인증 및 서비스 문의
Tel: +82 70-4799-7450
Fax: +82 2-6499-2406
의료기기 사이버 보안
GRC의 사이버보안 테스트
침투 테스트
GRC 인증원은 공격과 무단 액세스에 대한 시스템의 회복성을 평가하기 위한
광범위한 침투 테스트 서비스를 제공합니다.
갭 분석
또한 GRC 인증원은 규제 기관에서 요구하는 특정 표준이나 가이드라인을 제품이 준수하는지 확인하여 전 세계 제조업체를 지원할 수 있습니다.
의료기기 사이버보안이란?
의료기기의 사이버 보안은 환자의 데이터와 생명을 보호하는 데 중요한 역할을 합니다.
또한, 랜섬웨어 공격으로부터 의료기관을 보호하기 위해 필수적입니다.
의료기기와 이들의 연결성이 발전함에 따라,
사이버 위협 역시 그에 맞춰 진화하며 새로운 위험을 만들어내고 있습니다.
CYBERSECURITY FOR MEDICAL DEVICES
왜 의료기기 사이버보안이
중요한까요?
의료기기의 사이버 보안 위험은 다양한 요소로 이루어져 있어, 최신 인증과 표준을 준수하고, 철저한 사이버 보안 평가를 받는 것이 중요합니다.
효과적인 위험 관리는 라이프 사이클 전반에서 취약점을 식별하고,
철저한 침투 테스트를 통해 보안을 강화하는 데 중점을 둡니다.
의료기기 사이버보안 위험 및 요구사항
규제 요구사항
의료기기는 미국의 FDA, 유럽의 MDR, 중국의 NMPA와 같은 규제기관의 엄격한 규제를 받습니다.
이러한 규정은 해킹 및 기타 사이버 위협으로부터 기기를
안전하게 보호하기 위해 특정한 사이버보안 표준 및 지침을
준수해야 합니다.
규정을 준수하지 않으면, 심각한 벌금, 리콜 또는 판매 금지 등의
제재를 받을 수 있습니다.
환자의 안전
의료기기의 사이버보안 결함은 환자의 안전을
직접적으로 위협할 수 있습니다.
심박 조율기나 인슐린 펌프와 같은 기기가 해킹되면,
오작동을 일으켜 잘못된 치료 용량을 제공하거나
중요한 순간에 제대로 작동하지 않을 수 있습니다.
개인정보 보호 및
서비스 중단 위험
의료 기기는 종종 민감한 건강 정보를 저장하고 전송하기 때문에,
보안 침해로 인해 개인 건강 기록이 노출되어 신원 도용 및
환자 기밀정보 손실로 이어질 수 있습니다.
이는 악의적인 행위자가 중요한 데이터를 암호화하고 잠금 해제를 위해
몸값을 요구하는 랜섬웨어 공격에서 흔히 발생하는 위험입니다.
이러한 공격은 환자 개인정보를 침해할 뿐만 아니라
의료 시스템의 필수 운영을 방해하여
강력한 사이버 보안 조치에 대한 절실한 필요성을 강조합니다.
의료기기 사이버보안 표준 및 지침
의료기기 사이버보안 규제
의료 기기의 사이버 보안은 국제 및 국가 표준에 따라
철저하게 테스트됩니다.
전 세계 규제 기관은 의료기기 사이버보안을 규제하는
가이드라인을 발표하고 있으며,
시장 진출을 위해 필요한 테스트 절차를 명시하고 있습니다.
의료기기 사이버보안 지침
GRC 인증원은 다음과 같은 표준을 지원합니다:
-
유럽 / MDCG 2019-16 EU 의료 기기 사이버 보안 지침:
유럽 시장 전반에서 의료기기 데이터의 무결성과 기밀성을 보장합니다.
-
미국 / 의료기기의 사이버 보안에 대한 미국 FDA 지침
- 품질시스템 고려사항 및 시판 전 제출 내용:
미국 규제 프레임워크 내에서 설계부터 배포까지
사이버 보안 조치를 통합하기 위한 지침.
-
국제 / 사이버 보안을 위한 IEC TR 60601-4-5
의료기기 사이버 보안 표준:
의료기기에 글로벌 사이버보안 표준을 구현하기 위한 기술 로드맵
-
국제 / IEC 81001-5-1 건강 소프트웨어 및 건강 IT 시스템
제품 수명 주기의 보안 활동에 대한 표준:
전 세계적으로 적용가능한, 기기의 작동 수명 전반에 걸쳐 사이버보안을
유지하기 위한 전략입니다.
의료기기 사이버보안 테스트
FDA가 요구하는 사이버보안 테스트는
의료기기의 보안성과 효과를 보장하도록 설계되었습니다.
아래의 다양한 단계가 포함됩니다.
보안 요구사항
-
제조업체는 위협 모델링 중에 정의된 보안 요구사항이 제품 단계에서 구현되었다는 증거를 제공해야 합니다.
-
제조업체는 이러한 보안 요구사항이 올바르게 구현된 방법에 대한 증거와 경계 가정에 대한 분석 및 정당화를 제공해야 합니다.
