의료기기 소프트웨어의 위험이전(Risk Transfer)과 보안분류

의료기기의 소프트웨어는 제품의 안전성과 성능을 보장하기 위해 엄격한 관리와 보안이 요구됩니다. 특히 소프트웨어 항목의 분류는 제조업체가 보안과 관련된 위험을 어떻게 관리하고, 고객과 소통하며, 필요한 보안 업데이트를 제공하는지를 명확히 정의합니다. 이에 따라 소프트웨어 항목은 다음과 같이 세 가지로 분류됩니다: 유지 소프트웨어(Maintained Software), 지원 소프트웨어(Supported Software), 그리고 필수 소프트웨어(Required Software).

유지 소프트웨어 (Maintained Software)
유지 소프트웨어는 제조업체가 직접 보안과 관련된 모든 위험을 관리하고, 필요에 따라 보안 업데이트를 제공하는 소프트웨어를 의미합니다. 이는 제조업체가 소프트웨어의 보안을 보장하기 위해 지속적인 책임을 진다는 점에서 중요합니다.

예를 들어, 특정 의료기기용으로 개발된 맞춤형 소프트웨어, 임베디드 오프-더-셸프(Off-the-Shelf) 소프트웨어, 그리고 이 문서 발행 이전에 개발된 의료 소프트웨어가 여기에 포함됩니다. 제조업체는 이러한 소프트웨어의 취약점을 선제적으로 파악하고 보안 강화를 위한 조치를 취해야 합니다.

지원 소프트웨어 (Supported Software)
지원 소프트웨어는 제조업체가 고객에게 보안 위험을 알리고, 알려진 위험에 대한 정보를 제공하는 소프트웨어를 지칭합니다. 이는 제조업체가 소프트웨어의 위험 관리에 대해 직접적인 책임을 지지 않더라도, 사용자에게 위험 정보를 충분히 전달하여 적절한 조치를 취할 수 있도록 돕는 것을 목표로 합니다.

대표적인 예로는 일반적으로 사용 가능한 오프-더-셸프 소프트웨어, 제3자 소프트웨어, 또는 유지 소프트웨어로 분류되지 않은 기타 소프트웨어가 포함됩니다. 이러한 소프트웨어의 보안 위험은 사용자와의 투명한 소통을 통해 관리됩니다.

필수 소프트웨어 (Required Software)
필수 소프트웨어는 의료기기의 목적을 달성하기 위해 필수적이지만, 제조업체가 릴리스 전에 이미 알려진 보안 위험을 사전에 고려한 소프트웨어입니다. 이러한 소프트웨어는 더 이상 업데이트가 불가능한 경우도 많으며, 따라서 초기 설계 및 개발 단계에서 보안 문제를 철저히 검토해야 합니다.

여기에는 업데이트가 불가능한 소프트웨어, 더 이상 지원되지 않는 제3자 소프트웨어, 그리고 일부 지원 소프트웨어가 포함됩니다. 제조업체는 이러한 소프트웨어의 보안 요건이 의료기기의 안전성과 성능에 미치는 영향을 명확히 이해하고 이를 설계 명세에 반영해야 합니다.