해외언론동향
해외언론동향 내용 담당 :생명윤리안전정책연구팀 : 02-737-8452, 게시판 설정 및 관리 : 02-737-6008
게재 일자 : 2019-01-08 
키워드 : 사이버 보안, 의료기기, 캐나다 

캐나다 보건부에서 시판 전 의료 기기의 사이버 보안 요건을 제시함(18)

 

캐나다 보건부는 의료기기 인가 신청 시 보다 규격화된 사이버 보안 요건을 제안함.

캐나다 보건부의 사이버 보안 요건은 미국과 다른 국가의 의료기기 규제국에서 수용함.

캐나다 보건부는 의료기기 사이버 보안성의 입증을 돕기 위해 UL 2900과 같은 검사 기준을 채택할 것을 권고함.

 

미국과 한국의 규제당국에서 개발한 정책과 유사하게 캐나다 보건부의 새로운 지침을 통해 사이버 보안 요건과 시판 전 의료기기 검토의 고려 사항이 마련될 예정임.

지침 초고는 의료기기 인가 신청서에 사이버보안성 관련 정보 요건을 제안하고 있음. 요건에 따라 소프트웨어를 구성하거나 소프트웨어를 담고 있는 의료기기의 보안성을 기술하여 보건부에 제출해야 함. 지침 초고는 사이버 위험과 취약성을 완화하기 위한 UL 2900 사이버보안성 검사 기준의 이행 등을 권고함.

 

새로운 보건부 지침에 담겨져 있는 사이버보안 상급 권고안에는 다음이 있음.

- 소프트웨어가 있는 의료기기의 경우 위험 관리 프로세스 속에 사이버보안 수단을 포함시킬 것

- 사이버보안 위험을 기업 수준에서 관리할 수 있는 프레임웍을 수립할 것

- 제품 설계 요건과 설명에 따라 모든 사이버보안 위험 통제 프로세스를 확인하고 검증할 것

 

밴쿠버 에메르고의 선임 RA/QA 컨설턴트 켄 필그림(Ken Pilgrim)은 캐나다 뿐 아니라 유사한 사이버보안 요건을 갖는 사법권 시장에 진입하려는 의료기기 제작회사들에게 새로운 지침이 유용함을 보여야 한다고 말함.

 

우리는 캐나다가 의료기기 사이버보안 기준 개발에 참여하는 것을 볼 수 있어 기쁘다. 이 지침 초고의 자문을 통해 캐나다 의료기기 제작회사가 인가 과정을 거쳐 사이버보안성 요건에 합치할 수 있어야 한다."

새로운 지침은 제작회사들이 미국이나 한국과 같은 다른 국가의 국제적으로 활용되는 요건에 따를 수 있도록 도와야 한다. “

 

 

 

< 특정 사이버보안성 전략 권고안 >

 

캐나다 보건부의 지침은 사이버보안 위험의 모니터링, 평가, 완화의 책임을 제작회사에게 둠. 지침에 따르면 더 넓은 사이버보안성 책임은 회사 뿐 아니라 규제 당국, 최종 사용자, 네트워크 관리자와 공유할 수 있음.

캐내다 보건부는 미국 NIST“Framework for Improving Critical Infrastructure Cybersecurity Version 1.0”에 기초한 사이버보안 위험 관리 방책, 그리고 보안 설계, 위험 관리, 확인과 검증, 그리고 지속적 모니터링 설계, 새로운 위험과 위협에 대한 대응력 등을 포함하는 사이버 전략을 함께 수용할 것을 제안함.

 

< 보안 설계 >

 

첫째, 캐나다 보건부는 제작회사들로 하여금 제품 생애 설계에 있어 가능한 한 이른 시점에 사이버보안성을 고려하도록 권고함. 언제 평가하고 설계를 결정하는지, 그리고 활용도처럼 사이버보안성 및 안전성에 관련된 요소를 결정하는지가 포함됨.

 

많은 사이버보안성 설계 종류 중 지침이 제작회사의 기기 설계 과정에서 고려할 가치가 충분하다고 보는 것은 다른 연결기기 시스템과의 보안 커뮤니케이션, 데이터 보안과 암호, 적절한 사용을 위한 접근 통제, 소프트웨어 유지 등임.

