FDA 사이버보안 가이던스, 한국 커넥티드 의료기기가 제출 전에 갖춰야 할 12개 문서
2026년 2월 FDA가 사이버보안 가이던스를 개정했다. SBOM은 법적 의무고, 위협 모델링·침투 테스트·보안 아키텍처 뷰가 없으면 510(k)가 기술 심사에서 보류된다. 한국 제조사가 eSTAR에 넣어야 할 문서를 정리했다.
왜 지금 FDA 사이버보안을 봐야 하나
FD&C Act 제524B조(2022년 12월 제정)는 사이버 디바이스(cyber device)를 제출하는 제조사에게 SBOM·취약점 관리 계획·패치 업데이트 체계를 법적 의무로 규정했다. 2023년 10월부터 사이버 디바이스 제출 시 524B 요건을 충족하지 않으면 RTA(Refuse to Accept) 처리된다.
2026년 2월 3일, FDA는 가이던스를 다시 개정했다. 이번에 바뀐 것은 QMSR(21 CFR Part 820에 ISO 13485:2016을 참조 통합)로의 용어 정렬이다. 사이버보안 요구 자체는 2025년 6월 가이던스와 동일하지만, 품질시스템 프레임워크가 QMSR으로 이동했다는 점을 한국 제조사가 놓치면 안 된다.
한국 의료기기 회사가 이 가이던스를 신경 써야 하는 이유는 세 가지다.
- 커넥티드 디바이스 범위가 넓다. Wi-Fi·블루투스·USB·시리얼 포트 — 인터넷에 간접적으로라도 연결 가능하면 사이버 디바이스다. 소프트웨어가 포함된 대부분의 기기가 해당된다.
- 510(k) 실질적 동등성(NSE)에 영향한다. predicate보다 사이버보안 리스크가 높으면 실질적 동등성 부족으로 거절될 수 있다.
- 12개 표준 문서가 eSTAR에 필수다. 누락 시 RTA(refuse to accept) 또는 기술 심사 보류가 발생한다.
사이버 디바이스 판단: 한국 제조사가 놓치는 경우
FD&C Act 제524B(c)조는 사이버 디바이스를 다음 세 가지 조건을 모두 충족하는 기기로 정의한다.
| 조건 | 내용 | 한국 제조사가 자주 놓치는 포인트 |
|---|---|---|
| ① 소프트웨어 포함 | 스폰서가 검증한 소프트웨어가 설치 또는 승인되어 있어야 함 | 펌웨어만 있어도 해당. 아날로그 기기라도 소프트웨어 모듈이 있으면 포함 |
| ② 연결성 | 인터넷에 직·간접 연결 가능 | USB·블루투스·시리얼 포트도 간접 연결로 간주. 병원 네트워크에 연결되면 무조건 해당 |
| ③ 사이버 위협 취약 | 사이버 위협에 노출될 수 있는 기술적 특징 보유 | 사실상 ①②를 만족하면 자동 충족 |
중요: 2025년 6월 가이던스는 "소프트웨어가 포함된 기기라면 네트워크 연결 여부와 관계없이 사이버보안 리스크를 평가하라"고 명시했다. 즉, 오프라인 기기라도 소프트웨어가 있으면 사이버보안 섹션을 작성해야 한다.
eSTAR에 넣어야 할 12개 문서
FDA는 eSTAR 사이버보안 섹션에 약 12개의 표준 문서를 요구한다. 하나라도 누락되면 기술 심사에서 보류된다.