위협 완화 (제조업체 수행)
-
제조업체는 제공된 위협 모델을 기반으로
효과적인 위험관리 조치를 입증하는 증거 제공
-
제조업체는 각 사이버보안 위험 통제가 적절한지
확인하는 방법을 제공해야 합니다.
(예: 지정된 보안 정책을 시행하는 보안의 효과성)
-
최대 트래픽 조건에서의 성능, 안정성 및 신뢰성)에 대한
증거를 제공해야 합니다.
취약성 테스트
(제조업체 또는 전문기관 수행)
제조업체 또는 제 3 자는 다음 테스트 및 분석에 대한 세부 정보와
증거를 제공해야 합니다:
-
견고성
-
퍼징(Fuzzing) 테스트
-
정적 및 동적 코드 분석
-
공격 표면 분석
-
알려진 취약성 스캐닝에 대한 폐쇄형 테스트
-
이전 실행 파일의 소프트웨어 구성 분석
전문기관 수행
독립된 제3자 기관에서 보안 취약점을 발견하고 악용하는 데 중점을 둔 테스트를 통해 보안 문제를 식별하고 특성화해야 합니다.
침투테스트에는 다음 요소가 포함되어야 합니다.
-
테스터의 독립성과 기술적 전문성
-
테스트 범위와 기간
-
테스트 방법
-
테스트 결과
-
테스트 결함 보고
왜 GRC를 선택해야 할까요?
침투 테스트
GRC 인증원은 공격과 무단 액세스에 대한 시스템의 회복성을
평가하기 위한 광범위한 침투 테스트 서비스를 제공합니다.
사이버 공격 시뮬레이션을 수행하여 다양한 구성요소에 걸쳐
의료기기의 취약성을 평가합니다.
하드웨어에 관하여
실험실 전문가가 만든 최첨단 공격 및 임시 도구
-
역 엔지니어링
-
디자인 리뷰
-
논리적 공격 분석
-
저장소 추출 및 외부 분석
소프트웨어 및 펌웨어에 관하여
임베디드 시스템, 보안 부팅, TEE 및 화이트박스 암호화 분야의 강력한 배경
-
바이너리 역 엔지니어링
-
정적 공격
-
소스 코드 검토
-
디버깅
-
퍼징
-
다이나믹 탬퍼/후킹
통신 프로토콜에 관하여
IP 스택 프로토콜, 산업 시스템 및 독점 프로토콜의 경우
-
하위 계층 (유선 및 무선 프로토콜)에서 자극하기 위한
맞춤형 HW를 포함한 모든 계층 공격(OSI모델)
-
퍼징
사이버 보안에 대한 GRC 인증원의 전문성은
당사가 권장하는 보안조치를 더욱 강화합니다.
당사의 전문가 Lab에서 수행한 침투 테스트 활동은
제품의 사이버 회복력을 강화하는 데 도움이 될 뿐 아니라
미국 FDA와 같은 전 세계 규제기관에서 요구하는
사이버보안 요구사항을 준수하는 증거 역할을 합니다.
갭분석
또한 GRC 인증원은 규제기관에서 요구하는
특정 표준이나 가이드라인을 제품이 준수하는지 확인하여
전 세계 제조업체를 지원할 수 있습니다.
제조업체가 생성한 문서를 검토하여 특정 표준을 충족하는지 확인하고,
격차나 잠재적 문제를 파악합니다.
이 단계에서 시험팀은 규제기관에 제출하기 전에
제조업체가 필요한 문서를 준비하도록
분석, 안내 및 지원합니다.
예: FDA 사이버보안 테스트의 경우, 전문 시험팀은 시판 전 제출에 앞서
제조업체의 문서를 검토하는 선택적 서비스를 제공합니다.
이 서비스는
①보안 요구사항 ② 위협 완화 ③ 취약성 테스트에 초점을 맞추고
정의된 보안 요구사항을 분석하고 위협 모델링에서 식별된 보안 문제와
정의된 가설, 취약성 테스트의 적합성 등을 확인합니다.
프로젝트 및 제품 경험
단독 소프트웨어 의료 기기
(SaMD : Software as a Medical Device)
-
PACS (영상 보관 및 통신 시스템)
-
수술 계획 소프트웨어
-
수술 내비게이션 시스템 소프트웨어
-
방사선 치료 계획 시스템
-
골반저근 평가 훈련 소프트웨어
-
IVD 데이터 해석 소프트웨어
-
의료기기 모바일 앱
-
그 외 소프트웨어 단독 의료기기
의료기기에 내장된 소프트웨어
(SiMD : Software in a Medical Device)
-
의료 영상 시스템(X-ray, CT, MR 등)
-
자동 외부 제세동기(AED)
-
내시경 비디오 시스템
-
이동형 뇌파도(EEG) 기계
-
심전도 (ECG) 기계
-
레이저 메스
-
레이저 치료 장치
-
그 외 소프트웨어를 사용하는 전기의료기기
GRC 인증원
사이버보안 담당자
장순흥 책임 (070-8709-9254)