 

< 기기 특화 위험 관리 >

 

기기의 생애주기 동안 통합적 위험 관리 프로세스의 일환으로 제작 회사는 ISO 14971위험 관리 원칙과 함께 다음의 사이버보안 구성요소를 적용해야 함.

- 사이버보안 위험 파악

- 사이버 위험 관련 예측 및 평가

- 적정 수준으로의 위험 관리

- 위험 통제 효과 모니터링

 

그러나 지침은 또한 사이버보안성 위험 관리 프로세스가 기기 안전성이나 효과에 부정적인 영향을 미칠 수 있다고 경고함. “효율성을 낮추고 임상적 활용에 부정적 영향을 미치고 진단 또는 치료 상의 에러를 초래할 수 있는 어떠한 사이버보안성 위험도 의료기기의 위험 관리 프로세스에서 고려되어야 한다라고 캐나다 보건부는 말함.

 

캐나다 규제 당국은 사이버보안성 관련 표준에 대한 권고안을 제시하였음. 제작회사들은 이를 이행하기 위한 수고를 들여야 함.

- ANSI CAN UL 2900-1 보안 네트워크-연결 상품 소프트웨어 (일반 요건)

- ANSICANUL2900-2연결 가능한 상품을 위한 사이버보안 소프트웨어

- AAMITIR57:2016의료기기 보안 원칙(위험 관리)

- IEC80001-1:2010의료기기를 통합하는 IT 네트워크 위험 관리 어플리케이션

- NIST800-30위험 평가 수행 가이드 개정 1

 

< 확인 및 검증 시험 >

 

셋째, 지침에 의하면 캐나다 보건부는 기기 설계 사양과 요건에 따른 모든 사이버보안성 위험 통제 프로세스를 확인하고 검증할 것을 권고함.

더 나아가 규제 당국은 제작 회사가 UL-2900-1:2017 그리고 UL-2900-2-1:2018사이버보안 검사 표준을 이행하여 이러한 노력을 지원할 것을 권고함. 제작 회사의 소프트웨어 확인과 검사 과정을 위해 지침이 다루는 특정 종류의 시험에는 다음이 있음.

- 취약성과 악용 테스트: 알려진 소프트웨어 코드 취약성, 멀웨어, 입력 형식 잘못, 조직침입 검사 등을 포괄함.

- 소프트웨어 약점 테스트: 정적 이진 및 바이트코드 분석을 포함한 소스 코드 분석

 

< 모니터링과 위험 대응 노력 >

 

제조 회사가 사전적으로 제품 취약성을 모니터링, 파악하고 다루는 것, 그리고 이를 시판 후 관리의 일환으로 이용하는 것은 중요하다. 의료기기에 대한 사이버보안 위험이 계속 증가하고 있기 때문이다.”

 

캐나다 보건부는 위와 같이 지침에서 조언함. 이를 위해 규제 당국은 시판 후 의료기기 인가 신청에서 제조 회사들로 하여금 특히 3등급이나 4등급의 신흥 사이버 위협을 모니터링하고 대응하려는 계획과 노력들을 분명하게 기술할 것을 권고함.

 

< 의료기기 인가 신청 상 사이버보안성 요건 >

 

캐나다 보건부는 지침의 권고에 근거하여 시판 전 의료기기 인가 신청에서 사이버보안성 관련 정보를 포함시킬 것을 제안하였음. 신청서에는 보안 설계, 위험 통제, 확인 및 검증 검사, 그리고 지속적 모니터링과 대응 플랜을 포함해야 함.

신청서 지침에 싣도록 되어 있는 일반 사이버보안성 관련 정보 사항에는 다음이 있음.

- 기기 라벨 및 패키지 사양: 모든 종류의 써드파티 오픈소스 소프트웨어 요소 포함

- 마케팅 이력: 사이버보안 이슈로 보고된 문제나 리콜 포함

- 위험 평가: 문제가 된 기기에 내재된 위험 분석 및 평가, 안전과 효율을 높이기 위해 취한 위험 감소 방안

- 기기 특화 질 관리 플랜: 표준, 시험, 추적 메트릭스 및 유지 플랜의 관점에서 요건에 합치되도록 도입된 사이버보안성 고려 요소

 

기사 및 사진 출처 :

https://www.emergobyul.com/blog/2018/12/health-canada-setting-pre-market-medical-device-cybersecurity-requirements

