D-rapy

사이버보안 취약점은 다양한 의료기기 제조업체(이하 MDM: Medical Device Manufacturers)에서 개발된 안전한 것처럼 보이는 다양한 의료기기가 공통 소프트웨어 컴포넌트를 사용한다는 이유로 영향을 받을 수 있다는 점에서 독특한 특성을 가진다.

이러한 문제는 의료기기 내 공통 컴포넌트의 추적성이 낮기 때문에 더욱 복잡해진다. 이러한 글로벌 문제를 해결하기 위해 미국의 국가통신정보국(이하 NTIA: National Telecommunications and Information Administration)은 2018년 다양한 이해관계자가 참여하는 다분야 이니셔티브를 소집하여 소프트웨어 투명성에 대해 논의했다. 그 결과물 중 하나가 소프트웨어 자재 명세서(이하 SBOM: Software Bill of Materials) 개념으로, NTIA는 이를 ‘하나 이상의 식별된 컴포넌트와 그 관계 및 기타 관련 정보의 목록’으로 정의하였다. 이 이니셔티브는 국제적으로 SBOM 개발 및 채택에 영향을 미쳤다.

SBOM은 시판 전 및 시판 후 활동들(즉, 제품 수명 전주기(이하 TPLC: Total Product Life Cycle)) 안에서 사이버보안 위험 관리 절차를 개선하는 데 활용할 수 있는 자원이다. 예를 들어, 시판 전 단계에서 MDM은 기기 개발 중에 SBOM 자원을 사용하여 알려진 소프트웨어 취약점을 추적하고 사이버보안 위험이 있는 기기가 출시되는 것을 방지할 수 있다. 시판 후 단계에서 MDM은 SBOM을 취약점 모니터링 절차를 보완하기 위한 자원으로 사용하여 이미 시장에 출시된 위험에 노출된 기기를 식별할 수 있다.

SBOM은 기본 또는 보조 자원으로서 TPLC 전반의 사이버보안 위험 관리 절차 개선을 지원할 수 있다. 이점으로는 다음이 포함될 수 있지만 이에 국한되지는 않는다.

 · 기기의 소프트웨어 컴포넌트를 더 빠르고 포괄적으로 식별할 수 있다.

 · 더 나은 정보에 기반한 의사 결정을 통해 더욱 안전한 소프트웨어 개발을 지원한다.

 · 공급업체와 이해관계자 간의 소프트웨어 투명성을 높인다.

SBOM의 이점을 최대한 활용하려면 의료기기 사이버보안을 위한 원칙 및 실무(이하 IMDRF N60 지침: IMDRF/CYBER WG/N60FINAL:2020)에서 제시하는 사이버보안 위험 관리 도구 및 절차와 함께 SBOM을 사용해야 한다. IMDRF N60 지침에는 MDM이 작성하여 의료기기 사용자에게 제공해야 하는 고객 보안 문서의 일부로 SBOM이 포함되어 있다. 의료기기 SBOM은 TPLC 전반에 걸쳐 MDM과 의료서비스제공자(이하 - 6 HCP: Healthcare Providers) 모두에게 도움이 된다. 예를 들어, SBOM은 소프트웨어 컴포넌트의 수명 종료(이하 EOL: End of Life)를 추적하고 대비하는 데 효과적인 관리 도구이다. MDM이 소프트웨어 컴포넌트들과 그 수명 종료 날짜를 알고 있으면 MDM은 관련 위험에 대해 자신과 고객에게 더 나은 대비를 할 수 있도록 하여 MDM의 품질 관리 역량을 향상한다. 의료기기 사용자는 향상된 투명성과 사이버보안 정보 공개를 통해 개별 위험 프로필과 사이버보안 역량에 따라 사이버보안 활동을 실행할 수 있는 이점을 누릴 수 있다. 예를 들어, 구매 및 설치 이전에 제공된 SBOM을 통해 HCP는 구매 전에 어떤 기기가 위험 프로필에 맞게 배치될 수 있는지 또는 사이버보안 문제를 일으킬 수 있는 오래된 소프트웨어가 포함되어 있을 수 있는지 알 수 있다. MDM은 제품과 함께 SBOM을 제공해야 한다. SBOM은 이러한 모든 HCP의 다양한 요구 사항, 자원 및 기능을 지원해야 한다. SBOM 채택이 증가함에 따라 도구, 서비스, 사이버보안 성숙도가 발전하면 HCP는 SBOM을 최대한 활용할 수 있을 것이다. 또한 SBOM이 제공되면 고객(HCP 또는 환자)은 의료기기의 사이버보안 위험을 더 잘 평가할 수 있다.

규제 기관에 시판 전 제출 시 제공되는 SBOM은 MDM이 성숙한 사이버보안 프로그램을 갖추고 있음을 나타내는 하나의 지표이다. 또한 SBOM을 통해 규제 기관은 제품에 대한 보다 완벽한 유익성-위험성 평가를 수행할 수 있다. 시판 후에는 시판된 의료기기가 SBOM에 접근할 수 있다는 보다 포괄적인 이해를 통해 MDM, HCP 및 규제 당국이 위협, 취약점 및 취약점 공격(익스플로잇) 영향을 예측하고 해결하는 데 MDM의 의견을 활용할 수 있다.

여러 부문에서 SBOM 채택이 증가함에 따라 각 기관에서 SBOM의 가치도 높아질 것이다. 이해관계자는 SBOM 생성, 관리, 배치, 수집, 활용과 같은 SBOM의 다양한 역할과 용도를 가지고 있다.

이 지침은 SBOM에 대한 개괄적인 설명과 SBOM의 생성 및 사용에 대한 모범 실무를 제공한다. 이 문서의 목적은 MDM, HCP, 규제 기관과 같은 의료기기 이해관계자와 관련된 SBOM 및 소프트웨어 투명성 구현에 대해 보다 자세히 설명하는 것이다. 이 지침에서 HCP는 의료제공기관(이하 HDO: Healthcare Delivery Organizations)이 포함된다.

SBOM 혜택에 대한 추가 정보는 NTIA의 FAQ 문서와 ‘공급망 전반에서 SBOM의 역할 및 혜택’ 문서에서 확인할 수 있다.