와이즈컴퍼니는 다수의 업체의 미국 FDA 사이버보안 지도를 성공적으로 진행 혹은 완료하였으며, 이와 관련 사이버보안 시험 및 문서화 지도 서비스를 제공 드리고 있습니다.
대상
지도 항목
다음 기준 중 하나라도 충족하는 의료기기
✔다른 장치/시스템과 통신할 수 있는 경우
✔네트워크/서버 연결이 있는 경우
✔무선 통신 형태를 사용하는 경우
(블루투스, Wi-Fi 등)
✔USB 포트와 같은 접근을 허용하는 경우
✔소프트웨어/펌웨어 다운로드를 허용하는 경우
✔클라우드 저장 혹은
기타 서비스를 사용하는 경우
✅ 사이버보안 시험
✔ Vulnerability Assessment
✔ Penetration Testing
✅ 사이버보안 문서화
✔ Risk Management
✔ Assessment of Unresolved Anomalies
✔ Cybersecurity Metrics
✔ Cybersecurity Controls
✔ Cybersecurity Labeling
✔ Cybersecurity Management Plan
✔ Interoperability (필요 시)
오늘은 사이버보안 위험 관리에 있어서 중요한 역할을 하는 AAMI TIR57에 대해 알아보겠습니다.
AAMI TIR57
AAMI TIR57은 의료기기에서 사이버보안 위험을 식별하고 관리하는 프레임워크를 제공하는 기술 정보 보고서(TIR, Technical Information Report)인데요, 이 보고서는 의료기기 제조업체들이 사이버보안 위험을 효과적으로 평가하고 관리하는 데 필요한 지침을 제공합니다.
사이버보안의 보안 위험 관리는 ISO 14971의 안전 위험 관리 프로세스와 유사하지만 보안 측면에서 조금은 다른 접근 방식을 포함하고 있습니다. 따라서 FDA는 보안 위험 관리를 안전 위험 관리와는 별도의 프로세스를 만들어 분리할 것을 권장하고 있습니다.
안전 및 위험 관리 프로세스
위 그림에서 보시는 것처럼 안전 및 보안 위험 관리 프로세스 사이에는 연결이 되어 있어, 한 유형의 위험에 대한 통제 조치가 도입될 때, 다른 유형의 위험이 생겨날 수 있습니다.
예를 들어, 보안 측면에서 인증에 대한 위험 통제 조치를 추가하기로 했을 때, 비상 시 기기에 접근할 수 없다는 안전 측면의 위험을 도입할 수 있게 되는 것입니다. 따라서 전체 위험 관리 프로세스에서는 이러한 연결 지점을 파악하고, 새로운 위험에 대한 평가가 보안과 안전 두 영역 모두에서 수행되도록 해야 합니다.
이제 각 위험 관리 절차에 대해 알아보겠습니다.
위험 관리 절차
1. 보안 위험 관리 계획
- 보안 위험 관리는 안전 위험 관리와 병행하는 동반 프로세스로 유지되어야 합니다. 이때 보안 위험 평가는 악용 가능성 (Exploitability)을 기반으로 하며, 정기적인 모니터링과 새로운 취약점에 대한 평가가 중요합니다.
- 보안 위험 관리 계획에는 보안 위험을 검증할 수 있는 방법론에 대한 설명도 포함되어야 합니다. 이때 퍼즈 테스트, 침투 테스트 같은 테스트가 포함될 수 있습니다.
- 또한, 배포 후에 취약점이 될 수 있는 의도하지 않은 기능이 코드에 포함되지 않도록 하기 위해 코드 분석 방법과 같은 특정 테스트를 할 수 있습니다.
- 보안 위험 관리 파일에는 최소한 다음 내용이 포함되어야 합니다.
✔ 보안 위험 관리 계획
✔ 보안 위험 분석 구성 요소
✔ 보안 위험 통제
2. 보안 위험 분석
- 보안 위험 분석 과정에서는 분석된 의료기기에 대한 식별, 보안 위험 분석을 수행하는 조직에 대한 식별, 보안 위험 분석의 범위 및 날짜가 포함되어야 합니다. 또한 위협, 취약점, 자산 및 부정적인 영향에 대한 식별이 필요한데요, 세부 사항은 다음과 같습니다.
✅ 위협의 식별
✔ 공격자의 능력과 그들이 공격에서 얻을 수 있는 이익을 고려해야 합니다.
✔ 이를 위해 잠재적인 위협과 그들이 취약점을 악용할 수 있는 방법을 문서화하는 것이 중요합니다.
