의료기기에서 SBOM과 침투시험의 의미와 현실적 고려사항

의료기기 소프트웨어 규제에서 SBOM(Software Bill of Materials)은 점점 더 중요한 역할을 차지하고 있습니다. SBOM은 단순히 소프트웨어의 최신 버전을 운영하라는 요구로 이해되기 쉽지만, 그 본질은 훨씬 더 복잡합니다. 최신 버전을 유지하지 못하는 경우, 해당 소프트웨어가 포함할 수 있는 알려진 취약점(CVE, Common Vulnerabilities and Exposures)에 대해 충분한 위험 분석과 대비책을 마련하라는 의미로 이해해야 합니다.

이러한 맥락에서 SBOM은 침투시험(penetration testing)과도 연계될 수 있습니다. 침투시험은 시스템에 존재할 수 있는 보안 취약점을 실제로 탐지하고 평가하는 과정이며, 종종 SBOM에서 확인된 취약점을 검증하거나 보완하는 절차로 사용됩니다. 다만, 중요한 점은 무료 툴을 활용한 자동 스캔만으로는 충분한 취약점 산출이 되지 않는다는 점입니다. 상용 솔루션이나 전문가의 분석이 요구되는 경우가 많으며, 이 또한 규제 대응의 핵심 요소입니다.

최근에는 의료기기 제조사의 기본 OS 환경부터 규제기관이 보완 또는 개선 요청을 하는 사례가 늘어나고 있습니다. 단순히 소프트웨어 버전의 최신화가 아니라, OS 및 내장 소프트웨어 전반에 대한 보안 체계 점검이 요구됩니다. 또한, 침투시험을 수행할 경우, 규제기관이나 고객 측에서 해당 시험의 자격 요건(예: 시험자의 자격, 시험 절차의 적절성 등)을 요구하는 사례도 있습니다. 이는 단순한 내부 점검이 아니라, 외부에 증빙할 수 있는 공식적인 시험으로서의 신뢰성이 필요하다는 의미입니다.