의료기기 소프트웨어의 오픈소스 관리 및 SBOM 작성 지침

의료기기 소프트웨어 개발 과정에서 오픈소스 컴포넌트의 사용은 흔한 일이며, 이에 대한 적절한 관리와 문서화는 필수적입니다. 특히, 소프트웨어 Bill of Materials (SBOM)에 오픈소스 항목을 포함하고 이에 대한 취약성 평가를 수행하는 것이 중요합니다. 여기서는 오픈소스 컴포넌트를 사용할 때 고려해야 할 주요 사항들에 대해 안내드리겠습니다.

1. 오픈소스 항목의 SBOM 포함
오픈소스 컴포넌트, 예를 들어 Redmine과 같은 항목을 사용하는 경우, 이를 SBOM에 명확하게 기록해야 합니다. 이는 소프트웨어의 구성요소를 완전하게 이해하고 관리하는 데 필수적입니다.

 

2. 취약성 평가 및 문서화
SBOM에 포함된 오픈소스 항목에 대해, 취약성을 평가해야 합니다. 이 과정에서 CVE(Common Vulnerabilities and Exposures) 데이터베이스를 참조하여 해당 항목의 알려진 취약점이 있는지 확인합니다.
발견된 취약점에 대해서는 해결된 사항인지, 아니면 제품에서 이를 어떻게 방어하고 있는지에 대한 정보를 포함하여 평가 계획 보고서를 작성합니다.

 

3. CVSS를 이용한 위험도 평가
CVE에서 제공하는 CVSS(Common Vulnerability Scoring System) 점수를 활용하여 오픈소스 컴포넌트의 위험도를 평가합니다. CVSS 점수는 취약성의 심각도를 나타내며, 이를 기반으로 위험 관리 및 대응 계획을 수립할 수 있습니다.

 

4. 오픈소스 관리의 중요성 인식
오픈소스 컴포넌트의 사용은 의료기기 소프트웨어 개발에 많은 이점을 제공하지만, 동시에 적절한 관리와 검증이 필요합니다. 이는 제품의 안전성과 보안을 확보하는 데 매우 중요한 부분입니다.