의료기기 사이버보안 문서 IDE 제출 시 고려사항

 

최근 의료기기의 디지털화가 가속화되며 사이버보안에 대한 규제 당국의 관심도 높아지고 있습니다. 특히 미국 FDA는 의료기기의 사전허가(pre-market) 심사 단계에서 사이버보안 관련 문서 제출을 점점 더 중요하게 다루고 있으며, IDE(Investigational Device Exemption) 제출 시에도 적절한 자료가 요구될 수 있습니다.

첨부된 표는 사이버보안 관련 다양한 문서 유형과 해당 문서가 IDE 제출 시 권장되는지 여부를 정리한 것입니다. 

먼저, SBOM(Software Bill of Materials)은 IDE 제출 시 가장 명확히 “권장(Recommended)”되는 문서입니다. 이는 해당 의료기기에 포함된 소프트웨어 구성 요소의 투명성을 제공함으로써, 보안 취약점에 신속히 대응할 수 있는 기반이 되기 때문입니다. 최근 FDA는 SBOM 제출을 명확히 요구하는 방향으로 가이드라인을 강화하고 있습니다.

반면, 사이버보안 위험 평가(Cybersecurity Risk Assessment), 취약점 및 소프트웨어 지원 평가(Vulnerability Assessment and Software Support), 미해결 이상(anomalies) 평가, 추적 가능성(traceability), 지표(measures and metrics) 등은 “도움이 될 수 있으나 명확히 권장되지는 않음(Could be helpful to submit, but not specifically recommended)”으로 분류됩니다. 이러한 문서들은 장기적으로는 PMA(Premarket Approval)나 510(k) 제출 시 더 높은 수준의 제출 요건으로 이어질 수 있으므로, IDE 단계에서도 미리 준비해두는 것이 바람직합니다.

특히 아키텍처 뷰(Architecture Views) 및 요구사항(Requirements) 문서는 IDE 제출 시 “권장(Recommended)”됩니다. 이는 시스템 전반의 보안 취약점 분석을 가능하게 하며, 글로벌, 다환자(multi-patient), 패치 가능성(patchability) 등의 구조적 측면을 명확히 보여주기 때문입니다.