이번 글에서는 의료기기 Threat Modeling(위협 모델링)이 왜 FDA eSTAR 5.6에서 중요한 요건으로 강조되는지 살펴보겠습니다.

의료기기 Threat Modeling 가이드

보안 보고서의 출발점이자 FDA eSTAR 5.6의 필수 요건

와이즈컴퍼니(주)는 급변하는 의료기기 규제 환경 속에서, 고객사의 FDA eSTAR 5.6 준비와 사이버 보안 체계 구축지원하고 있습니다.

Threat Modeling의 정의

Threat Modeling은 ISO 14971 및 FDA Cybersecurity Guidance에서 공통적으로 강조되는 필수 활동으로, 시스템(소프트웨어, 하드웨어, 네트워크 등)에서 발생할 수 있는 잠재적 위협을 체계적으로 식별·분류·평가·대응하기 위한 구조화된 분석 방법론입니다.

쉽게 말해, “어떤 공격자가 어떤 방식으로 시스템을 공격할 수 있는가?”를 사전에 정의하고, 이에 대한 방어 설계 및 운영 대책을 문서화하는 과정입니다.

Threat Modeling 기반 시나리오 구성

Threat Modeling에는 시나리오 기반 접근법이 포함됩니다. 이는 단순히 “취약점이 있을 수 있다”라고 나열하는 수준이 아니라, 실제 공격 시나리오를 가정하여 어떤 경로로 공격이 발생하고, 환자 안전·데이터 무결성·서비스 가용성에 어떤 영향을 미치는지를 구체적으로 평가하는 방식입니다.

DICOM 영상 변조
의료 영상 파일(DICOM)이 변조되면 의사가 잘못된 이미지를 판독하게 되어 오진 가능성이 높아집니다. 이는 단순 데이터 무결성 위협을 넘어, 환자의 생명과 직결된 심각한 문제로 이어질 수 있습니다.

원격 업데이트 서버 공격
원격 업데이트 기능은 편리하지만, 공격자가 서버를 위장하거나 통신을 탈취하면 악성 패치가 배포될 수 있습니다. 이 경우 의료기관의 시스템 전체가 마비되며, 환자 치료 일정까지 지연될 위험이 있습니다.

AI 모델 조작
최근 의료기기에는 AI 분석 기능이 많이 포함됩니다. 공격자가 학습 데이터나 모델 파라미터를 조작하면 분석 결과가 왜곡되어 잘못된 진단이나 치료 지연으로 이어질 수 있습니다.

💡 FDA eSTAR 5.6과의 연결

이러한 시나리오들은 단순한 가정이 아니라, 실제 FDA eSTAR 5.6 제출 문서에서 위협 식별 → 위험 평가 → 대응책 매핑으로 이어집니다. 특히 각 시나리오는 CVSS 또는 DREAD 같은 점수화 기법을 적용해 위협의 심각도를 수치화합니다.

Threat Modeling이 중요한 이유

1

Risk Analysis로 이어지는 기반

Threat Modeling에서 식별된 위협은 위험도 계산 및 완화 대책 수립의 핵심 근거가 됩니다.

⚠️ Threat Modeling 없이는 Risk Analysis가 “숫자 없는 빈 껍데기”에 불과합니다.

2

Security Test 방향 제시

Threat Modeling에서 정의된 위협 시나리오는 취약점 분석(VA) 및 침투 테스트(PT)의 직접적인 테스트 케이스가 됩니다.

Threat Modeling
DICOM 변조 위험 도출

Risk Analysis
High Risk로 평가

침투 테스트
시나리오로 연결

3

환자 안전과 직결

의료기기 보안 위협은 단순한 데이터 유출을 넘어, 환자 오진·치료 지연·시스템 마비와 같은 직접적인 환자 안전 문제로 이어질 수 있습니다.

FDA가 Threat Modeling을 강조하는 이유는, 바로 이 환자 안전 확보와 직결되기 때문입니다.

4

FDA 제출 문서의 연결 고리

FDA eSTAR 5.6은 Threat Modeling 결과가 다음 문서들과 유기적으로 연결되기를 요구합니다.

  • Cybersecurity Risk Management Documentation
  • Security Test Evidence (VA/PT 결과)

즉, Threat Modeling은 단독 문서가 아니라 FDA 제출 문서 전체를 연결하는 출발점입니다.

마무리

Threat Modeling은 모든 보안 보고서의 출발점이자 필수 기반입니다.