FDA 510(k) 의료기기 사이버보안 사후 대응 요건과 가이드라인

미국 식품의약국(FDA)은 의료기기의 사이버보안 강화를 위해 제조업체에게 다양한 규제 요건을 부과하고 있습니다. 특히, 연방식품의약품화장품법(FD&C Act) 제524B조는 사이버보안 리스크에 대한 체계적인 사후 대응 체계를 마련하도록 요구하고 있으며, 이를 충실히 이행하는 것이 의료기기 안전성과 신뢰성을 확보하는 데 핵심적인 요소입니다.

FD&C Act 제524B(b)(1)항은 제조업체가 사이버보안 취약점 및 악용 사례에 대해 모니터링, 식별, 그리고 적절히 대응하기 위한 계획을 수립할 것을 요구합니다. 여기에는 조율된 취약점 공개 절차(Coordinated Vulnerability Disclosure, CVD)도 포함됩니다. 최근 FDA는 이러한 CVD 절차의 중요성을 더욱 강조하며, 이를 사후 사이버보안 프로그램의 필수 구성 요소로 간주하고 있습니다.

또한 제524B(b)(2)(A)항은 알려진 허용 불가능한 취약점을 정기적이고 합리적인 주기로 해결하기 위한 업데이트 및 패치 제공을 요구하며, 제524B(b)(2)(B)항은 심각한 위험을 초래할 수 있는 치명적인 취약점에 대해서는 가능한 빠른 시점에서 주기 외 패치 제공이 필요함을 명시하고 있습니다. 이는 의료기기 사용 중 환자의 생명과 직결될 수 있는 사이버 위협에 즉각적으로 대응할 수 있는 체계를 마련하기 위함입니다.

FDA는 2014년 발표한 ‘Premarket Cybersecurity Guidance’를 통해 의료기기 사후 사이버보안 관리 방안을 사전에 계획하고 이를 승인 신청 시 문서화하도록 권고하고 있습니다. 이후 발행된 ‘Postmarket Cybersecurity Guidance’에서는 효과적인 사후 보안 프로그램의 핵심 요소를 구체화하고 있으며, 단순 보안 강화를 위한 소프트웨어 변경의 경우에는 FDA의 재검토 및 승인 없이 진행할 수 있도록 유연한 규제 접근을 제시합니다.

의료기기의 디지털화와 연결성이 확대되는 현시점에서, 제조업체는 사후 사이버보안 대응 체계를 단순한 규제 대응을 넘어 제품 안전성과 브랜드 신뢰를 확보하기 위한 전략적 자산으로 인식해야 합니다. 법적 요구사항 준수는 물론, 국제 표준(예: ISO/IEC 81001-5-1, AAMI TIR57 등)과의 정합성 확보도 병행하는 것이 바람직합니다.