List of Articles
번호 제목 키워드 조회 수

과학기술발전 암 환자의 치료결과를 향상시키기 위한 디지털 항암치료 알약 출시 [1월 24일] file

키워드 말기 암환자, cancer patient, 디지털 알약, digital pill, 항암치료, chemotherapy, medication adherence, capecitabine, Xeloda, FDA, vulnerable 

실리콘벨리의 한 회사(Proteus Digital Health)가 디지털 항암치료 알약(pill)을 개발하여 암 환자에게 적용함. 디지털 알약은 투명한 캡슐 안에 항암제와 디지털 센서가 들어있으며, 센서는 환자가 알약을 삼키면 의사, 약사나 요양보호사 등에게 알리는 기능...

  • 조회 수 268

개인정보보호 환자 데이터가 개인 데이터 프라이버시를 유지하면서 과학연구를 발전시킬 수 있는 방법 file

키워드 환자데이터, 빅데이터, 개인정보, 민감정보, CHALLENGE 컨소시엄, 유럽연합 개인정보보호규정, GDPR 

나이가 들면, 우리 몸은 퇴화되고 노화가 소위 퇴행성 질병의 가장 중요한 단일 위험 요소라는 것을 알고 있음. 그러나 우리는 왜 그런지 그 이유를 이해하지 못함. 필사적으로 그것을 피하려고 하는 사람들에게조차 노령은 노쇠함, 장애, 그리고 결국 죽음과...

  • 조회 수 66

보조생식 및 출산 베일러(Baylor)의 자궁 이식 시험이 윤리와 비용의 우려 속에서 생식의 미래로 안내함(1월 23일) file

키워드 베일러, Baylor, 자궁이식시험, 생식, 비용, 윤리, 불임, 출산 

이식 지원자가 선택되고 펀딩이 확정되면서 엄청난 규모의 의사와 외과의 팀이 불임 여성이 출산할 수 있게 하는 복잡한 시술을 연마하고 있음. 이전에는 불임 여성은 입양이나 대리 출산 외에는 방법이 없었음.    2017년 시술이 처음 성공하면서 베일러 의사...

  • 조회 수 139

보조생식 및 출산 영국 IVF 클리닉은 법적 연령 제한이 없기 때문에 여성들이 60세에 아기를 갖도록 돕고 있음(1월 23일) file

키워드 영국, IVF 클리닉, 연령제한, 임신, 출산 

영국의 IVF 클리닉은 법적 연령 제한이 없기 때문에 55세까지의 여성들이 아기를 갖도록 돕고 있음.   영국의 한 개인 병원 의사는 60세의 나이에도 아이를 출산하는 것을 돕고자 한다고 말함. 수년간 많은 의학 전문가들이 50세가 넘은 여성들이 임신하기 위...

  • 조회 수 45

과학기술발전 황반변성에 대한 미국 내 첫 역분화줄기세포치료 임상시험이 시작될 예정 [1월 23일] file

키워드 줄기세포치료, stem cell therapy, 황반변성, AMD, RPE cells, iPSCs, 임상시험, clinical trial, human test, NIH, NEI, FDA, Science Translational Medicine 

줄기세포로 당뇨병을 치료할 수 있을까? 모두가 어렵다는 것을 알고 있음. 파킨슨질환은? 더 어려움. 알츠하이머병은? 아마 불가능할 것임. 그렇다면 노인성 황반변성(AMD; age-related macular degeneration)은 어떨까? 노화로 인한 황반변성은 50세 이상에게...

  • 조회 수 197

의료윤리 캐나다 브리티시컬럼비아주 어린이병원 사건, 부모의 권리와 미성년자의 자율성에 관한 어려운 문제 제기 [1월 22일] file

키워드 의학적 결정, medical diecisions, 부모의 권리, parental rights, 자율성, autonomy, 어린이병원, Children’s hospital, 트랜스젠더, transgender 

14세가 성별을 변경하고 싶다고 요청할 경우 누가 의학적으로 결정하여야 할까? 본인? 병원? 부모?   맥스(Max, 가명)는 전형적인 14세로, 락과 헤비메탈 음악을 선호하며, 후드를 착용하는 것을 좋아하고, 긴장하면 피식 웃으며, 동물을 그리는 데 재능이 있...

