FDA GMP 사이버 보안 가이드 2025 | ISO 13485 & IEC 81001-5-1

본 포스팅에서는 2025년 FDA QMS · GMP 사이버 보안 대응을 위한 ISO 13485 & IEC 81001-5-1 통합 전략을 안내드립니다.

2025년 FDA QMS · GMP 사이버 보안 대응 완벽 가이드

ISO 13485 & IEC 81001-5-1 통합 전략

와이즈컴퍼니(주)는 고객분들이 빠르게 강화되고 있는 FDA 사이버 보안 요구사항에 대응하여 510(k) / eSTAR 제출 및 사후 보안 체계를 효율적이고 실무적으로 구축할 수 있도록 지원하고 있습니다.

왜 FDA는 사이버 보안을 ‘품질의 일부’로 보는가

FDA

Premarket Cybersecurity Guidance

2023년 발행

CFR

21 CFR Part 820 (QSR)

품질시스템 규정

IEC

IEC 81001-5-1:2021

의료 소프트웨어 보안 표준

“Security is part of device safety and effectiveness.”
(보안은 의료기기의 안전성과 성능의 일부다.)

FDA Premarket Cybersecurity Guidance (2023)

즉, 보안이 단순히 기술적 방어 수단이 아니라, 제품 품질(Quality)을 평가하는 기준이 되었다는 뜻입니다.

GMP 심사에서 보안이 평가되는 3가지 측면

설비 및 시스템 무결성 (System Integrity) – 제조 장비, 시험 장비의 접근 권한 및 데이터 보호
데이터 무결성 (Data Integrity) – 전자기록, 로그, 백업의 변조 방지
제품 소프트웨어의 보안성 (Device Software Security) – 소프트웨어 구성요소, 패치, 업데이트 검증

제품 기준으로 보는 사이버 보안 시험의 필요성

최신 가이드라인에 따르면

FDA Premarket Cybersecurity Guidance 2023

FDA는 위와 같이, 의료기기 제조사(manufacturer)가 기기 및 관련 시스템이 사이버 보안 상태임을 보장할 수 있도록 보안 절차를 설계·개발·유지해야 함을 명확히 규정하고 있습니다.

⚠️ 사이버 보안 = 품질관리(Quality System)의 일부이자 법적 요구사항

제품의 보안은 곧 ‘안전성’

의료기기는 더 이상 독립형 장비가 아닙니다. 서버, 클라우드, 네트워크, 모바일 앱과 연결되어 있으며 하나의 취약점이 전체 시스템에 영향을 미칠 수 있습니다.

공격자가 네트워크를 통해 설정값을 변조하거나, AI 분석 결과를 바꾸는 경우 직접적인 환자 피해로 이어질 수 있습니다.

따라서 FDA는 보안 시험을 기능 검증(Validation)과 동일한 수준의 품질 근거(Quality Evidence)로 요구합니다. 보안 시험이 누락되면 심사에서 불이익이 발생합니다.

이때 필요한 건?

FDA Premarket Cybersecurity Guidance (2023)

Section V.A – Secure Product Development Framework (SPDF)

“An SPDF is a set of processes that help identify and reduce the number and severity of vulnerabilities in products.”

→ 취약점의 식별과 완화를 위해 일련의 절차를 수행해야 한다는 뜻.

FDA는 SPDF로 “보안 절차 수립”을 요구했고, 국제표준은 그 절차의 검증을 의무화합니다. 침투 테스트 없는 보안 문서들은 인정받기 어렵습니다.

와이즈컴퍼니의 GMP 중심 지원 범위

FDA 510(k) / eSTAR 제출 · QMS 내 보안 절차 고도화 · 문서화 및 검증 지원

와이즈컴퍼니(주)는 의료기기 제조사의 품질시스템(QMS) 내에 사이버 보안 절차를 체계적으로 통합하고 FDA 요구 수준의 품질 근거(Quality Evidence)를 확보할 수 있도록 다음과 같은 서비스를 제공합니다.

QMS 진단 및 개선

ISO 13485와 IEC 81001-5-1을 기준으로 현재 운영 중인 품질 시스템을 진단하고, 설계관리(Design Control), 변경 관리(Change Control), CAPA, Validation, PMS 등의 절차에 사이버 보안 요구사항(Security Requirements)이 반영되도록 QMS 프로세스를 고도화합니다.

ℹ️ 이 단계에서 SPDF(Secure Product Development Framework)의 절차가 Design Controls에 연동되도록 구조를 확립합니다.

보안 문서화 및 eSTAR 대응

FDA eSTAR 및 Cybersecurity Guidance(2023)에 따라 다음과 같은 핵심 문서를 작성·정비합니다.

핵심 제출 문서

✓

Cybersecurity Risk Management Report

Threat Model, Cybersecurity Risk Assessment, SBOM, Unresolved Anomalies Assessment 포함

✓

Measures and Metrics / Architecture Views

보안 측정 지표 및 시스템 아키텍처 문서

✓

Requirements (Controls) / Testing Summary

보안 요구사항, 통제 항목 및 시험 요약

✓

Cybersecurity Management Plan / Labeling

보안 운영 계획 및 사용자 안내 라벨링

✓

Security Validation Report

보안 검증 보고서

FDA 제출용 사이버 보안 문서의 형식, 구성, 링크(Traceability)를 점검하고, eSTAR 5.6 항목별 요구사항에 따라 사전 완성도 검토를 수행하여 심사 적합성(Completeness Review)을 보장합니다.

보안 시험 및 검증 (침투 테스트)

제품의 실제 보안 수준을 입증하기 위해 자동화 및 수동 취약점 검증(penetration testing)을 수행합니다.

이 검증은 단순 시험이 아닌, FDA가 요구하는 Validation Evidence로서 QMS 상의 Verification & Validation 절차에 포함됩니다.

💡 검증 결과 연계

검증 결과는 Threat Model과 SBOM 리스크 평가 항목과 연계되어 취약점 완화 조치(CAPA)와 재검증 절차로 이어집니다.

운영 가이드 및 교육

완성된 QMS 내 보안 프로세스가 조직 내에서 지속적으로 운영될 수 있도록 보안 절차별 운영 매뉴얼, 점검 체크리스트, 내부 교육자료를 제공합니다.

지속 가능한 Secure QMS 체계

이를 통해 보안 절차가 일회성 인증 대응이 아닌 지속 가능한 Secure QMS 체계로 정착됩니다.

와이즈컴퍼니는 의료기기 제조사가 GMP 기준을 준수하면서도 사이버 보안 요구사항을 완벽히 통합할 수 있도록,

①

절차 진단

②

문서화

③

시험 및 검증

④

eSTAR 대응

⑤

운영 체계 구축

전 과정을 실무적으로 지원합니다.