의료기기의 사이버보안은 환자 안전과 직결되는 핵심 요소로, 특히 미국 FDA는 최근 사이버보안 요구사항을 강화하며 개발자와 제조사에게 더욱 철저한 검증을 요구하고 있습니다. 이에 따라 많은 제조사들이 취약점 분석을 위해 펜테스트(Penetration Testing)와 퍼징(Fuzzing) 시험을 진행하고 있으며, 시험환경의 무결성 보장을 위한 방법론에 대한 고민이 깊어지고 있습니다.

최근 FDA로부터 사이버보안 보완요구를 받아, 이를 해소하기 위한 시험환경을 구성하였다는 후기가 화제였습니다. 담당자는 가상머신(Virtual Machine, VM)을 활용해 시험환경을 구성하고, 각 시험이 완료된 후 VM을 즉시 삭제 및 재생성함으로써 환경의 무결성과 독립성을 확보하는 전략을 택하였습니다.

이는 보안 시험 시 생성될 수 있는 로그, 설정 변화, 또는 악성 코드의 잔존 가능성을 원천 차단하고, 시험마다 초기화된 클린 환경에서 검증을 반복할 수 있는 효과적인 방법입니다. 실제로 FDA는 시험환경의 재현성과 무결성을 중시하며, 시험 시 사용된 환경이 실제 제품 동작환경과 유사한지, 그리고 환경이 오염되지 않았는지를 중요하게 평가합니다.

단, 해당 방식이 FDA의 요구를 완전히 충족하기 위해서는 다음과 같은 조건이 충족되어야 합니다.

1. 가상환경이 실제 기기와 동일한 OS, 네트워크 조건, 서비스 구성을 충실히 반영해야 하며, 하드웨어 의존성이 있는 기능은 별도 시뮬레이션이 필요합니다.

2. 각 시험 반복 시 환경 초기화 로그와 VM 구성 자동화 기록을 통해 재현 가능성을 입증할 수 있어야 합니다.

3. 퍼징 및 펜테스트 툴의 설정값, 결과값, 발생한 시스템 반응 등을 체계적으로 수집하고, 해당 결과가 실제 운영환경에 미치는 영향을 평가해야 합니다.

FDA는 사이버보안을 단순한 기능시험이 아닌, 설계 초기단계부터 통합적으로 고려하는 것을 요구하고 있으며, 이러한 가상화 기반 시험환경 전략은 제품개발 초기단계에서부터 활용할 수 있는 효과적인 보안 확보 방안으로 평가받고 있습니다.

의료기기 소프트웨어의 위험관리는 환자의 안전과 직결되는 중대한 절차이며, 그 중심에는 위험 발생 가능성에 대한 정확한 평가가 자리잡고 있습니다. 위험관리 문서에서 "발생 가능성이 1에 가깝다", 즉 100%에 가까운 수치로 표현될 때, 이는 해당 위해요소가 거의 확실하게 발생할 수 있음을 의미합니다. 단순한 추정치를 넘어 반복적이고 재현성 있는 오류 가능성을 시사하는 표현입니다.

소프트웨어의 특성상 동일한 조건에서는 동일한 결과가 반복됩니다. 예를 들어 특정 입력값이나 조건이 충족될 때마다 오류가 발생한다면, 해당 오류의 발생 가능성은 ‘거의 1’에 수렴한다고 볼 수 있습니다. 이는 확률이 아닌 “논리적 확실성”에 가까운 개념으로 이해해야 하며, 특히 정형화된 테스트나 시뮬레이션에서 반복적으로 재현되는 버그는 이에 해당합니다.

그러나 의료기기 규제 측면에서는 이와 같은 표현에 신중을 기해야 합니다. ISO 14971에서는 위험을 ‘발생 가능성과 결과의 조합’으로 정의하며, 소프트웨어는 하드웨어와 달리 고장이 아닌 ‘논리적 결함’으로 인해 위해를 야기하기 때문에 그 발생 가능성을 단순 확률로 해석해서는 안 됩니다.

