[데일리메디 한해진 기자] 최근 비대면 진료, 디지털 헬스케어 등이 부상하면서 의료기관 데이터 유출이나 랜섬웨어 공격 등 보안 문제가 발생하고 있는 가운데, 의료기기 허가시 사이버 보안 체계를 입증하는 자료 제출 중요성이 강조되고 있다.
식품의약품안전처는 최근 의료기기 업체들을 대상으로 지난 5월부터 오는 11월까지 6개월동안 의료기기 사이버보안 민원설명회를 진행한다.
이는 의료기기 허가시, 해당 장비의 사이버보안을 입증하는 자료 제출 의무화 정책에 대한 것으로 유무선 통신이 가능한 유헬스케어 장비를 비롯해 제세동기, 로봇수술기, 초음파영상진단장치 등이 이에 해당한다.
특히 최근에는 유무선 통신으로 소프트웨어 업데이트가 요구되는 장비가 늘고 있는데, 이 같은 기기 또한 사이버보안 자료 제출 대상이기 때문에 적용 범위가 더욱 넓어지고 있다.
우선 의료기기 사이버 보안 요구사항에 대한 적합성 여부를 확인할 수 있는 체크리스트가 요구된다.
구체적으로 의료기기에 접속할 때는 사용자 계정으로 인가된 사용자만 접속 가능한 기능을 구현할 수 있어야 한다. 또 물리적인 통신포트의 침해를 최소화하는 장치도 요구된다.
동일 사용자 계정으로 로그인할 경우 기존 접속을 끊거나, 일정시간 사용하지 않으면 접속을 끊는 기능 등도 필요하다.
기기에 저장되는 개인의료정보는 암호화하고, 기기 제어 정보와 환자 정보도 암호화 및 복호화 방식을 활용해 주고받아야 한다.
또한 장비 전체 생명주기에서, 사이버 보안과 관련한 위해 요인이 무엇인지 파악하고 이를 최소화, 차단하기 위한 위험관리 활동을 기록해 보고서로 제출해야 한다.
이밖에도 위험통제 조치의 결과를 검증할 수 있는 객관적인 시험결과 등 소프트웨어 검증 및 유효성 확인 자료도 요구된다.
“체온계도 사이버보안 안전한지 확인 요구”
이 같은 보안 가이드라인에 따르면 체온계의 경우도 사이버보안 자료 제출 대상이 된다.
식약처는 “환자 체온을 측정하는 체온계가 무선 통신을 이용해 데이터를 다른 모니터링 장치에 전송하는 경우, 환자 개인정보가 아니더라도 당사자를 식별 가능한 개인의료정보에 해당하므로 사이버보안 자료 제출 대상이 된다”고 밝혔다.
또 “내시경용광원장치 등 단순하게 영상을 컴퓨터나 영상장치로 전송해주기만 하는 장비도 유선통신으로 환자 의료 영상을 송수신하는 것에 해당하기 때문에 사이버보안 자료를 제출해야 한다”고 덧붙였다.
다만 수술실과 같이 통제된 환경에서 제한된 시간에만 사용되는 의료기기는 위험 분석을 통해 일부 항목의 안전성을 입증할 수 있다.
단독으로 사용되는 소프트웨어는 어떨까.
PC에 설치돼 단독으로 사용되는 소프트웨어가 개인의료정보 송수신, 기기제어, 소프트웨어 유지보수를 위한 통신을 하는 경우 사이버보안 제료 제출 대상이다.
하지만 해당 제품의 통신 목적에 해당하는 방법(USB 포트 등)에 대해서만 제출하면 된다.
식약처는 “x-ray, CT 등 영상 획득 장치에서 획득한 영상을 PACS로 보낼 경우 통신포트도 자료 제출 대상이지만 병원 폐쇄망 등에서 통신하는 경우는 근거자료 제출 및 특정 환경과 목적을 기재하면 갈음할 수 있다”고 밝혔다.
한해진 기자 (
