검증 자료, 왜 이렇게 어렵게 느껴질까요?
사이버보안 체크리스트 27개 항목을 보면 머리가 아찔해집니다. 항목마다 "시험기준을 만족해야 한다"고 되어 있는데, 막상 어떻게 증명하면 되는지 가이드라인만 봐서는 감이 잘 안 잡히죠.
핵심은 단순합니다. "이 기능이 실제로 작동한다는 걸 눈으로 보여주면 됩니다." 문서로, 캡처로, 시험 로그로요. 항목별로 어떻게 접근하는지 지금부터 실무 기준으로 풀어드릴게요.
검증 자료, 크게 두 덩어리로 나뉩니다
① 소프트웨어 검증 및 유효성 확인 자료 — 실제 시험 결과
② 사이버보안 위험관리문서 — 위험 식별부터 통제 조치까지의 흐름
두 서류는 별개가 아닙니다. 위험관리문서에서 "이 위협은 이렇게 통제했다"고 쓰면, 검증 자료에서 "실제로 이렇게 시험해서 확인했다"는 근거를 제시하는 구조입니다. 짝을 맞춰 작성해야 심사관이 따라오기 편합니다.
항목별 검증, 실무에서 이렇게 합니다
🔐 인증·접근통제 영역 (IA, UC)
가장 기본이 되는 영역입니다. 로그인 기능이 있다면 아래를 시험하고 캡처를 남기세요.
- 아이디/비밀번호 입력 화면 — 비밀번호가 별표(***)로 마스킹되는지 확인
- 비밀번호 조합 규칙 — 규칙 미충족 시 설정이 거부되는지 확인
- 로그인 5회 실패 시 계정 잠금 — 잠금 후 관리자 해제까지 접속 불가 확인
- 세션 미사용 후 자동 잠금 — Wireshark로 네트워크 세션 종료 캡처
🛡️ 시스템 무결성 영역 (SI)
가장 항목이 많고(11개), 실무에서 가장 많이 놓치는 영역입니다.
통신 무결성(SI-01) — Wireshark로 패킷을 캡처해서 TLS 1.2 또는 1.3이 적용된 것을 확인합니다. 암호화 스위트(Cipher Suite) 정보가 캡처 화면에 보이면 됩니다.
악성코드 방지(SI-02) — SaMD라면 사용자 설명서에 "호환 가능한 백신 소프트웨어 목록"을 기재하는 것으로 갈음할 수 있습니다. 하드웨어 의료기기라면 승인되지 않은 실행 파일 설치 시도 시 차단되는 화면을 캡처하세요.
업데이트 무결성(SI-09) — 정상 서명된 업데이트 파일은 설치 성공, 서명이 변조된 파일은 설치 거부되는 두 가지 시나리오를 모두 보여줘야 합니다. 하나만 있으면 심사에서 보완 요청이 옵니다.
물리적 변조 방지(SI-10) — 잠금장치나 보안 나사 사진 한 장이면 충분합니다. SaMD는 적용 제외 처리하세요.
🔒 데이터 기밀성 영역 (DC)
암호화 관련 항목인데, 실무에서 자주 지적받는 포인트가 있습니다.
안전한 암호화(DC-03) — AES, SHA-256 같은 표준 알고리즘을 쓰고 있다면 암호화 검증 도구(SCV Cryptomanager 등)로 평문 → 암호문 변환 결과를 캡처해서 첨부합니다. 중요한 것은 112비트 이상 보안강도 기준입니다. MD5나 SHA-1 단독 사용은 안 됩니다.
보건의료정보 비식별화(DC-02) — 환자 전화번호, 이름 등 개인식별정보를 저장하지 않는 기기라면 적용 제외가 가능합니다. 단, 저장하지 않는다는 설계 문서 근거가 있어야 합니다.
📋 감사기록 영역 (UC-04~07, TRE-01)
로그가 제대로 쌓이는지 확인하는 영역입니다. 실무에서 가장 간단하게 처리할 수 있는 항목들이기도 합니다.
로그인 성공/실패, 설정 변경, 데이터 접근 이벤트 발생 시 타임스탬프가 포함된 로그가 생성되는 화면을 캡처하면 됩니다. 그리고 해당 로그를 관리자만 읽기 전용으로 볼 수 있고, 수정은 불가능하다는 것도 함께 확인해야 합니다.
⚡ 가용성 영역 (RA)
DoS 공격 시에도 기기의 핵심 기능이 살아있는지 보는 항목입니다.
DoS 방어(RA-01) — 네트워크 패킷 생성 도구로 공격 트래픽을 발생시킨 뒤 의료기기의 필수 기능이 정상 동작하는 화면을 함께 캡처합니다. 공격 중 기기가 다운되면 당연히 통과 불가입니다.
백업·복구(RA-02, 03) — 백업 수행 전후의 기기 동작 상태를 비교 기록하고, 장애 유발 후 복구 절차대로 정상화되는 과정을 단계별 로그로 남기세요.
검증 자료 만들 때 자주 하는 실수 3가지
하나, 시험 결과 캡처만 있고 시험 환경 설명이 없는 경우. 어떤 환경에서 어떤 도구로 시험했는지 반드시 명시해야 합니다.
둘, 정상 케이스만 시험한 경우. 비정상 입력값, 변조된 파일, 잘못된 계정 등 실패 시나리오 결과도 함께 있어야 합니다.
셋, 위험관리문서와 검증 자료의 항목 번호가 불일치하는 경우. 위험관리문서에서 "IA-07로 통제했다"고 썼으면 검증 자료에도 동일 번호로 매핑이 되어야 심사관이 추적하기 편합니다. 번호 불일치 하나로 보완 요청이 날아오는 경우가 꽤 많습니다.
사이버보안 검증 자료는 결국 "우리 기기는 이 위협에 대해 이렇게 대응하고, 실제로 작동한다는 걸 이렇게 증명했다" 는 스토리입니다. 항목 하나하나를 채우는 게 아니라 전체 흐름이 논리적으로 이어지도록 잡는 것이 핵심입니다. 처음 작성할 때는 막막하지만, 한 번 구조를 잡아두면 다음 제품부터는 훨씬 빠르게 만들 수 있습니다. 다음 편에서는 실제 심사 보완 요청 사례와 대응법을 다뤄볼게요.
'RA' 카테고리의 다른 글
| MSDS, 어떻게 작성하나요? — IVD 시약 담당자를 위한 16개 항목 완전 가이드 (0) | 2026.04.24 |
|---|---|
| IVD 시약 MSDS, 어디서 어떻게 작성하나요? — 실무자를 위한 무료 사이트 총정리 (0) | 2026.04.23 |
| 체외진단의료기기(IVD)에 MSDS를 요구한다고요? — 실무자가 꼭 알아야 할 핵심 정리 (0) | 2026.04.22 |
| 의료기기 스타트업의 해외 진출, 현실적인 고민들 (0) | 2025.02.24 |
| 의료기기 RA와 QA 직무의 차이점과 유사점, 그리고 겸직 가능성 (0) | 2025.02.04 |