의료기기 허가받으려면 사이버보안 서류 필수 — 제조사가 꼭 알아야 할 체크리스트
의료기기 개발을 완료했다고 해서 바로 시장에 출시할 수 있는 것이 아닙니다. 식품의약품안전처의 까다로운 허가·심사를 통과해야 하는데, 특히 유·무선 통신 기능이 탑재된 의료기기라면 2025년부터 강화된 사이버보안 요구사항을 반드시 충족해야 합니다. Wi-Fi, 블루투스, USB, LAN 등 어떤 방식으로든 통신 기능이 있는 기기라면 예외 없이 해당됩니다. 소프트웨어 의료기기(SaMD)도 마찬가지입니다. 오늘은 의료기기 제조사와 개발자가 반드시 알아야 할 사이버보안 허가 서류와 핵심 체크리스트를 정리해 드립니다.
허가 신청 시 제출해야 할 서류는 크게 세 가지입니다. 첫째, 의료기기 사이버보안 요구사항 체크리스트로, 27개 보안 요구사항 항목별로 적용 여부와 입증 방법을 기재해야 합니다. 둘째, 소프트웨어 검증 및 유효성 확인 자료로 실제 시험 결과와 절차를 담아야 합니다. 셋째, 사이버보안 위험관리문서로 위험분석부터 위험통제까지 전 과정을 기록한 보고서입니다.
체크리스트의 요구사항은 6개 카테고리로 나뉩니다. 식별 및 인증(IA) 영역에서는 사용자 로그인 기능 구현, 비밀번호 강도 설정, 연속 로그인 실패 시 계정 잠금 등 8개 항목을 검토합니다. 사용 통제(UC) 영역은 권한 부여, 세션 잠금, 감사기록 생성 등 7개 항목입니다. 시스템 무결성(SI) 영역은 통신 암호화, 악성코드 방지, 소프트웨어 무결성 점검, 업데이트 진본성 검증 등 11개 항목으로 가장 방대합니다. 데이터 기밀성(DC) 영역은 AES, SHA 등 표준 암호 알고리즘 사용과 환자 의료정보 비식별화를 다루며, 이벤트 적시 대응(TRE)은 감사로그 접근 통제, 자원 가용성(RA)은 DoS 방어·백업·복구 등을 포함합니다.
제조사가 특히 주의해야 할 점은 요구사항을 적용하지 않을 경우에도 사유 근거를 제출해야 한다는 것입니다. 예를 들어 소프트웨어 의료기기(SaMD)는 물리적 변조 방지(SI-10)나 부트 프로세스 무결성 검증(SI-11) 항목을 제외할 수 있지만, 위험관리문서에 명확한 근거를 남겨야 합니다. 한편 KISA(한국인터넷진흥원)의 IoT 보안 인증서를 보유하고 있다면 이를 대체 자료로 활용할 수도 있어 인증을 미리 취득해 두는 것이 유리합니다.
기존에 허가받은 제품이라도 통신방법 변경, 운영체제 추가, 통신 목적 변경 등이 생기면 변경허가 신청 시 사이버보안 서류를 새로 제출해야 합니다. 2019년 11월 이전에 허가받은 구형 제품도 변경 신청 시점 기준으로 최신 규정이 소급 적용됩니다. 또한 2025년 6월 30일까지는 한시적으로 구(舊) 요구사항 기반의 검증 문서 제출이 허용되지만, 디지털의료기기는 법 시행일인 2025년 1월 24일부터 개정된 요구사항을 즉시 적용해야 합니다.
의료기기 사이버보안 허가는 복잡해 보이지만, 핵심은 단순합니다. 개발 초기부터 보안을 설계에 반영하고, 27개 체크리스트 항목을 하나씩 검증하며 그 근거를 문서화하는 것입니다. 뒤늦게 보안 기능을 덧붙이다 보면 일정과 비용이 크게 늘어납니다. 처음부터 보안을 설계의 일부로 생각하는 것이 가장 효율적인 허가 전략임을 기억하시기 바랍니다.