SBOM 꼭 제출해야 하나요? 오픈소스가 많으면 문제가 되나요? FDA, CE, 식약처 모두 확인하나요?
안녕하세요. 와이즈컴퍼니(주)는 고객분들이 빠르게 변화하는 규제적 요구사항에 맞춰 대처할 수 있도록 도와드리고 있습니다.
이번 포스팅은 최근 의료기기 사이버보안 시험에서 중요성이 높아지고 있는 SBOM(Software Bill of Materials)에 대해 정리해 보았습니다.
1. SBOM이란 무엇일까요?
SBOM은 Software Bill of Materials의 약자로, 의료기기에 포함된 소프트웨어 구성요소 목록을 의미합니다.
쉽게 말하면 제품 내부에 어떤 오픈소스, 라이브러리, 패키지, SDK가 사용되었는지 정리한 “소프트웨어 자재명세서”입니다.
최근 의료기기에는 다양한 외부 라이브러리와 오픈소스가 사용되고 있기 때문에, 규제기관은 제품 내부 구성요소의 보안 취약점 여부를 매우 중요하게 보고 있습니다.
2. FDA는 왜 SBOM 제출을 요구할까요?
FDA는 Cyber Device에 대해 SBOM 제출을 필수로 하고 있으며, 이를 통해 알려진 취약점(Known Exploited Vulnerabilities) 존재 여부를 확인하도록 요구하고 있습니다.
3. 단순 목록만 만들면 끝나는 걸까요?
많은 기업들이 SBOM을 단순 라이브러리 리스트 정도로 생각하지만, 실제 규제 대응에서는 훨씬 더 중요한 역할을 합니다.
SBOM과 연결되는 활동
즉, SBOM은 단독 문서가 아니라 전체 사이버보안 위험관리 체계의 시작점이라고 볼 수 있습니다.
4. 실제 시험에서는 어떤 항목들을 확인할까요?
실제 의료기기 사이버보안 시험에서는 다음과 같은 부분들을 함께 검토합니다.
오픈소스 버전 식별
제품에 포함된 모든 오픈소스 라이브러리의 정확한 버전 확인
고위험 CVE 존재 여부
NVD 및 KEV 카탈로그 기반 고위험 취약점 매핑
지원 종료(EOL) 라이브러리 사용 여부
유지보수가 종료된 컴포넌트 사용 시 대체 방안 검토
라이선스 문제
오픈소스 라이선스 호환성 및 의무사항 준수 여부
공급망 무결성
소프트웨어 공급망의 신뢰성 및 변조 방지 체계
패치 가능 여부
취약점 발견 시 신속한 패치 적용 가능 여부 검증
⚠️ Log4j 사고 이후 강화된 심사
최근에는 Log4j와 같은 공급망 보안 사고 이후, 규제기관과 심사기관 모두 SBOM 검토 수준이 상당히 높아지고 있습니다.
5. FDA·CE·식약처 모두 중요하게 보고 있습니다
현재 FDA뿐 아니라 유럽 CE MDR과 국내 식약처 역시 SBOM 기반 사이버보안 관리 체계를 중요하게 평가하고 있습니다.
6. 와이즈컴퍼니(주)는 어떻게 지원할 수 있을까요?
와이즈컴퍼니(주)는 의료기기 사이버보안 시험 및 문서화 과정에서 SBOM 추출 및 검증부터 Threat Modeling, 취약점 분석, 침투시험, 규제 제출 문서화까지 통합적으로 지원하고 있습니다.
또한 FDA, CE MDR, 국내 식약처 요구사항 기반으로 Cybersecurity Risk Management Report, Management Plan, Test Summary 등 제출 문서 패키지 구성도 함께 지원해드리고 있습니다.
와이즈컴퍼니의 SBOM 통합 지원 서비스
- SBOM 추출 (CycloneDX / SPDX 기계 판독 형식)
- SBOM 검증 및 CVE 매핑 분석
- Threat Modeling (STRIDE 기반) 및 취약점 분석
- 침투시험 (하드웨어·데스크톱·웹·모바일·클라우드)
- Cybersecurity Risk Management Report 작성
- Management Plan 및 Test Summary 문서화
- FDA·CE MDR·식약처 인허가 제출 문서 패키지 구성
✅ End-to-End 통합 대응 서비스
시험과 문서화를 분리하지 않고, 실제 인허가 제출까지 연결될 수 있도록 End-to-End 대응 서비스를 제공하고 있습니다.