  • 조회 수 169

과학기술발전 생명윤리학자, 혜택이 증명되지 않은 DTC 신경과학기술에 대한 감독 요구 [1월 21일] file

키워드 DTC, direct-to-consumer, 신경과학기술, neurotechnologies, regulatory oversight, FDA, FTC, 생명윤리학자, bioethicists, 신경윤리학자, neuroethicists, Science 

의사를 거치지 않고 소비자가 직접(DTC; direct-to-consumer) 구매하는 신경과학기술(neurotechnologies) 마케팅은 소비자를 유혹할 수 있음. 신경과학기술로 개인의 기억부터 정신건강까지 다양한 뇌 기능을 감시하고 조작할 수 있으며, 주요 제품은 신경감시...

  • 조회 수 185

과학기술발전 질병의 선천적·후천적 요인을 살펴보는 미국 최대 규모의 쌍둥이 연구(twin study) [1월21일] file

키워드 선천성, 후천성, 쌍둥이연구, 보험, 유전자, 질병, 돌연변이, 논문, nature genetics 

민간 보험사의 데이터를 통해 과학자들은 질병에 대해 건강을 유지하는데 있어 선천적 요인과 후천적 요인 가운데 어떤 것이 더 중요한지를 연구하는 새로운 방법을 발표했음. 답이 정확하지는 않지만 연구한 560개 질병에 따라 중요성은 다양했으며 이 기술은...

  • 조회 수 111

과학기술발전 2019년 6가지 인공지능의 위협이 온다 [1월 14일] file

키워드 인공지능, AI, 로봇, 알고리즘 

    □ 2019년 6가지 인공지능의 위협이 온다 [1월 14일]   세계를 지배하는 초인공지능 기계의 전망에 대해 조바심을 내는 것이 한때 유행이었음. 지난 해는 AI가 일이 발생하기 전에 모든 종류의 위험을 초래할 수 있음을 보여주었음.   최신 인공지능 방법은...

  • 조회 수 175

장기 및 인체조직 뇌사판정은 통일된 법과 정책에 근거해야 한다고 미국신경학회가 밝힘 [1월 16일] file

키워드 뇌사, brain death, AAN, UDDA, Neurology, 헤이스팅스센터, Hastings Center 

미국신경학회(AAN; American Academy of Neurology)는 최근 발간학회지(Neurology)에 성명서를 게재하여 뇌사판정은 통일된 법, 정책, 관행에 근거하는 의학적인 결정이어야 한다고 밝힘.   현재 뇌사판정에 대한 의학적 표준은 법률로 규정되어 있지 않은데, ...

  • 조회 수 300

과학기술발전 암 위험도의 이해를 위한 다양한 BRCA 변이를 수집하는 「BRCA Exchange」 프로젝트 file

키워드 암, 유방암, 유전자, 변이, 돌연변이, 데이터공유, 프로젝트, 환자, 임상의 

BRCA1 및 BRCA2 유전자의 수천 가지 유전자 변이에 대한 데이터를 포함하는 글로벌 리소스가 대중에게 제공됨. 「BRCA Exchange」는 BRCA1 및 BRCA2 데이터 공유를 강화하기 위해 Genomics and Health Global Alliance(GA4GH)가 시작한 프로젝트인 BRCA Chall...

  • 조회 수 111

연명의료 및 죽음 호주 빅토리아주의 한 병원, 말기환자 대상 모바일 안락사서비스 출시 [1월 14일] file

키워드 조력죽음, 조력사망, assisted dying, 안락사, euthanasia, lethal medications, mobile delivery 

호주 빅토리아주가 자발적인 조력죽음(voluntary assisted dying) 법률을 제정함에 따라 안락사 약물(Euthanasia drugs: 죽음을 초래하는 치명적인 약물)이 환자에게 직접 배송되는 서비스가 올해 말에 시작될 계획임.   호주 빅토리아주의 자발적인 조력죽음 ...

  • 조회 수 169

인간대상연구 존스 홉킨스대, 매독 감염 관련 10억불 소송에 직면함 [1월 7일] file

키워드 의료윤리, 매독 감염, 터스기기, 과테말라, 소송 

□ 존스 홉킨스대, 매독 감염 관련 10억불 소송에 직면함 [1월 7일]   메릴랜드주 연방 법원 판사는 존스 홉킨스 대학, 브리스톨-마이어스 스퀴브 회사 (Bristol-Myers Squibb Co, BMY.N)와 록펠러 재단 (Rockefeller Foundation)이 수 백명의 과테말라 사람들...