또한 IEC 62304는 소프트웨어 위험관리에 있어 '발생 가능성(Likelihood of occurrence)'을 정의할 때, 해당 소프트웨어 결함이 시스템 전체에 어떤 영향을 주는지를 함께 고려해야 한다고 명시하고 있습니다. 따라서 "발생 가능성이 거의 1"이라는 표현은 기술적 맥락을 동반해야 하며, 단순한 수치 표현보다는 그 재현성, 조건, 탐지 가능성 등을 포함한 총체적 판단이 필요합니다.

방사선을 사용하는 의료기기 또는 관련 시설에서는 방사선안전보고서의 작성이 법적·실무적으로 매우 중요한 역할을 합니다. 이는 단순한 형식 문서를 넘어, 방사선으로부터 근로자와 일반인의 건강을 보호하고, 의료기기의 규제 적합성을 입증하는 기반이 되기 때문입니다.

보고서의 일반적인 목차는 ‘시설 개요’부터 ‘법령 목록’까지 포함하며 체계적으로 구성되어야 합니다. 그러나 실무에서는 단순히 항목을 채우는 것이 아니라, 각 항목이 실제 운영과 안전관리 계획에 유의미하게 연결되어야 합니다.

예를 들어, ‘방사선원의 특성, 위치 및 종류 수량’ 항목은 단순 나열이 아닌, 방사선원의 에너지, 방사능 수준, 설치 위치와 같은 기술적 요소를 포함합니다.

‘안전시설 및 계통 개요’에서는 방사선 차폐 구조, 비상 정지 장치, 공조 시스템 등 구체적인 설비 정보가 포함되어야 하며, 실제 운영 중 예상되는 방사선 노출 상황을 시뮬레이션하여 설명하는 것이 바람직합니다.

또한, ‘방사선취급방법 및 방사선안전관리계획’ 항목은 특히 의료기기에서 매우 중요한 부분으로, 방사선을 사용하는 진단 장비(예: CT, C-arm)와 치료 장비(예: 선형가속기)의 특성을 반영한 안전 수칙과 주기적 점검 계획이 포함되어야 합니다. 의료방사선의 경우 환자와 의료인의 반복적인 노출 가능성이 있으므로, 이 항목은 더욱 정밀하게 설계되어야 합니다.

‘사고위험 및 대책’ 항목에서는 단순한 대응 매뉴얼보다, 사전 위해 분석 기법(FMEA 등)을 적용하여 예측 가능한 리스크를 평가하고 이를 바탕으로 실질적인 대응 시나리오를 제시하는 것이 요구됩니다.

끝으로, ‘방사선안전관리자 인적사항 및 자격’ 항목은 국내 현행 규정상 필수 교육을 이수한 자만이 해당 직책을 수행할 수 있으므로, 자격증 보유 여부, 관련 교육 이력, 경력 사항 등이 구체적으로 기술되어야 합니다.

최근 의료기기의 디지털화가 가속화되며 사이버보안에 대한 규제 당국의 관심도 높아지고 있습니다. 특히 미국 FDA는 의료기기의 사전허가(pre-market) 심사 단계에서 사이버보안 관련 문서 제출을 점점 더 중요하게 다루고 있으며, IDE(Investigational Device Exemption) 제출 시에도 적절한 자료가 요구될 수 있습니다.

첨부된 표는 사이버보안 관련 다양한 문서 유형과 해당 문서가 IDE 제출 시 권장되는지 여부를 정리한 것입니다. 

먼저, SBOM(Software Bill of Materials)은 IDE 제출 시 가장 명확히 “권장(Recommended)”되는 문서입니다. 이는 해당 의료기기에 포함된 소프트웨어 구성 요소의 투명성을 제공함으로써, 보안 취약점에 신속히 대응할 수 있는 기반이 되기 때문입니다. 최근 FDA는 SBOM 제출을 명확히 요구하는 방향으로 가이드라인을 강화하고 있습니다.

반면, 사이버보안 위험 평가(Cybersecurity Risk Assessment), 취약점 및 소프트웨어 지원 평가(Vulnerability Assessment and Software Support), 미해결 이상(anomalies) 평가, 추적 가능성(traceability), 지표(measures and metrics) 등은 “도움이 될 수 있으나 명확히 권장되지는 않음(Could be helpful to submit, but not specifically recommended)”으로 분류됩니다. 이러한 문서들은 장기적으로는 PMA(Premarket Approval)나 510(k) 제출 시 더 높은 수준의 제출 요건으로 이어질 수 있으므로, IDE 단계에서도 미리 준비해두는 것이 바람직합니다.

