인터넷에 연결된 의료기기의 보안 위협이 크다는 지적이 제기되고 있는 가운데 식품의약품안전처가 관련 가이드라인을 발표해 안전관리에 기여할 수 있을지 귀추가 주목된다.
식약처는 지난해 말 ‘의료기기의 사이버 보안 허가심사 가이드라인’을 발표하고 의료기기를 허가·심사할 때 사이버 보안이 확인돼야 하는 제품의 적용 대상 및 제출이 필요한 자료 범위를 명확히 하겠다고 밝혔다.
사물인터넷과 클라우드 기술의 발전으로 인터넷에 연결돼 사용되는 의료기기가 늘어나고 있어 이들의 보안성을 담보할 수 있는 사전·사후 대책의 중요성이 부각되고 있다. 특히 병원 의료정보시스템 보안이 랜섬웨어에 노출된 후로는 의료기기 또한 이 같은 문제에 대비할 수 있어야 한다는 목소리가 높았다.
이에 식약처 측은 “현재 의료기기 제조 및 품질관리 기준에 따라 전 생명주기에 걸쳐 위험관리를 수행하고 있는 것처럼 의료기기 사이버 보안 또한 위험관리를 적용해 환자 위해를 경감시킬 수 있다”고 설명했다.
가이드라인에 따르면 의료기기 제품이 1~4등급으로 나뉘듯 보안 또한 상·중·하 3단계로 나눠진다.
‘상’ 등급에 해당하는 것은 보안 침해시 심각한 상해 및 사망 가능성이 있는 이식형 제품인 4등급 의료기기와 해킹으로 오작동이 발생할 수 있는 로봇수술기나 방사선 이용 의료기기 등 일부 2·3등급 기기를 포함한다.
‘중’등급은 주로 생체신호 송수신용 및 분석·진단용 의료기기가, ‘하’등급은 사이버 보안 침해로 인해 생체신호가 위변조, 누락돼도 오진에 영향이 적은 심박수계나 단백질분석장치 등의 생체신호 측정용 의료기기가 해당된다.
이에 따라 보안이 요구되는 기준도 달라진다.
상·중 등급은 다중접속 금지 및 접근 통제, 안전한 암호 알고리즘 사용 등 거의 모든 요구사항을 만족시켜야 한다. 다만 디도스 형태의 공격에 대한 방어는 상 등급 의료기기에만 해당하며, 하 등급 제품은 ▲의료기기 도난 시 접근 통제 ▲안전한 소프트웨어 업데이트 ▲사이버 보안 위협 탐지 시 대응책 수립 등만 지켜도 된다.
보안의 핵심 3요소인 ‘CIA’에 대한 정의도 엿볼 수 있다. CIA란 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 뜻하는 것으로 사이버 보안이 잘 지켜지고 있는지 확인할 수 있는 기본적인 사항이다.
기밀성은 개인의료정보가 비허가된 사용자에게 공개되거나 허가되지 않은 용도로 사용되면 안 된다는 뜻이다. 무결성은 정보가 무분별하게 변환되거나 파괴돼서는 안 되며, 가용성은 개인의료정보가 승인된 사용자에게 필요한 때 즉시 제공돼야 함을 의미한다. 이들 원칙은 추상적인 의미가 아닌 기술적인 형태로 입증돼야 한다.
이를 위해 유·무선 통신이 가능한 의료기기는 허가를 신청할 때 사이버 보안 위험관리 문서와 소프트웨어 검증 및 유효성을 확인하는 자료를 제출해야 한다.
이들 문서는 허가를 신청하는 제품이 사이버 보안 요구사항을 만족하고 있음을 확인할 수 있는 근거 자료다. 사이버 보안과 관련된 위해요인 분석과 해킹 위험을 줄일 수 있는 조치의 실효성, 사이버 보안 요구사항에 대한 검증 절차 및 결과 등이 포함된다.
식약처는 “가이드라인은 의료기기 허가·심사 시 사이버 보안이 요구되는 의료기기 적용대상과 범위, 제출 자료에 대해 업체 측이 이해하기 쉽게 기술한 것으로 가이드라인 자체가 법적 효력을 가지는 것은 아니”라고 설명했다.
이어 “가이드라인과 관련된 의견을 현재 수렴하고 있으며 현재 유효한 법규를 토대로 작성돼 세부적인 내용이 달리 이후 개정법규에 의해 달라질 수도 있다”고 덧붙였다.