1. Security Risk Management Plan (보안 위험관리 계획)
- AAMI TIR57 기반, ISO 14971 안전 위험관리와 별도 프로세스로 수행
- **악용 가능성(exploitability)**을 기준으로 위험을 평가 — 확률(probability) 기반이 아님
- QMSR 4.1.6(도구 검증)과 연동
2. Security Risk Management Report (보안 위험관리 보고서)
- 위협 모델링에서 식별된 모든 위험의 추적성(traceability) 정리
- 잔여 위험의 정당화
- 편차(deviation) 기록
3. Threat Modeling Report (위협 모델링 보고서)
- STRIDE, Attack Tree, MITRE 기반 방법론 권장
- 모든 연결 경로(유선·무선·클라우드·서비스 포트)와 데이터 흐름 식별
- 자산 분류 및 안전 필수 기능(safety-critical function) 정의
4. Software Bill of Materials (SBOM)
- 법적 의무(FD&C Act §524B(b)(3)) — 권고가 아니다
- NTIA 최소 요소 + 추가 정보 필요:
| SBOM 항목 | 내용 |
|---|---|
| 컴포넌트 목록 | 상용·오픈소스·COTS 모든 소프트웨어 |
| 버전 정보 | 각 컴포넌트의 정확한 버전 |
| 지원 수준 | 활성 유지보수·레거시·지원 중단 |
| 지원 종료일 | 각 컴포넌트의 EOL/EOS 날짜 |
| 알려진 취약점 | CISA Known Exploited Vulnerabilities Catalog 교차 확인 |
| 완화 조치 | 취약점에 대한 설계상 완화 내용 |
- 머신 판독 가능(machine-readable) 형식 필요
5. Security Architecture Views (보안 아키텍처 뷰) — 4종
| 뷰 | 설명 |
|---|---|
| Global System View | 전체 시스템의 보안 아키텍처 |
| Multi-Patient Harm View | 다수 환자에게 영향을 줄 수 있는 경로 |
| Updateability/Patchability View | 패치·업데이트 메커니즘 |
| Security Use Case View | 주요 보안 사용 사례 |
6. Cybersecurity Testing Documentation (보안 테스트 문서)
4가지 테스트 유형이 필요하다.
| 테스트 유형 | 내용 |
|---|---|
| Security Requirements Testing | 보안 요구사항 검증 |
| Threat Mitigation Testing | 위협 모델링에서 식별된 위협의 완화 검증 |
| Proactive Vulnerability Hunting | 능동적 취약점 탐지 |
| Independent Penetration Testing | 독립적인 침투 테스트 |
7. Secure Product Development Framework (SPDF) 문서
- AAMI TIR45, IEC 81001-5-1, ANSI/ISA 62443-4-1 중 하나 권장
- 제품 라이프사이클 전체에 걸친 취약점 감소 프로세스
8. Cybersecurity Management Plan (사이버보안 관리 계획)
- 시장 출시 후 지속적 유지보수·업데이트 계획
- 취약점 공개(vulnerability disclosure) 프로세스
- 조정 취약점 공개(coordinated vulnerability disclosure, CVD) 체계
9. SBOM Vulnerability Assessment (SBOM 취약점 평가)
- SBOM 각 컴포넌트의 안전·보안 위험 평가
- 완화되지 않은 취약점에 대한 정당화
10. Software Description (소프트웨어 기술)
- 소프트웨어 버전, 아키텍처, 기능 설명
- OTS/SOUP(상용/출처 불명 소프트웨어) 현황
11. Cybersecurity Labeling (사이버보안 라벨링)
- 사용자·운영자 매뉴얼에 포함 가능
- 인증·암호화 요구사항, 네트워크 설정 가이드, 보안 업데이트 방법 안내
12. Interoperability Documentation (상호운용성 문서)
- 통신 프로토콜, 데이터 흐름, 인터페이스 명세
- FDA 2017 가이던스 "Design Considerations for Interoperable Medical Devices" 준거
한국 제조사가 자주 하는 실수
실수 1: "USB만 있어서 해당 안 된다"고 판단
FDA는 USB·시리얼 포트도 간접적 인터넷 연결로 본다. 병원 네트워크에 연결되는 모든 기기가 사이버 디바이스다. 이 판단을 놓치면 제출 자체가 거절된다.