특히 아키텍처 뷰(Architecture Views) 및 요구사항(Requirements) 문서는 IDE 제출 시 “권장(Recommended)”됩니다. 이는 시스템 전반의 보안 취약점 분석을 가능하게 하며, 글로벌, 다환자(multi-patient), 패치 가능성(patchability) 등의 구조적 측면을 명확히 보여주기 때문입니다.

의료기기산업은 지금 그 어느 때보다 빠르게 성장하고 있으며, 기술 진보와 규제 변화에 따라 기관의 역량 강화가 절실한 시점입니다. 이와 같은 변화에 발맞추기 위해서는 단순히 ‘현 상태에서 무엇을 할 수 있는가’를 고민하기보다는, 근본적인 체력인 조직의 기반 역량을 키우는 것이 선결 과제입니다.

한국의료기기안전정보원이 앞으로 더 넓은 사업 영역을 담당하고자 한다면, 현재 보유하고 있는 제도적, 인적, 기술적 자산을 ‘벌크업’하는 전략이 우선되어야 합니다. 여기서 벌크업이란 일시적 사업 확장이 아니라, 규제과학 기반의 전문성 확보, 제도 운영 경험의 축적, 그리고 정책 지원 기능의 내실화 등을 의미합니다.

이러한 맥락에서 ‘품질책임자 교육기관’ 지정은 단순한 역할 수행을 넘어, 산업 전반의 품질관리 수준을 견인하는 전략적 수단이 될 수 있습니다. 해당 역할을 반납하는 것은 단기적으로는 부담을 덜 수 있으나, 중장기적으로는 정책적 존재감과 산업 영향력을 스스로 축소하는 선택이 될 수 있습니다.

의료기기 안전관리의 패러다임이 제품 중심에서 전주기 안전성과 성능 기반의 관리체계로 전환되는 지금, 체계를 갖추고 주도권을 넓히기 위해서는 ‘할 수 있는 일’이 아니라 ‘해야 할 일’을 중심에 둬야 합니다. 지금은 외연 확장이 아닌 내실 강화를 통해 차세대 규제 리더로서의 위치를 확고히 할 중요한 시점입니다.

의료기기 산업은 인류의 건강과 직결된 분야로, 단순한 산업적 관점이 아닌 공공보건의 시각에서 접근해야 합니다. 특히 규제는 산업 육성과 국민 건강 보호라는 이중적 책무를 동시에 수행해야 하기에 더욱 섬세한 균형이 요구됩니다.

중국과 미국은 의료기기 규제를 강화함으로써 기업의 품질관리 역량을 제고하고, 궁극적으로는 글로벌 경쟁력을 확보하는 토대를 마련하였습니다. 특히 미국 FDA는 GMP(Good Manufacturing Practice) 기반의 실사와 평가를 철저히 하며, 단순히 문서로 된 정책이 아닌 현장에서의 이행력을 중요하게 여깁니다. 중국 역시 의료기기 분야에서 OEM을 통해 기술력을 축적하였으며, 최근에는 자국 내 R&D와 품질시스템을 강화하며 기술 자립에 나서고 있습니다.

반면, 우리나라의 의료기기 규제 당국은 아직도 정책 중심, 사무실 중심의 접근이 많은 실정입니다. 식약처 심사관들이 보다 자주 제조현장을 방문하고, 규제가 실질적으로 작동하는지를 현장에서 확인해야 할 필요가 있습니다. 의료기기의 품질과 안전은 현장에서 시작되며, 서류만으로는 결코 파악할 수 없는 부분이 많기 때문입니다.

또한, 규제 개선은 단순한 규제 완화가 아닌, 강건한 규제 시스템 위에서 이루어져야 합니다. 명확한 기준과 책임 구조가 전제되지 않은 규제 완화는 오히려 시장 혼란과 국민 불신을 초래할 수 있습니다.

해외 규제기관들은 의료기기 허가 시 ‘했느냐/안 했느냐’, ‘자료가 있느냐/없느냐’와 같은 형식적인 접근보다는, 해당 기술이나 자료의 ‘과학적 타당성’을 우선적으로 평가합니다. 국내에서도 심사의 전문성을 높이고, 과학적 근거 중심의 규제문화로 전환해야 할 시점입니다.

