한국 연결형 의료기기 제조사의 FDA 사후관리 사이버보안: 524B 취약점 관리계획, CVD, SBOM 운영까지
FDA 510(k) 승인 이후에도 한국 연결형 의료기기 제조사는 Section 524B에 따라 취약점 모니터링, 조정된 취약점 공개(CVD), 패치 배포를 계속해야 한다. QMSR 전환 후 품질시스템과 사이버보안의 통합 관리 방법을 정리했다.
510(k) 승인이 사이버보안의 끝이 아니다
한국 의료기기 제조사가 FDA 510(k) 또는 De Novo 승인을 받고 미국 시장에 진출한 후, 가장 먼저 직면하는 규제적 현실은 사후관리(postmarket) 사이버보안 의무다. FD&C Act Section 524B(2022년 FDORA 제정)는 "cyber device" 제조사에게 시판 전(premarket) 제출 시 사후관리 취약점 관리계획을 포함할 것을 요구하며, 승인 이후에도 그 계획을 계속 실행해야 한다.
2026년 2월 2일부터 발효된 **QMSR(Quality Management System Regulation)**은 기존 QSR(21 CFR Part 820)을 대체하고 ISO 13485:2016을 원용하면서, 사이버보안을 품질시스템의 핵심 요소로 명시적으로 편입시켰다. 이틀 뒤인 2월 3일, FDA는 premarket 사이버보안 가이던스를 QMSR에 맞춰 개정했다.
즉, 한국 제조사가 premarket 제출에서 사이버보안 문서를 잘 제출했더라도, 승인 후 취약점 모니터링·패치·공개절차를 실행하지 않으면 QMSR 위반이자 Section 524B 위반이다.
Cyber Device: 우리 제품이 해당되는가
Section 524B(c)는 "cyber device"를 다음 세 조건을 모두 충족하는 기기로 정의한다:
- 소프트웨어 포함: 기기 자체가 소프트웨어이거나, 기기에 소프트웨어가 탑재되어 있어야 함
- 인터넷 연결 가능: 인터넷에 연결될 수 있어야 함(Wi-Fi, 이더넷, Bluetooth, USB, 직·간접적 연결 모두 포함)
- 사이버보안 위협에 취약: 위의 기술적 특성으로 인해 사이버보안 위협에 노출될 수 있어야 함
이 정의는 생각보다 넓다. 한국 제조사가 "우리 기기는 Wi-Fi가 없으니 해당되지 않는다"라고 판단하는 것은 위험하다. USB 포트로 펌웨어 업데이트를 하는 기기, Bluetooth로 환자 모니터링 데이터를 스마트폰에 전송하는 기기, 병원 이더넷 네트워크에 연결되는 영상 진단 기기 모두 cyber device에 해당할 수 있다.
FDA는 제조사가 불확실한 경우 FDA에 문의할 것을 권고하고 있다. FDA Cybersecurity FAQ에서 판단 기준을 확인할 수 있다.
Section 524B가 요구하는 사후관리 사이버보안 4가지 의무
1. 취약점 모니터링 계획 (524B(b)(1))
제조사는 사후관리 중 취약점과 익스플로잇을 모니터링·식별·대응하기 위한 계획을 수립하고 실행해야 한다. 여기에는 다음이 포함된다:
- 취약점 정보 수집 채널 구축: NIST NVD, CISA KEV(Known Exploited Vulnerabilities) 카탈로그, ICS-CERT, 제3자 보안 연구자 보고
- SBOM 기반 영향 평가: 자사 기기에 탑재된 모든 소프트웨어 컴포넌트(상용, 오픈소스, COTS)를 SBOM으로 관리하고, 새로운 CVE 발표 시 SBOM과 대조하여 영향받는 기기 확인
- 위험 분류: 식별된 취약점을 controlled risk(허용 가능)와 uncontrolled risk(허용 불가)로 분류
2. 패치·업데이트 배포 계획 (524B(b)(2))
| 취약점 수준 | 대응 기한 | 방식 |
|---|---|---|
| 알려진 허용 가능 취약점(Known acceptable) | 정기 일정에 따라 합리적 주기 | 정기 패치 사이클 |
| 관리 불가 위험(Uncontrolled risk) | 가능한 한 빨리, 긴급 패치 | 비상(out-of-cycle) 패치 |
FDA 가이던스에 따르면, 관리 불가 위험은 고객에게 30일 이내 통지, 60일 이내 해결을 기대한다. 물론 기기의 복잡성과 패치 배포 메커니즘에 따라 조정 가능하지만, 이 타임라인에서 크게 벗어나면 FDA의 관심을 받을 수 있다.
