국제전기기술위원회(International Electrotechnical Commission, IEC)와 국제표준기구(International Organization for Standards, ISO)에 따르면 최근 사이버보안 표준을 발표했다.

새로운 표준은 건강 소프트웨어 및 건강 IT 사이버보안을 위한 의료 기기 소프트웨어 개발 표준에 관한 것이다. 기기 및 비기기 건강 소프트웨어 관련 기업의 사업에 상당한 영형을 미칠 수 있다.

발표된 표준은 IEC 81001-5-1:2021로 일련의 IEC 81001 건강 소프트웨어 표준이 될 것으로 예상된다. 표준의 범위는 건강 관련 사용을 위해 특별히 고안된 하드웨어의 일부인 소프트웨어, 의료 기기로서의 소프트웨어, 기타 건강 관련 용도를 위한 소프트웨어 전용 제품 등 의료 기기 소프트웨어이다.

새로운 표준의 가장 중요한 특징은 IEC 62304:2006과 AMD1:2015(Medical device software – software life cycle processes) 표준을 활동 및 결과물의 기초로 사용하고 각 IEC 62304 프로세스 단계에 사이버보안 요구사항을 포함한 것이다.

의료기기 제조사들 사이에는 흔한 일이지만 IEC 62304 표준은 회사가 이전에 고려하지 않았을 수 있는 비기기 건강 소프트웨어 회사에 일련의 수명주기활동을 부과할 수 있다.

IEC 81001-5-1:2021의 부록 A에  IEC 62304을 따르는 것이 IEC 81001-5-1:2021을 준수하기 위한 요구사항이 아니라고 명시돼 있다.

하지만 IEC 81001-5-1의 준수시 IEC 62304 표준과 일치하지 않을 경우 출처를 알 수 없는 소프트웨어, 소프트웨어 아키텍처 설계, 안전 위험 관리, 문제해결, 요구사항 및 아키텍처, 설계에 대한 문서화된 고정된 검토에 관한 요구 사항 등에서 문제의 소지가 있을 수 있다.

새로운 표준은 안전위험 관리와 상관관계가 있지만 안전에 영향을 미치는 것 이상의 사이버 보안 취약성과 위협 등 새로운 위험을 고려하고 있다.

이 표준은 미국 AAMI(Association for the Advancement of Medical Instrumentation), NIST(National Institute for Standards and Technology), 유럽 MDGC(Medical Device Consortium Group) 등 다양한 출처의 사이버보안 지침과 일치하고 있다.

다만 사이버보안 위험을 안전관련 문제로 제한하는 미국 FDA(Food and Drug Administration)의 사이버보안 지침과는 일치하지 않는다. 자세한 내용은 IEC 81001-5-1:2021 표준에서 확인이 가능하다.

▲ 국제전기기술위원회(International Electrotechnical Commission, IEC) 홈페이지