2025년 FDA QMS · GMP 사이버 보안 대응 완벽 가이드
ISO 13485 & IEC 81001-5-1 통합 전략으로 510(k) / eSTAR 제출 및 사후 보안 체계를 효율적이고 실무적으로 구축하세요.
안녕하세요. 와이즈컴퍼니(주)는 고객분들이 빠르게 강화되고 있는 FDA 사이버 보안 요구사항에 대응하여 510(k) / eSTAR 제출 및 사후 보안 체계를 효율적이고 실무적으로 구축할 수 있도록 지원하고 있습니다.
왜 FDA는 사이버 보안을 ‘품질의 일부’로 보는가
FDA Premarket Cybersecurity Guidance (2023) · 21 CFR Part 820 (QSR) · IEC 81001-5-1:2021
⚠️ 품질의 새로운 기준
보안이 단순히 기술적 방어 수단이 아니라, 제품 품질(Quality)을 평가하는 기준이 되었다는 뜻입니다.
GMP 심사에서는 보안이 아래 세 가지 측면에서 직접적으로 평가됩니다.
설비 및 시스템 무결성
System Integrity – 제조 장비, 시험 장비의 접근 권한 및 데이터 보호
데이터 무결성
Data Integrity – 전자기록, 로그, 백업의 변조 방지
제품 소프트웨어의 보안성
Device Software Security – 소프트웨어 구성요소, 패치, 업데이트 검증
제품 기준으로 보는 사이버 보안 시험의 필요성
FDA Premarket Cybersecurity Guidance (2023)
FDA는 최신 가이드라인을 통해, 의료기기 제조사(manufacturer)가 기기 및 관련 시스템이 사이버 보안 상태임을 보장할 수 있도록 보안 절차를 설계·개발·유지해야 함을 명확히 규정하고 있습니다.
💡 보안 = 품질관리
이제 사이버 보안은 품질관리(Quality System)의 일부이자 법적 요구사항으로 해석됩니다.
제품의 보안은 곧 ‘안전성’
의료기기는 더 이상 독립형 장비가 아닙니다. 서버, 클라우드, 네트워크, 모바일 앱과 연결되어 있으며, 하나의 취약점이 전체 시스템에 영향을 미칠 수 있습니다.
직접적인 환자 피해 가능성
공격자가 네트워크를 통해 설정값을 변조하거나, AI 분석 결과를 바꾸는 경우 직접적인 환자 피해로 이어질 수 있습니다.
품질 근거(Quality Evidence) 요구
FDA는 보안 시험을 단순 옵션이 아니라, 기능 검증(Validation)과 동일한 수준의 품질 근거로 요구합니다. 보안 시험이 누락되면 심사에서 불이익이 발생할 수 있습니다.
SPDF와 의료기기 침투 테스트의 필수성
FDA Premarket Cybersecurity Guidance (2023)의 Section V.A – Secure Product Development Framework (SPDF)에서 다음과 같이 정의합니다.
⚠️ 침투 테스트 필수화
FDA는 SPDF로 “보안 절차 수립”을 요구하고, 국제표준(IEC 81001-5-1 등)은 그 절차의 검증을 의무화합니다.
말 그대로 침투 테스트 없는 보안 문서들은 인정받기 어렵습니다.
결론
의료기기 침투 테스트(penetration testing)는 이제 선택이 아닌 QMS 상의 Verification & Validation 절차에 포함되어야 하는 FDA 요구사항이 되었습니다.
와이즈컴퍼니(주)의 GMP 중심 FDA 사이버 보안 지원 범위
와이즈컴퍼니(주)는 의료기기 제조사의 품질시스템(QMS) 내에 사이버 보안 절차를 체계적으로 통합하고, FDA 요구 수준의 품질 근거(Quality Evidence)를 확보할 수 있도록 다음과 같은 서비스를 제공합니다.
1) QMS 진단 및 개선 (ISO 13485 & IEC 81001-5-1 통합)
ISO 13485와 IEC 81001-5-1을 기준으로 현재 운영 중인 품질 시스템을 진단하고, 설계관리(Design Control), 변경 관리(Change Control), CAPA, Validation, PMS 등의 절차에 사이버 보안 요구사항(Security Requirements)이 반영되도록 QMS 프로세스를 고도화합니다.
💡 SPDF와 Design Controls 연동
이 단계에서 SPDF(Secure Product Development Framework)의 절차가 Design Controls에 자연스럽게 연동되도록 구조를 확립합니다.
2) 보안 문서화 및 eSTAR 대응
FDA eSTAR 및 Cybersecurity Guidance(2023)에 따라 핵심 문서를 작성·정비합니다.
FDA 제출 필수 문서
Cybersecurity Risk Management Report
위험 관리 종합 보고서
Threat Model & Risk Assessment
위협 모델 및 사이버 보안 위험평가
SBOM (Software Bill of Materials)
소프트웨어 자재 명세서
Unresolved Anomalies Assessment
미해결 이상 평가
Measures, Metrics & Architecture Views
측정 지표, 메트릭 및 아키텍처 뷰
Requirements (Controls) & Testing Summary
요구사항(통제) 및 시험 요약
Cybersecurity Management Plan & Labeling
사이버보안 관리 계획 및 라벨링
Security Validation Report
보안 검증 보고서
eSTAR 5.6 적합성 보장
FDA 제출용 사이버 보안 문서의 형식, 구성, 링크(Traceability)를 점검하고, eSTAR 5.6 항목별 요구사항에 따라 사전 완성도 검토를 수행하여 심사 적합성(Completeness Review)을 보장합니다.
3) 보안 시험 및 검증 (침투 테스트)
제품의 실제 보안 수준을 입증하기 위해 자동화 및 수동 취약점 검증(penetration testing)을 수행합니다.
ℹ️ Validation Evidence
이 검증은 단순 시험이 아닌, FDA가 요구하는 Validation Evidence로서 QMS 상의 Verification & Validation 절차에 포함됩니다.
검증 결과는 Threat Model과 SBOM 리스크 평가 항목과 연계되어, 취약점 완화 조치(CAPA)와 재검증 절차로 이어집니다.
4) 운영 가이드 및 교육
완성된 QMS 내 보안 프로세스가 조직 내에서 지속적으로 운영될 수 있도록 보안 절차별 운영 매뉴얼, 점검 체크리스트, 내부 교육자료를 제공합니다.
운영 매뉴얼
보안 절차별 상세 운영 가이드
점검 체크리스트
정기 점검 및 자가 진단 도구
내부 교육자료
임직원 보안 인식 제고 교육
5) 전 과정 통합 지원
와이즈컴퍼니(주)는 의료기기 제조사가 GMP 기준을 준수하면서도 사이버 보안 요구사항을 완벽히 통합할 수 있도록, 전 과정을 실무적으로 지원합니다.
절차 진단
QMS 현황 분석 및 개선점 도출
문서화
FDA 제출용 문서 작성
시험 및 검증
침투 테스트 & Validation
eSTAR 대응
제출 적합성 검토
운영 체계 구축
지속 가능한 Secure QMS
GMP 심사 평가 영역
FDA 필수 제출 문서
통합 지원 프로세스