3. 조정된 취약점 공개(CVD) 절차 (524B(b)(1))
CVD(Coordinated Vulnerability Disclosure)는 외부 보안 연구자, 소프트웨어 공급자, 기타 이해관계자가 제조사에게 취약점을 책임감 있게 보고할 수 있는 프로세스다:
- 보고 채널: 전용 이메일(예: security@company.com), 웹 폼, 또는 HackerOne/Bugcrowd 같은 플랫폼
- 응답 시간: 접수 확인(48시간 이내), 예비 평가(10영업일 이내), 해결 계획 통지(30일 이내)
- 공개 정책: 취약점이 해결된 후 제한적 공개, 또는 해결 전이라도 90일 경과 시 제3자가 독자 공개할 수 있다는 점을 인정
한국 제조사가 자주 놓치는 것은 CVD 절차를 문서화하고 공개적으로 게시하는 것이다. FDA는 premarket 제출 시 CVD 정책을 요구하며, 승인 후에도 이 정책이 실행되고 있는지를 확인할 수 있다.
4. SBOM 유지 관리 (524B(b)(3))
SBOM은 premarket 제출 시 한 번 제출하고 끝나는 것이 아니다. 기기의 소프트웨어 구성이 변경될 때마다 SBOM을 업데이트해야 한다:
- 펌웨어 업데이트로 오픈소스 라이브러리 버전이 변경된 경우
- 서드파티 SDK 업데이트 시
- 보안 패치 적용 시
SBOM은 machine-readable 포맷(ISO/IEC 5962, SPDX, CycloneDX 등)으로 유지해야 하며, FDA는 NTIA 최소 요소(NTIA Minimum Elements)를 충족할 것을 권고한다.
QMSR과 사이버보안의 통합
2026년 2월 2일부터 발효된 QMSR(21 CFR Part 820, ISO 13485:2016 원용)은 사이버보안을 품질시스템의 개별 프로세스가 아니라 설계 관리(design controls), 위험 관리(risk management), 검증(validation), 시정·예방조치(CAPA)의 일부로 다루도록 요구한다:
| ISO 13485 조항 | 사이버보안 연계 |
|---|---|
| 7.3 설계 개발 | 위협 모델링(threat modeling)은 설계 입력(7.3.3)에 포함 |
| 7.3.7 설계 검증 | 보안 테스트(펜테스트, 퍼징, 취약점 스캔)는 검증 활동에 포함 |
| 7.1 위험 관리 | ISO 14971과 결합하여 사이버보안 위험을 제품 위험 프로파일에 통합 |
| 8.5 개선 | CAPA 프로세스에 사이버보안 사건(security incident) 대응 포함 |
| 7.2.3 변경 관리 | 소프트웨어 업데이트·패치는 변경 관리 절차에 따라 통제 |
한국 제조사가 ISO 13485 인증을 이미 보유하고 있더라도, 기존 품질문서에 사이버보안 요소가 포함되어 있는지를 별도로 점검해야 한다. 많은 한국 제조사가 ISO 13485 심사에서 사이버보안을 심사받지 않았는데, QMSR 하에서는 심사관이 이 부분을 직접 확인할 수 있다.
