미국 연방 규제기관인 미국 식품의약국(FDA, Food and Drug Administration)은 의료기기의 사이버보안 준수 여부를 중요한 규제 요소 중 하나로 다루고 있습니다. FDA가 발행한 관련 가이던스는 사이버보안을 제품의 전체 수명주기(Total Product Lifecycle)에 걸쳐 통합적으로 고려하는 것의 중요성을 강조하고 있습니다. 즉, 의료기기 제조사는 초기 설계 및 개발 단계부터 실제 배포에 이르기까지, 제품이 사이버보안을 고려하여 설계되었음을 입증해야 합니다.
이번에 업데이트된 가이던스의 정식 명칭은「Cybersecurity in Medical Devices: Quality Management System Considerations and Content of Premarket Submissions」이며, 의료기기의 제품 수명주기 전반에 걸쳐 위험을 식별, 분석, 평가, 통제 및 모니터링하는 과정과 관련하여 FDA의 품질경영시스템 규정(QMSR, Quality Management System Regulation) 요구사항을 다루고 있습니다.
QMSR 요구사항을 충족하기 위한 하나의 접근 방법으로, 이번 가이던스에서는 제조사가 보안 제품 개발 프레임워크(SPDF, Secure Product Development Framework)의 도입 및 적용을 고려할 것을 제안하고 있습니다. 가이던스에 따르면 SPDF란, “의료기기 수명주기 전반에 걸쳐 제품 내 취약점의 수와 심각도를 줄이기 위한 일련의 프로세스”로 정의됩니다.
이번 개정 가이던스는 2025년 6월 FDA가 발행했던 기존 가이던스를 대체합니다. FDA는 또한 이번 개정 내용이 2020년 3월 국제의료기기규제당국자포럼(IMDRF, International Medical Device Regulators Forum)**이 발행한 사이버보안 관련 가이던스와 전반적으로 일치하거나, 해당 내용을 확장·보완하는 수준이라고 설명하고 있습니다.
다만, FDA가 발행하는 가이던스 문서는 특정 사안에 대한 FDA의 현재 입장을 반영한 참고 문서로서, 법적 구속력을 갖는 규정은 아니라는 점에 유의할 필요가 있습니다.
전체 가이던스 원문은 다음 링크에서 확인할 수 있습니다.