□ 현재, 미국의 의료산업은 미국의 18개 산업중에서 사이버보안 건강이 15번째로 낮은 하위 랭킹을 하고 있으며, 사용자 보안 측면에서 가장 실적이 낮은 사업 중 하나로 보고 되고 있고, 이러한 사이버보안 취약으로 인하여 의료 산업은 사이버보안 범죄 및 해킹의 타깃이 되고 있음.
□ 의료산업에 있어서 사이버보안 위협 및 해킹으로는 여러 가지가 있으나, 가장 우려되고 있는 것은 크게 의료기기에 침투하는 악성코드, 의료 기기 작동 중지 및 방해, 기기를 통해 사용자에게 전달되는 정보 변형 또는 거짓 정보, 인증없는 기기접촉 및 운영지시 등이며, 이에 대하여 의료기기를 보호하는 필요성이 절실히 증가하고 있음.
□ 미국연방정부는 지난 2015년 사이버보안정보공유법(Cybersecurity Information Sharing Act of 2015(CISA))을 통하여 공공기관 및 민간기업간의 사이버위협 정보를 공유하도록 하는 프로세스를 설립하고 실행하고 있으며, 미국국회는 2016년에, 사이버공격이 많은 의료산업이 직면한 사이버보안 이슈의 어려움과 대응방안을 정리하여 해결하고자, 의료업계 사이버보안 대책위원회(Healthcare Industry Cybersecurity (HCIC) Task Force)를 발족하여 운영.
□ 또한, 미국 의료기기의 규제 및 승인을 책임지고 있는 미국 식약청은 대통령 시행명령 및 연방법에 준하여, 판매전 의료기기의 심사 과정에서 그리고 판매후 의료기기 관리 단계에서 의료기기 업체가 담당해야 할 사이버보안 관련 내용들을 지침하고 있음.
□ 미국 식약청은 의료기기의 사이버 보안유지 실패는 기기 기능, 데이터 유효성, 무결성의 손실, 또는 연결된 기기 및 네트워크 등을 보안 위협에 노출을 시킬 수 있는 의료기기의 사이버 보안 위협 및 취약점에 대응하고자, 여러 사이버보안 관련 지침을 통하여, 제품의 기획, 디자인, 제조, 식약청 승인, 판매 및 판매후 사후 관리를 포함하는 포괄적인 기기의 라이프사이클 기반의 사이버보안 대응 방안을 제시.
□ 미국식약청의 사이버보안 관련 지침은 의료기기의 판매전 제출사항에 국한 되어 있지 않으며, 의료기기의 판매 후에도 그에 대응하는 사이버보안 가이드를 준수하도록 지침하고 있고, 이는 의료기기 업체가 기기에 관하여 제도적으로 미국내 식약청 판매 승인 허가를 얻은 후에도, 의료기기가 시장에서 유통되는 기간 동안 의료기기에 관련된 사이버보안에 관하여는 적절히 대응할 수 있는 포괄적인 사이버보안 프로그램이 필요하게 되었으며, 이는 의료기기를 제조 및 판매하는 업체에 제품의 라이프사이클 안에서 발생하는 추가적인 의무가 되었음.
□ 또한, 이제는 의료기기의 사이버보안은 미국 식약청의 판매전 및 판매후 단계에서 의료기기 제조업체가 의료기기 승인 및 판매허가를 받고 유지하기 위해 만족하여야 되는 필수 요소가 되었으며, 미국시장 진출을 목표로하는 한국의 기업들을 포함하는 모든 의료기기 제조 회사에게 동일하게 적용되어, 미국시장에서 의료기기에 관한 사이버보안 지식 및 인식을 향상하는 것은 매우 중요한 사안이 되고 있음.
□ 급속히 변화하는 시장환경 속에서, 의료기기의 사이버보안 이슈는, 의료기기 제조 업체에 있어서 사이버보안 위협 및 취약점을 고려하여 의료기기의 기획, 디자인, 제조, 식약청 승인, 판매 및 판매 후 후속관리 및 사이버보안 이슈에 적절히 대응하는 것은 필수 사항이 되었으며, 의료기기 업체의 회사 경쟁력 및 신뢰를 재고 할 수 있는 사안으로 떠오르고 있으며, 포괄적인 의료기기 업체의 사이버보안 위험 관리 프로그램은 추후 제품 매출 및 회사 성장에 큰 영향(기회와 손실)을 가져올 것으로 예측.
(심층분석보고서03)미국 의료기기 사이버보안 최신동향 및 시사점.pdf(680.43KB)