한국 제조사가 자주 놓치는 사후관리 사이버보안 함정
1. "SBOM은 제출 때 한 번만 만들면 된다"
SBOM은 living document다. 기기에 탑재된 소프트웨어 구성이 변경될 때마다 업데이트해야 한다. 한국 제조사가 펌웨어 업데이트를 배포하면서 SBOM을 갱신하지 않는 경우가 많다.
2. "CVD 절차를 만들었지만 공개하지 않았다"
CVD 정책은 제조사 웹사이트에 공개적으로 게시되어야 외부 연구자가 접근할 수 있다. 한국어로만 작성된 정책은 미국 연구자가 접근할 수 없으므로, 영문 CVD 정책을 별도로 게시해야 한다.
3. "오픈소스 취약점은 우리 책임이 아니다"
틀렸다. SBOM에 포함된 오픈소스 컴포넌트의 취약점도 제조사가 관리해야 한다. FDA는 제조사에게 기기 내 모든 소프트웨어 컴포넌트(상용, 오픈소스, COTS)의 취약점을 모니터링할 것을 요구한다. 오픈소스 프로젝트가 더 이상 유지되지 않는 경우(end-of-life), 대체 솔루션이나 완화 조치를 문서화해야 한다.
4. "병원이 알아서 패치할 것이다"
대부분의 병원은 의료기기 펌웨어를 직접 업데이트하지 않는다. 패치 배포 메커니즘은 제조사가 설계하고 제공해야 한다. 524B(b)(2)는 제조사가 패치를 "make available"할 의무를 명시하고 있다.
5. "ISAO에 가입하면 보고 의무가 줄어든다"
부분적으로 맞다. FDA의 postmarket 사이버보안 가이던스에 따르면, ISAO(Information Sharing and Analysis Organization)에 가입하고 다음 조건을 충하면, controlled risk 취약점에 대한 일부 보고 면제가 가능하다:
- 취약점으로 인한 중대한 유해사례나 사망이 없을 것
- 30일 이내에 위험 완화 조치를 취하고 사용자에게 통지할 것
- ISAO 회원일 것
하지만 이 면제는 controlled risk에만 적용되며, uncontrolled risk에 대해서는 MDR(21 CFR Part 803) 보고가 여전히 필요할 수 있다.
CISA CIRCIA: FDA와 별개인 추가 사건 보고 의무
한국 제조사가 FDA의 524B 의무 외에도 주의해야 할 것이 CISA CIRCIA(Cyber Incident Reporting for Critical Infrastructure Act) 다. 최종 규정이 2026년 중 발표 예정이며, 발효 후 의료기기 제조사도 보고 대상이 될 것으로 예상된다:
| CIRCIA 보고 유형 | 기한 | 대상 |
|---|---|---|
| 주요 사이버 사건(Covered cyber incident) | 72시간 이내 | 의료기기 제조사 포함 30만 개 이상의 주요 인프라 운영 주체 |
| 랜섬웨어 대금 지급(Ransom payment) | 24시간 이내 | 동일 |
CIRCIA는 FDA MDR과 별개로 운영된다. 의료기기 사이버 사건이 발생했을 때 FDA에는 MDR(21 CFR Part 803)로 보고하고, CISA에는 CIRCIA로 보고해야 할 수 있다. 두 보고 체계의 기한과 내용이 다르므로, 사건 대응 플랜에 두 경로를 모두 포함해야 한다.
이미 시판 중인 기기(Legacy Device)의 524B 적용
524B는 2023년 3월 29일 이후 제출되는 premarket submission부터 적용된다. 하지만 이미 524B 발효 전에 FDA 승인을 받은 기기(legacy device) 도 사후관리 사이버보안 의무가 있다:
- 기존 QSR(현 QMSR) 하의 complaint handling, CAPA, risk management 절차에 사이버보안을 통합해야 함
- 기존 기기에 펌웨어 업데이트나 소프트웨어 변경을 제출하는 경우, 변경 제출 시 524B 요건이 적용될 수 있음
- FDA는 기존 기기에 대해 retrospective SBOM 작성을 강제하지 않지만, 취약점 식별·대응 능력은 여전히 기대함
한국 제조사가 2023년 이전에 510(k)를 받은 기기를 미국에서 판매 중이라면, 새로운 submission 없이도 postmarket 사이버보안 가이던스에 따라 취약점을 모니터링해야 한다.
