FDA: 커넥티드 의료기기에 대한 SBOM 요구 사항

FDA: 커넥티드 의료기기에 대한 SBOM 요구 사항

​

의료기기에 대한 사이버 보안 자재 목록(CBOM)을 의무화하는 FDA 요구 사항에 따라 신뢰할 수 있는 SBOM 솔루션 제공업체와 협력하는 것을 고려해 볼 필요가 있습니다.

오늘날 사물 인터넷(IoT) 세계에서의 연결 가능성은 무한합니다. 자동차, 시계, 전구, HVAC, 냉장고는 물론 사람과 사람의 건강을 모니터링하고 제어하는 장치도 연결할 수 있습니다. 예를 들어, 인슐린 펌프 및 연속 혈당 측정기와 같은 의료기기는 블루투스를 통해 스마트폰에 연결할 수 있습니다. 인터넷에 연결된 의료기기의 수가 급격하게 증가한 이유는 팬데믹 기간 동안 봉쇄 조치로 인해 사람들을 집에서 치료해야 할 필요성이 점점 더 높아졌기 때문입니다.

그러나 이렇게 연결된 것들은 이점 뿐만 아니라 위험도 함께 초래될 수 있습니다. 예를 들면 연결된 인슐린 펌프를 사용하기 위해서는 환자의 개인 정보를 포함하는 온라인 계정이 필요한데 이는 해킹의 가능성이 있습니다. 해커들이 인슐린 펌프에 접근할 수 있는 위험성을 무시할 수 없습니다. 의료기기는 네트워크로 연결되어 있기 때문에 악성코드의 위험까지 존재합니다. 이러한 위험들 때문에 커넥티드 의료기기에 대한 사이버 보안이 매우 중요합니다.

CBOM에 대한 새로운 FDA 요건

2023년 3월 29일부터 FDA는 사이버 보안 자재 목록(CBOM)를 포함하여 의료기기에 대한 사이버 보안 요구 사항을 시행하기 시작했습니다. CBOM은 의료기기 제조업체가 서드파티 소프트웨어 및 오픈 소스 구성 요소를 포함하여 의료기기에 사용되는 포괄적인 소프트웨어와 하드웨어 구성 요소 목록의 정확성을 자체 증명하도록 요구하고 있습니다. SBOM(Software Bill of Materials)은 CBOM의 한 부분인데 의료기기의 경우 완전하고 정확한 SBOM의 필요성이 특히 중요하다고 할 수 있습니다.

국립통신정보국(National Telecommunications and Information Administration, NTIA)은 SBOM에 대한 최소 요소를 정의하고 FDA는 지원 수준, 지원 종료 날짜 및 알려진 보안 취약점과 같은 추가 요소를 요구합니다. 오픈 소스 프로젝트에는 지원 수준이나 지원 종료일이 없기 때문에 이러한 추가 요소는 응용 프로그램 내에서 사용되는 서드파티/상용 구성 요소에 주로 적용됩니다.

다양한 산업의 기업들은 규정에 맞는 SBOM을 만들기 위해 상당한 노력을 하고 있으며 일부 기업은 서드파티에게 도움을 요청하고 있습니다. FDA 요구 사항을 충족하는 SBOM을 제공하는 서드파티 공급업체는 오픈 소스와 서드파티/상용 구성 요소를 완전하고 정확하게 식별해야 합니다.

SBOM 전문가와 협력

Synopsys는 16년 이상의 기간 동안 정확하고 믿을 수 있는 SBOM을 고객들에게 제공해 왔습니다. Synopsys의 고급 도구들은 코드 스니펫 수준에서 구성 요소를 정확하게 식별할 수 있으며 세련된 문자열 검색 알고리즘을 통해 모든 서드파티/상용 구성 요소를 식별할 수 있습니다.

또한 Synopsys는 FDA의 요구 사항을 충족하는 표준 형식(SPDX, CDX)으로 완전하고 정확한 SBOM을 제공하는 SBOM-as-a-service 솔루션을 제공합니다. 뿐만 아니라 내부적으로 생성된 SBOM이나 소프트웨어 공급망 파트너가 제공한 SBOM이 FDA의 요구 사항을 충족하는지 검증할 수 있습니다.

​

의료기기 ​Business Guide 더 알아보기 CLICK!!!

원문 게시일: 2023.06.23

원문 기고자: Julie Courtnay

출처: https://www.synopsys.com/blogs/software-security/sboms-for-connected-medical-devices.html