FDA, 의료 기기에 대한 UL 2900-1 사이버 보안 표준 인정
의료 서비스 IoT의 사이버 위협이 증가함에 따라 UL은 제조사가 규제 요건을 준수할 수 있도록 지원한다.
신생아 집중 치료실의 아기들은 생존을 위해 심장 모니터에 의존한다. 응급실의 당뇨병 환자는 혈당치를 낮추기 위해 인슐린 펌프가 신속하게 연결된다. 전국의 거의 모든 병원에서 환자 의료 기록은 온라인 상태에 있다. 하지만 의료인들이 이러한 환자들을 치료하기에 바쁜 동안 또 다른 종류의 바이러스가 전세계 병원을 뒤덮는다.
바이러스와 웜에 의해 확산되는 랜섬웨어와 같은 악성 프로그래밍 코드와 의료 기기 및 IT 네트워크를 겨냥한 사이버 공격은 병원 시스템과 의료 서비스 회사에 상당한 혼란을 야기한다. 실제로 의료 서비스 침해로 인한 평균 비용은 220만 달러 이상으로 추산된다. 사이버 공격이 발생하면 기밀인 환자의 의료 기록 보안을 위협할 뿐 아니라 병원과 장비 제조사의 명성과 환자의 안전을 위험에 빠뜨릴 수 있다.
UL 의료 시스템 상호운용성 및 보안 사업의 수석 엔지니어인 아누라 페르난도(Anura Fernando)는 “의료 서비스 인프라의 경우 데이터가 손상되면 사람들의 생명이 위태로워질 수 있습니다. 병원에는 실시간 공격에 잠재적으로 취약할 수 있는 수많은 의료 기기가 있으므로 최근의 위협 완화 노력에 대비하고 대응해야 할 필요성이 높아지고 있습니다.”라고 말한다.
사물인터넷(IoT) 기술이 점차 의료 서비스 분야로 옮겨감에 따라 공격을 받기 전에 상호 연결된 시스템과 소프트웨어의 취약점 및 약점을 평가하는 것이 중요하다. FDA와 같은 의료 규제 당국은 이처럼 빠르게 진화하는 기술에 뒤쳐지지 않기 위해 노력하고 있다.
FDA가 IoT 사이버 보안보다 한 발 앞서는 한 가지 방법은 제조사에 대한 최신 지침을 통해서이다. 2016년 FDA는 다중 인증, 사용자 접근 제한, 강화된 암호, 계층화된 인증, 침해 감지 절차 등 기본적인 보안 권고사항을 제시하는 지침을 발표했다.
FDA는 현재 미 연방 관보에 게시된 UL 표준을 공식적으로 인정했다. (UL 2900-1 1판 2017, 소프트웨어 사이버 보안 네트워크 연결 가능 제품에 대한 표준, 파트 1: 일반 요구사항)
이 표준은 취약점, 멀웨어, 소프트웨어 약점과 관련이 있는 네트워크 연결 가능 장치의 평가와 테스트를 다룬다. 의료 기기 제조사는 명시된 UL 표준을 준수하면 FDA 지침을 충족한다는 것을 입증할 수 있다.
FDA의 인정과 함께 미 표준협회(ANSI)는 UL 2900-1을 국가 합의 표준으로 채택했다.
UL 2900-1은 ANSI 조사 가이드라인뿐 아니라 현재 FDA 사전 및 사후 시장 사이버 보안 지침에 따라 고안되고 개발되었다.
페르난도는 “우리는 처음부터 다양한 이해관계자들과 진정한 파트너십을 맺었습니다.”라며 “생산자, 소비자, 규제 기관, 학계, 다양한 다른 업계 전문가를 초청하여 표준 개발 과정에 참여시켰고 FDA 지침을 참조하여 표준을 만들었습니다. 결국 가장 중요한 사실은 우리가 결코 고립된 표준을 만들지 않았다는 것입니다. 현재의 규제 방식과 제출 프로세스를 강력하게 반영한 진정한 협업 문서입니다.”라고 말한다.
“이러한 사실은 제조사에 많은 신뢰감을 주기 때문에 중요합니다. 현재 의료 기기 제조사는 합법적으로 시장에 진출하려면 FDA 프로세스를 통과해야 합니다. 우리가 UL 2900에서 개발한 것처럼 매우 명확한 요구사항으로 해당 프로세스를 보완하면 첫 번째 단계에서 제조사의 의료 기기가 승인 받을 가능성이 더 높아집니다.”