✔ 다양한 출처로부터 정보를 수집하여 공격자의 능력과 위협 발생 수단을 잘 이해해야 합니다.
✅ 취약점의 식별
✔ 기기에서 알려지거나 잠재적인 취약점을 문서화해야 합니다.
✔ 보안 테스트(취약점 스캔 및 침투 테스트)는 잠재적인 취약점을 식별하는 데 도움이 될 수 있습니다.
✅ 자산의 식별
✔ 자산은 기기 자체, 소프트웨어를 포함한 구성 요소 등 사용자가 상호작용할 수 있는 데이터 정보를 포함하며, 외부 네트워크와의 연결도 포함합니다.
✅ 부정적인 영향의 식별
✔ 식별된 자산에 대해 기밀성, 무결성, 또는 가용성 손실이 안전성, 효과성 또는 데이터나 시스템 보안에 미칠 수 있는 영향을 고려해야 합니다.
- 위협, 취약점, 자산 및 부정적인 영향을 식별 후에는 위험을 산정해야 하는데요, 안전 위험 분석 프로세스와 비교했을 때, 위협 및 취약성의 조합은 발생 확률과 유사하며, 자산에 대한 부정적인 영향은 심각성과 유사합니다.
3. 보안 위험 평가
- 식별된 위험은 보안 위험 감소가 필요한지 평가되어야 합니다. 위험 수준은 보안과 안전 모두에서 수용 가능한 수준으로 통제되어야 하며, 위험 감소가 필요하지 않다고 판단되면, 그 결정의 근거도 필요합니다.
4. 보안 위험 통제
- 위험 통제 옵션은 설계에 의한 내재적 보안, 제조 과정에서의 보호 조치, 보안을 위한 정보 제공 순으로 우선시해야 합니다. 보안 통제 조치는 테스트 가능한 요구 사항으로 명확하게 표현되고, 잔여 위험은 다시 평가되어 수용 가능 여부를 판단해야 합니다. 만약 수용 불가능한 위험이 남아 있다면, 이득
- 위험 분석을 통해 추가적인 완화 조치를 결정해야 합니다. 또한, 보안 통제의 구현이 새로운 위험을 초래할 가능성을 분석하고, 식별된 모든 위협에 대한 위험 통제의 완전성을 보장해야 합니다.
5. 전반적인 잔여 위험의 평가
- ISO 14971:2007의 7절에서는 전반적인 잔여 위험을 위험 관리 계획에 명시된 기준에 따라 평가할 것을 요구합니다. 다양한 보안 악용의 영향은 심각도에 따라 다를 수 있으며, 위협 행위자가 취약성을 악용할 가능성을 추정하는 방법도 상황에 따라 달라질 수 있습니다. 전반적인 잔여 위험의 수용성은 부정적인 영향의 성격에 따라 달라질 수 있습니다.
- 수용 가능한 것으로 판단된 전반적인 잔여 위험의 경우, 제조업체는 전반적인 잔여 위험을 관리하기 위해 동반 문서에 포함할 보안 정보를 결정해야 합니다.
6. 보안 위험 관리 보고서
- 보안 위험 관리 보고서는 기기가 적절하게 보안되는지 보장하기 위한 보안 통제의 평가, 완화 활동 및 검증 보고서에 대한 추적성을 요약해야 합니다.
- 생산 후 정보가 제공되면 새로운 위협, 취약성, 자산 및 부정적인 영향이 발견될 때 주기적으로 업데이트 되어야 합니다.
- 보안 위험 관리 보고서에는 다음 사항을 직접적으로 또는 참조하여 제공해야 합니다.
✔ 사이버 보안 위험과 관련된 위험 분석, 완화 및 설계 고려 사항
✔ 보안 위험과 보안 통제의 추적성
✔ 문서화된 보안 통제에 대한 검증 보고서로의 추적성
✔ 보안 업데이트/패치가 제공되는 시기와 방법에 대한 설명
✔ 기기가 악성코드 없이 제공되도록 보장하기 위해 취해진 단계에 대한 설명
7. 생산 및 생산 후 정보
- 의료기기는 생산 및 생산 후 단계에서 의료기기에 대한 정보를 모니터링, 수집 및 검토해야 합니다.
✔ 생산 단계에서는 기기의 성능에 영향을 미치거나 의도되지 않은 기능의 도입을 방지하는 방식으로 기기가 생산되고 있는지 모니터링 해야 합니다.
✔ 생산 후 단계에서는 기기가 보안 위협에 노출되고 있는지, 구현된 보안 통제가 이러한 위협을 효과적으로 완화하는지 모니터링 할 수 있는 계획을 마련해야 합니다.
