의료기기 소프트웨어의 사이버보안 평가를 위한 SBOM 적용 국내 표준모델 제안

Abstract

Through this research, in alignment with international trends in Software Bill of Materials (SBOM), recommendations will be made for the establishment of SBOM in terms of software quality management and cybersecurity for domestic medical devices. The proliferation of digital healthcare has led to an escalation in security threats, rendering the management of security in medical device software imperative. With the expanding utilization of open-source platforms in the development of medical device software, manufacturers are increasingly susceptible to inadvertent cybersecurity vulnerabilities. In response to this challenge, the necessity for SBOM (Software Bill Of Materials) has been advocated to ensure transparency within the software supply chain. SBOM furnishes essential information required to manage and counter security threats within the software supply chain, encompassing a comprehensive enumeration of all components integrated into a software product. International trends indicate that integrating SBOM can enhance effective risk management, serving as a foundational asset to augment cybersecurity risk management protocols across the lifecycle of a medical device product. Given the scarcity of domestic precedents beyond the medical device realm and the absence of a government-defined framework, this study will present policy trends at the medical device software SBOM level. It will explore the applicability scope by accounting for the idiosyncrasies of medical device software. Drawing upon domestic and foreign medical device cybersecurity regulations, IMDRF guidelines, and an analysis of SBOM policies in major foreign nations, this study has identified SBOM elements and recommendations adaptable to the domestic medical device sector. These recommendations aim to streamline the creation process for manufacturers and implementers, thereby enhancing operational efficiency and maintenance efficacy.

본 연구를 통해 국제 사회의 소프트웨어 자재명세서(Software Bill Of Materials, SBOM) 반영 동향에 맞추어 국내 의료기기 소프트웨어 품질관리 사이버보안 측면에서 소프트웨어 자재명세서 작성에 필요한 권고 사항을 제언하고자 한다. 디지털 헬스케어의 확장에 따른 보안위협이 증가하고 있어 의료기기 소프트웨어의 보안관리가 중요해지고 있다. 오픈소스를 활용한 의료기기 소프트웨어 개발이 확장되면서 제조자가 의도치 않은 사이버보안 위협에 노출될 수 있다. 이에 대응하기 위해 소프트웨어 공급망의 투명성을 확보하는 SBOM(Software Bill Of Materials)의 필요성이 제시되고 있다. SBOM은 소프트웨어 제품에 포함된 모든 구성요소의 목록을 포함하여 소프트웨어 공급망의 보안위협을 관리하고 대응하는데 필요한 정보를 제공한다. 국제적 동향에 따라 의료기기 제품수명 전주기의 사이버보안 위험관리 절차를 개선하는데 활용할 수 있는 기본 자원인 SBOM을 반영하여 효과적인 위험관리를 진행할 수 있다. 의료기기 분야 외에도 국내 적용 선례가 많지 않으며 정부 차원의 정의가 없기에 의료기기 소프트웨어 SBOM 차원에서의 정책 동향을 제시하고 의료기기 소프트웨어 특성을 고려하여 적용 범위를 조사한다. 국내·외 의료기기 사이버보안 규제 및 IMDRF지침과 국외 주요국 정책 분석 내용을 기반으로 국내 의료기기 분야에 적용 가능한 SBOM 요소 및 제안점을 식별하여 관련 제조자 및 수행자의 작성 편의성 및 유지보수 효용을 높이고자 한다.