의료기기 산업의 글로벌화가 가속화되는 지금, 규제는 걸림돌이 아닌 품질과 신뢰의 기반으로 작동해야 합니다. 이를 위해서는 정책 설계자뿐 아니라, 현장의 전문가들이 함께 규제를 설계하고 운영하는 구조가 필요합니다. 식약처의 역할은 단순한 허가기관이 아니라, 산업과 국민 건강을 함께 지키는 동반자로 거듭나야 할 것입니다.

최근 급여 적용 결정이 내려진 ‘ISTENT’ 제품은 녹내장 환자에게 삽입되는 슈렁관 스텐트로, 그 치료효과와 안전성을 인정받아 선별급여 대상으로 지정되었습니다. 이번 결정은 의료기기 급여화의 방향성과 더불어 환자 부담에 대한 이해를 돕는 좋은 사례로 볼 수 있습니다.

우선, ‘상한금액(안)’이 990,000원으로 설정되었다는 점은 이 금액까지 건강보험 급여 항목으로 인정한다는 의미입니다. 그러나 이 제품은 ‘선별급여’로 분류되었기에 환자는 총 상한금액 중 50%인 495,000원을 본인부담해야 하며, 나머지 50%는 건강보험공단이 부담하게 됩니다.

여기서 중요한 점은 선별급여의 적용 방식입니다. 선별급여란 급여와 비급여의 중간 형태로, 의료기기의 유효성은 인정하되 비용효과성 혹은 대상환자군이 제한적일 경우 일정 조건 하에 급여 혜택을 일부만 제공하는 제도입니다. 환자 부담률은 일반적으로 30~90% 사이에서 결정되며, 본 건에서는 50%로 설정되었습니다.

실제 시장 가격이 200만 원인 경우라면, 상한금액(급여 인정 범위) 외 차액인 101만 원은 비급여로 처리되며, 환자가 전액 부담하게 됩니다. 따라서 환자는 총 1,495,000원을 부담하게 되는 셈입니다(상한금액 내 본인부담금 495,000 + 상한금액 초과분 1,010,000).

이러한 제도는 환자에게 일정 부분 경제적 부담을 줄이면서도, 의료기기 제조사에는 일정 수준의 가격 통제를 가능하게 합니다. 다만, 의료현장에서는 이러한 제도의 복잡성이 충분히 설명되지 않으면 환자와 의료진 간 혼선이 발생할 수 있어, 명확한 설명과 사전 안내가 중요합니다.

의료기기 소프트웨어의 복잡성이 증가하면서, 소프트웨어 구성요소 명세서(SBOM, Software Bill of Materials)의 중요성도 더욱 부각되고 있습니다. SBOM은 소프트웨어에 포함된 모든 오픈소스 및 서드파티 컴포넌트를 명확히 기록한 문서로, 보안 취약점의 선제적 대응과 규제 준수에 필수적인 역할을 합니다.

특히 의료기기와 같이 환자의 생명과 직결되는 분야에서는 SBOM이 단순한 문서가 아닌, 사이버보안과 리스크 관리의 출발점이 됩니다. 미국 FDA는 사이버보안 가이드라인을 통해 SBOM 제공을 명시적으로 요구하고 있으며, 국내에서도 관련 규제 도입이 논의 중입니다.

SBOM은 수작업으로 작성하기에는 비효율적이고 오류의 가능성이 높기 때문에, 반드시 자동화된 도구를 통해 생성해야 합니다. 대표적으로 CycloneDX, SPDX, SWID와 같은 국제 표준 형식이 존재하며, 이를 지원하는 다양한 오픈소스 도구들이 활발히 활용되고 있습니다. 예를 들어, SPDX Tools, CycloneDX Tool Center 등이 있습니다.

이러한 도구들은 소스코드나 바이너리를 분석해 JSON, XML 등 기계판독이 가능한 형식으로 SBOM을 생성할 수 있으며, 이후 소프트웨어 보안 취약점 DB와 연계하여 실시간으로 보안 위협에 대응할 수 있는 체계를 구축하는 데 활용됩니다.