실수 2: SBOM을 엑셀 수동 관리
NTIA 최소 요소를 엑셀로 작성하면 머신 판독 가능 요건을 충족하기 어렵다. SPDX·CycloneDX 같은 표준 포맷을 사용해야 한다. 오픈소스 컴포넌트가 많은 한국 제조사는 자동화 도구 도입이 필수다.
실수 3: 보안 위험관리를 ISO 14971에 통합
FDA는 보안 위험관리를 안전 위험관리와 별도 프로세스로 요구한다. ISO 14971에 사이버보안을 통합하는 것은 허용되지만, 평가 방법론이 다르다. 안전은 확률(probability) 기반이고, 보안은 악용 가능성(exploitability) 기반이다.
실수 4: 위협 모델링 없이 테스트만 수행
FDA는 위협 모델링 → 보안 위험 평가 → 테스트의 **추적성(traceability)**을 요구한다. 테스트 결과만 제출하고 위협 모델링이 없으면 심사관이 불충분 판정을 내린다.
실수 5: 510(k) predicate와 사이버보안 비교 누락
predicate 디바이스보다 사이버 리스크가 높으면 실질적 동등성(substantial equivalence)이 부인될 수 있다. predicate 대비 보안 기능 비교표를 준비해야 한다.
QMSR 전환과 사이버보안의 관계
2026년 2월 2일 QMSR이 발효되면서, 기존 21 CFR 820 참조가 모두 QMSR로 교체되었다. 사이버보안 가이던스도 2026년 2월 3일 개정되어 QMSR 용어에 맞춰졌다.
| 변경 전(기존 QSR) | 변경 후(QMSR) | 사이버보안에 미치는 영향 |
|---|---|---|
| 21 CFR 820 | 21 CFR Part 820 + ISO 13485:2016 참조 통합 | SPDF가 ISO 13485 품질시스템 내에 통합 가능 |
| 도구 검증 명시 없음 | QMSR 4.1.6 도구 검증 | 사이버보안 테스트 도구(침투 테스트, 정적 분석 등)도 검증 필요 |
| CI/CD 파이프라인 언급 없음 | QMSR 하에서 생산 관리(production control)로 인정 | CI/CD 파이프라인이 사이버보안 업데이트 배포의 합법적 경로로 인정 |
한국 제조사가 이미 ISO 13485 인증을 보유하고 있다면, SPDF를 기존 QMS에 통합하는 것이 별도 체계를 구축하는 것보다 효율적이다.
제출 전 90일 실행 체크리스트
| 주차 | 작업 | 담당 |
|---|---|---|
| 1–2주 | 사이버 디바이스 해당 여부 확정. SBOM 자동화 도구 선정(SPDX/CycloneDX) | RA/QA + 개발 |
| 3–4주 | 위협 모델링(STRIDE) 수행. 4종 아키텍처 뷰 작성 | 보안 엔지니어 + 개발 |
| 5–6주 | 보안 위험관리 계획·보고서 작성. ISO 14971과 분리된 프로세스로 구축 | QA + 보안 |
| 7–8주 | 4종 보안 테스트 수행(침투 테스트는 독립 기관에 위탁 권장) | 보안 테스트팀 |
| 9–10주 | eSTAR 사이버보안 섹션 전체 작성. 12개 문서 첨부 완료 확인 | RA |
| 11–12주 | predicate 대비 보안 비교표 작성. 사이버보안 라벨링(IFU) 한국어→영어 번역 | RA + 마케팅 |
참고 자료
- FDA, Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions (2026년 2월 3일 최종 가이던스)
- FD&C Act Section 524B, Ensuring Cybersecurity of Medical Devices (2022년 12월 제정)
- FDA, Cybersecurity in Medical Devices: Frequently Asked Questions (FAQs) (2025년 6월)
- NTIA, Framing Software Component Transparency (2021년 10월)
- FDA, Cybersecurity in Medical Devices: Refuse To Accept Policy for Cyber Devices and Related Systems Under Section 524B of the FD&C Act (2023년 3월)