  • 조회 수 41

개인정보보호 AI, 데이터 보호 및 데이터 소유권[1월 9일] file

키워드 인공지능, AI, 데이터보호, 소유권, GDPR 

□ AI, 데이터 보호 및 데이터 소유권   Jan Feuerhake, LL.M. Salary Partner, Hamburg 글로벌 로펌 테일러베싱(Taylor Wessing) 소속   인공지능(AI) 및 딥러닝과 같은 새로운 기술은 법규 또는 민사문제와 관련한 법률문제를 제기함. 인공지능 회사와 인공지...

  • 조회 수 125

인체유래물 벨기에, 바이오뱅크에 대한 법적 근거가 발효됨 (1월 8일) file

키워드 벨기에, 바이오뱅크, 법 

□ 벨기에, 바이오뱅크에 대한 법적 근거가 발효됨. (1월 8일)   최초 공표 이후 10년, 바이오뱅크에 대한 법적 틀이 마침내 발효됨. 벨기에의 각 바이오뱅크는 운영을 위해서 FAMHP(Federal Agency for Medicines and Health Products)에 신고해야 함. 또한 인...

  • 조회 수 61

기타 캐나다 보건부에서 시판 전 의료 기기의 사이버 보안 요건을 제시함 (1월 8일) file

키워드 사이버 보안, 의료기기, 캐나다 

□ 캐나다 보건부에서 시판 전 의료 기기의 사이버 보안 요건을 제시함(1월 8일)   캐나다 보건부는 의료기기 인가 신청 시 보다 규격화된 사이버 보안 요건을 제안함. 캐나다 보건부의 사이버 보안 요건은 미국과 다른 국가의 의료기기 규제국에서 수용함. 캐...

  • 조회 수 48

장기 및 인체조직 죽음의 정의는 무엇인가 [1월 4일] file

키워드 뇌사, 뇌사판정, 의료윤리, 심폐소생술, 장기 기증, 장기 이식 

    □ 죽음의 정의는 무엇인가 [1월 4일]   엄격하게 생물학적인 측면에서 죽음을 정의해야하는가? 신체가 호흡, 혈액 순환 및 신경 활동의 통합된 기능을 유지하지 못할 때인가? 생물학적 기능이 손상되지 않은 상태에서도 심각한 신경 손상을 근거로 사망을 ...

  • 조회 수 98

개인정보보호 익명의 환자 정보가 익명으로 유지되지 않을 수 있음 [12월 24일] file

키워드 개인정보, 빅데이터, 개인정보보호, 환자 정보, 건강 데이터 

    □  익명의 환자 정보가 익명으로 유지되지 않을 수 있음 [12월 24일]   수년 동안 연구자들은 환자의 개인 정보를 보호하기 위해 제거된 정보를 식별하면서 환자 데이터의 엄청난 폭을 사용하여 의료 조건을 연구하여왔음. 그러나 새로운 연구에 따르면 해...

  • 조회 수 24

과학기술발전 개인맞춤의학(personalized medicine)이 어떻게 당신의 건강관리를 변형시키는가? file

키워드 precision medicine, biobank, specimen consent 

□ 개인맞춤의학(personalized medicine)이 어떻게 당신의 건강관리를 변형시키는가? : 유전자 연구와 데이터 마이닝(data mining )의 놀라운 진보가 질병을 예측하고 각자에게 맞는 치료법을 개발할 것임   이 기사는 <내셔널 지오그래픽> 2019년 1월호에 실릴...

  • 조회 수 98

인간대상연구 FDA는 인간대상연구에 대한 인폼드 컨센트 규정을 완화할 계획임 [1월 3일] file

키워드 FDA, 인간대상연구, IRB, 기관위원회, 인폼드 컨센트, 동의 

□ FDA는 인간대상연구에 대한 인폼드 컨센트 규정을 완화할 계획임.   미국 식품의약국(FDA)은 최근에 IRB가 연구대상자들에게 최소한의 위험이 따르는 특정 임상 시험에 대한 인폼드 컨센트를 얻기 위한 요구사항을 면제하거나 변경할 수있는 변경안을 제안함...

  • 조회 수 57