※ Tool Support

1. Swid Tools (https://packages.fedoraproject.org/pkgs/swid-tools/swid-tools/)
2. Swid Generator (https://github.com/strongswan/swidGenerator)
3. Cyclone DX Tool Center (https://cyclonedx.org/tool-center/)
4. SPDX Tools (https://tools.spdx.org/app/)

* 출처: Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM), NITA

의료기기의 사이버보안은 단순히 개발 마지막 단계에서 검증하거나 유효성을 평가하는 수준으로는 충분하지 않습니다. 사이버보안은 제품 개발 전 과정에 걸쳐 통합적으로 고려되어야 하는 핵심 요소입니다. 특히 환자의 생명과 직결될 수 있는 의료기기의 특성상, 보안 위협에 대한 대응은 개발 초기에부터 구조적으로 접근해야 합니다.

많은 경우 펌웨어 개발은 비교적 간단하다는 이유로 사이버보안 측면에서 간과되기 쉽습니다. 그러나 가장 단순한 펌웨어일지라도 사이버보안은 필수적으로 적용되어야 하며, 이는 단순한 제품 보호를 넘어서 환자의 안전 확보와 직결됩니다.

예를 들어, 사이버보안을 고려한 펌웨어 개발에서는 반드시 보안 업데이트나 패치가 가능하도록 설계되어야 하며, 이를 위한 OTA(Over-the-Air) 업데이트 기능이나 안전한 부트로더 구조도 필수적입니다. 또한 개발 과정 중에는 정적 분석 도구나 취약점 스캐너 등을 활용해 취약점을 사전에 탐지하고, 이에 대한 로그와 데이터를 체계적으로 관리해야 합니다.

국내외 의료기기 규제기관(예: FDA, EU MDR, MFDS) 역시 사이버보안의 사전 예방적 접근을 강조하고 있으며, 미국 FDA는 최근 "Secure Product Development Framework(SPDF)" 개념을 제시하면서 개발 단계 전반에 걸친 보안 통합을 명시하고 있습니다.

따라서 펌웨어 개발을 포함한 모든 의료기기 소프트웨어 개발에서는 사이버보안을 별개의 요소가 아닌, 시스템적인 개발 프로세스의 일부로 포함해야 하며, 이를 통해 안전하고 신뢰할 수 있는 의료기기를 구현할 수 있습니다. 이제는 보안이 옵션이 아닌, 필수 요건이 된 시대입니다.

의료기기의 원자재가 변경될 경우, 해당 변경이 인체 안전성과 제품 성능에 미치는 영향을 종합적으로 평가하는 것이 규제 관점에서 중요합니다. 단순한 재료 변경이라 해도, 제품의 사용 환경이나 인체와의 접촉 특성에 따라 제출해야 하는 자료의 범위가 달라질 수 있습니다.

먼저, 변경된 원자재가 인체 접촉 부위에 해당하는 경우, 생물학적 안전성 평가가 다시 수행되어야 하는 것이 일반적인 규제 요구입니다. ISO 10993 기준에 따라, 물리화학적 특성 분석(용출물 시험 포함)과 생물학적 시험 자료를 새로 제출해야 합니다. 이때 기존 평가자료를 참조하더라도, 변경된 소재에 대한 명확한 비교 분석과 과학적 정당성 확보가 선행되어야 합니다.

한편, 포장 형태나 저장 조건이 동일하고, 변경된 원자재가 제품의 안정성에 영향을 미치지 않는다고 판단되는 경우에는 안정성 시험의 생략 또는 과학적 소명으로 대체가 가능합니다. 그러나 여기서 중요한 것은 '소명'의 수준입니다. 단순 주장만으로는 부족하며, 재료의 특성 변화가 최종 제품의 기능 및 안정성에 영향을 미치지 않는다는 과학적 근거와 검토자료가 필요합니다.

또한 원자재 변경이 제품의 성능에 영향을 줄 수 있는 경우라면, 성능 평가 자료 및 장기적인 성능 안정성에 대한 입증도 요구됩니다. 예를 들어, 기계적 강도나 투과율, 유연성 등이 제품의 주요 기능과 연관된 경우, 해당 항목에 대한 시험 성적서가 새롭게 요구될 수 있습니다.