본 포스팅에서는 의료기기 인허가 과정에서 왜 SBOM 대응이 중요해졌는지 와이즈컴퍼니가 제공하는 SBOM 서비스를 중심으로 정리해 드립니다.

의료기기 SBOM, 이제 필수입니다

Software Bill of Materials

SBOM, 지금 준비하지 않으면 인허가 단계에서 다시 준비하게 됩니다. 와이즈컴퍼니(주)는 고객분들이 빠르게 변화하는 사이버 보안 규제적 요구사항에 맞춰 대처할 수 있도록 도와드리고 있습니다.

최근 의료기기 인허가 및 사이버 보안 심사에서는 SBOM 제출과 함께 소프트웨어 구성요소의 투명성과 취약점 대응 여부까지 함께 확인하는 흐름으로 변화하고 있습니다.

SBOM 서비스 소개

1. SBOM 제출 가능하신가요?

SBOM 제출

최근 의료기기 인허가나 사이버 보안 심사 과정에서 제조사들이 실제로 자주 받는 질문입니다.

이제는 “보안을 관리하고 있다”라는 설명만으로는 부족하고, 제품에 어떤 소프트웨어가 들어가 있으며 그 안에 취약점이 없는지 문서로 증명해야 하는 단계가 되었습니다.

그 중심에 있는 것이 바로 SBOM입니다.

2. 와이즈컴퍼니의 SBOM 지원 배경

SBOM 지원

와이즈컴퍼니(주)는 의료기기 제조사와 의료기관이 빠르게 강화되는 사이버보안 규제 요구사항에 실무적으로 대응할 수 있도록 지원하고 있습니다.

특히 인허가 과정에서 요구되는 SBOM 생성, 취약점 분석, 규제 대응 문서 준비를 하나의 흐름으로 연결해 지원하고 있습니다.

3. SBOM, 왜 인허가에서 중요한가요?

SBOM 중요성

SBOM(Software Bill of Materials)이란?

제품에 포함된 모든 소프트웨어와 오픈소스 구성요소를 정리한 소프트웨어 부품표입니다.

규제 기관별 SBOM 요구사항

FDA

미국 식품의약국

의료기기 사이버 보안 규제에서 SBOM 필수 제출 요구

CE

유럽 인증

MDR/IVDR 사이버 보안 요구사항에 SBOM 포함

MFDS

식품의약품안전처

국내 의료기기 사이버 보안 심사 시 SBOM 제출 권고

⚠️ SBOM이 없으면

  • 구성요소 확인과 취약점 영향 범위 설명이 어려워짐
  • 보완 요청이나 심사 지연으로 이어질 수 있음

4. 와이즈컴퍼니의 SBOM 서비스 구성

SBOM 서비스

와이즈컴퍼니는 두 가지 옵션을 제공합니다.

옵션 ① 당사에서 직접 SBOM 생성

고객사 제품의 소프트웨어 구성요소를 분석하여 규제 제출에 적합한 형태로 SBOM을 생성합니다.

옵션 ② 고객사 자체 생성 가이드 제공

고객사가 내부에서 SBOM을 생성할 수 있도록 절차·도구·검증 포인트를 포함한 가이드를 제공합니다.

SBOM 생성 후 추가 지원

고위험 취약점 선별 분석

생성된 SBOM을 기반으로 고위험 취약점만 선별하여 분석

대응 방안(Remediation) 보고서 제공

규제 기준에 맞춘 대응 방안 보고서까지 제공

와이즈컴퍼니 SBOM 서비스 프로세스

1

SBOM 생성

제품의 소프트웨어 구성요소 전체 분석 및 SBOM 문서 생성

2

취약점 스캐닝

CVE 데이터베이스 기반 구성요소별 취약점 확인

3

고위험 취약점 선별

CVSS 점수 및 의료기기 특성에 따른 우선순위 분석

4

대응 방안 보고서 작성

FDA/CE/MFDS 규제 기준에 맞춘 대응 방안 문서화

5

인허가 제출 지원

규제 기관 요구사항에 따른 문서 패키지 완성

결론

의료기기 사이버 보안 규제에서 SBOM은 더 이상 선택이 아닌 필수가 되었습니다.

와이즈컴퍼니는 SBOM 생성부터 취약점 분석, 규제 대응 문서 준비까지 의료기기 제조사가 인허가 과정에서 겪는 어려움을 실무적으로 해결해 드립니다.

SBOM 준비 체크리스트

  • 제품에 포함된 모든 소프트웨어 구성요소 파악
  • 오픈소스 라이브러리 버전 및 라이선스 확인
  • SBOM 생성 도구 선정 (직접 생성 vs 외주)
  • CVE 데이터베이스 기반 취약점 스캐닝
  • 고위험 취약점 우선순위 선별
  • 취약점 대응 방안 수립 및 문서화
  • FDA/CE/MFDS 규제 요구사항 준수 확인