인슐린주입펌프의 해킹으로 인슐린을 과도하게 주입하거나 중단하는 등의 사례가 확인되면서 식품의약품안전처가 칼을 빼들었다.
식약처는 의료기기 허가 심사 기준을 개정해 통신이 가능한 모든 의료기기에 대해 사이버보안을 적용키로 방침을 정했다.
식약처는 최근 디지털헬스케어 의료기기나 통신 기술을 이용한 의료기기의 개발이 활성화됨에 따라 해킹 등 보안 사고를 예방하기 위해 '의료기기 사이버보안 허가·심사 기준'을 21일 개정·발간했다.
주요 개정 내용은 ▲사이버보안 확보를 위한 요구사항을 국제조화된 기준으로 적용 ▲의료기기 사이버보안 적용대상을 확대하는 것이다.
국제의료기기규제당국자포럼(IMDRF)에서 국제적으로 요구하는 의료기기 사이버보안 기준을 국내 기준에 적용한다.
기존에는 개인의료정보를 송수신하거나 원격으로 기기를 제어하는 경우만 사이버보안을 적용했으나, 개정 후에는 통신이 가능한 모든 의료기기에 대해 사이버보안을 적용한다.
'사이버보안'은 개인의료정보 송·수신하거나 기기 제어 등에 사용하는 의료기기에 해킹, 정보 유출, 오작동 등의 보안 위협을 막아 사용자의 안전을 확보하는 것이다.
실제로 2019년 인슐린주입펌프의 해킹 위험 확인 사례에 이어 2017년에도 이식형심장박동기의 무선 통신 기능으로 배터리를 빠르게 고갈시키거나 심장 박동 조절 기능을 무단으로 변경하는 등의 취약점이 발견된 바 있다.
이번에 개정하는 '의료기기 사이버보안 허가·심사 기준'에서는 국내 의료기기의 사이버보안을 강화하기 위해 사이버보안 확보를 위한 요구사항과 적용대상에 국제적으로 조화된 기준을 적용했다.
제조자는 비인가 접근/변경/반복을 방지하기 위한 의료기기의 보안이 보장된(secured) 데이터 송·수신 방법을 고려해야 하고, 주기적인 업데이트의 구현과 배포를 위한 수행절차를 수립하고 통보해야한다.
또 제조자는 의료기기가 필수 성능을 유지하기 위해 사이버보안 공격을 탐지, 저항, 대응 및 복구하도록 허용하는 설계 특성을 고려하고, 안전(safety)과 관련된 데이터가 저장되거나 기기와 송·수신될 때 암호화와 같은 일정 수준의 보호가 요구되는지 고려해야 한다.
식약처는 산업계의 혼란을 최소화할 수 있도록 허가·심사 기준 개정사항과 구체적인 허가·심사 사례를 안내하는 업무설명회를 다음 달부터 분기별로 개최할 예정이다.