주요 사이버보안 표준 참고
FDA 가이던스는 다음 표준을 사이버보안 활동의 참고 자료로 인용한다:
| 표준 | 용도 |
|---|---|
| AAMI SW96 | 의료기기 사이버보안 위험 관리 |
| AAMI TIR57 | 의료기기 사이버보안 위협 모델링 가이드 |
| IEC 81001-5-1 | 의료기기 소프트웨어 수명주기 프로세스의 보안 요건 |
| IEC 62443 | 산업 자동화·제어 시스템 보안 |
| ISO/IEC 29147 | 취약점 공개(Vulnerability disclosure) |
| ISO/IEC 30111 | 취약점 처리 프로세스(Vulnerability handling) |
한국 제조사의 QMS 문서에서 이 표준들을 직접 인용할 필요는 없지만, 위협 모델링과 취약점 관리 절차가 이 표준들의 권고사항과 정합하는지를 점검하면 FDA 심사관의 질문에 대응하기 수월하다.
취약점 대응 실행 워크플로우
한국 제조사가 구축해야 할 사후관리 취약점 대응 프로세스:
취약점 식별
↓ (NIST NVD, CISA KEV, CVD, 내부 테스트)
SBOM 대조 → 영향받는 기기/버전 확인
↓
위험 분류 (Controlled vs. Uncontrolled)
├── Controlled → 정기 패치 사이클에 포함
└── Uncontrolled → 30일 내 고객 통지, 60일 내 패치 배포
↓
패치 개발·검증
↓ (ISO 13485 변경 관리 절차)
패치 배포 (OTA, USB, 서비스 방문 등)
↓
SBOM 업데이트
↓
ISAO 공유 (해당 시) + 문서 보관
FDA 사후관리 사이버보안 점검 체크리스트
- Cyber device 정의에 해당하는지 판단 완료
- SBOM이 machine-readable 포맷으로 작성되었고, 최신 상태인지 확인
- 취약점 모니터링 채널(NIST NVD, CISA KEV, CVD 이메일)이 운영 중인지 확인
- CVD 정책이 영문으로 웹사이트에 공개되어 있는지 확인
- 위험 분류 기준(Controlled vs. Uncontrolled)이 문서화되어 있는지 확인
- 정기 패치 사이클과 긴급 패치 절차가 각각 정의되어 있는지 확인
- 패치 배포 메커니즘(OTA, USB, 서비스 엔지니어 방문 등)이 검증되었는지 확인
- ISAO 가입 여부 검토
- ISO 13485 품질문서에 사이버보안 요소가 설계 관리, 위험 관리, CAPA에 통합되어 있는지 확인
- 사이버보안 사건 발생 시 MDR 보고 기준이 정의되어 있는지 확인
참고 자료
- FD&C Act Section 524B: fda.gov/media/178134/download
- FDA Cybersecurity in Medical Devices 가이던스 (February 2026): fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-management-system-considerations-and-content-premarket
- FDA Postmarket Management of Cybersecurity in Medical Devices 가이던스: fda.gov/files/medical%20devices/published/Postmarket-Management-of-Cybersecurity-in-Medical-Devices
- FDA Cybersecurity FAQ: fda.gov/medical-devices/digital-health-center-excellence/cybersecurity-medical-devices-frequently-asked-questions-faqs
- QMSR(21 CFR Part 820, ISO 13485:2016 원용): 2026년 2월 2일 발효
- CISA Known Exploited Vulnerabilities Catalog: cisa.gov/known-exploited-vulnerabilities-catalog
- NTIA Software Component Transparency — SBOM Minimum Elements: ntia.gov/SBOM
- ISO/IEC 29147 — Vulnerability Disclosure
- ISO/IEC 30111 — Vulnerability Handling Processes
