 연결

안전 및 보안 위험 관리 프로세스 사이에는 연결이 되어 있어, 한 유형의 위험에 대한 통제 조치가 도입될 때, 다른 유형의 위험이 생겨날 수 있습니다.

예를 들어, 보안 측면에서 인증에 대한 위험 통제 조치를 추가하기로 했을 때, 비상 시 기기에 접근할 수 없다는 안전 측면의 위험을 도입할 수 있습니다. 따라서 전체 위험 관리 프로세스에서는 이러한 연결 지점을 파악하고, 보안과 안전 두 영역 모두에서 새로운 위험에 대한 평가가 수행되도록 해야 합니다.

위험 관리 절차

1

보안 위험 관리 계획

보안 위험 관리는 안전 위험 관리와 병행하는 동반 프로세스로 유지되어야 합니다. 보안 위험 평가는 악용 가능성(Exploitability)을 기반으로 하며, 정기적인 모니터링과 새로운 취약점에 대한 평가가 중요합니다.

포함되어야 할 검증 방법론:

  • 퍼즈 테스트, 침투 테스트 등 보안 시험
  • 의도하지 않은 기능이 코드에 포함되지 않도록 하기 위한 코드 분석

보안 위험 관리 파일 필수 포함 사항

보안 위험 관리 계획

보안 위험 분석 구성 요소

보안 위험 통제

2

보안 위험 분석

보안 위험 분석 과정에서는 분석된 의료기기에 대한 식별, 분석을 수행하는 조직에 대한 식별, 범위 및 날짜가 포함되어야 합니다.

위협의 식별
공격자의 능력과 공격에서 얻을 수 있는 이익을 고려하고, 잠재적 위협과 취약점 악용 방법을 문서화합니다.

취약점의 식별
기기에서 알려지거나 잠재적인 취약점을 문서화합니다. 취약점 스캔 및 침투 테스트가 식별에 도움이 됩니다.

자산의 식별
기기 자체, 소프트웨어 포함 구성 요소, 사용자 상호작용 데이터 정보 및 외부 네트워크 연결을 포함합니다.

부정적인 영향의 식별
기밀성, 무결성, 가용성 손실이 안전성, 효과성 또는 데이터/시스템 보안에 미칠 수 있는 영향을 고려합니다.

안전 위험 분석 프로세스와 비교했을 때, 위협 및 취약성의 조합은 발생 확률과 유사하며, 자산에 대한 부정적인 영향은 심각성과 유사합니다.

3

보안 위험 평가

식별된 위험은 보안 위험 감소가 필요한지 평가되어야 합니다. 위험 수준은 보안과 안전 모두에서 수용 가능한 수준으로 통제되어야 하며, 위험 감소가 필요하지 않다고 판단되면 그 결정의 근거도 필요합니다.

4

보안 위험 통제

위험 통제 옵션은 다음 순서로 우선시해야 합니다.

설계에 의한
내재적 보안

제조 과정에서의
보호 조치

보안을 위한
정보 제공

보안 통제 조치는 테스트 가능한 요구 사항으로 명확하게 표현되고, 잔여 위험은 다시 평가되어 수용 가능 여부를 판단해야 합니다. 수용 불가능한 위험이 남아 있다면, 이득-위험 분석을 통해 추가적인 완화 조치를 결정해야 합니다.

5

전반적인 잔여 위험의 평가

ISO 14971:2007의 7절에서는 전반적인 잔여 위험을 위험 관리 계획에 명시된 기준에 따라 평가할 것을 요구합니다.

수용 가능한 것으로 판단된 전반적인 잔여 위험의 경우, 제조업체는 동반 문서에 포함할 보안 정보를 결정해야 합니다.

6

보안 위험 관리 보고서

보안 위험 관리 보고서는 기기가 적절하게 보안되는지 보장하기 위한 보안 통제의 평가, 완화 활동 및 검증 보고서에 대한 추적성을 요약해야 합니다.

보고서 필수 포함/참조 사항

사이버 보안 위험과 관련된 위험 분석, 완화 및 설계 고려 사항

보안 위험과 보안 통제의 추적성

문서화된 보안 통제에 대한 검증 보고서로의 추적성

보안 업데이트/패치가 제공되는 시기와 방법에 대한 설명

기기가 악성코드 없이 제공되도록 보장하기 위해 취해진 단계에 대한 설명

ℹ️ 생산 후 정보가 제공되면 새로운 위협, 취약성, 자산 및 부정적인 영향이 발견될 때 주기적으로 업데이트되어야 합니다.

7

생산 및 생산 후 정보

생산 단계

기기의 성능에 영향을 미치거나 의도되지 않은 기능의 도입을 방지하는 방식으로 기기가 생산되고 있는지 모니터링

생산 후 단계

기기가 보안 위협에 노출되고 있는지, 구현된 보안 통제가 이러한 위협을 효과적으로 완화하는지 모니터링 계획 수립

마무리

지금까지 사이버보안 위험 관리(AAMI TIR57)에 대해서 알아보았습니다.

제품 정보와 필요하신 서비스를 이메일(info@wisecompany.org)로 보내주시면 성심성의껏 도움 드리도록 노력하겠습니다.