CIA Triad 확장모델 및 Threat 모델링에 기반한 소프트웨어 의료기기 사이버보안 프레임워크

Abstract

This research is purposed to suggest a novel cybersecurity framework to strengthen security of Software as a Medical Device (SaMD), whose use has rapidly increased with the advent of the digital healthcare era. As cybersecurity threats continue to rise, highlighted by an average financial loss of $10.93 million per data breach in the healthcare sector, marking the highest figure for 13 consecutive years, the importance and urgency of cybersecurity in the SaMD domain have become more prominent. This research introduces a hybrid Cybersecurity Framework (hCSF) that can be applied throughout the entire lifecycle of SaMD, based on the alternative CIA Triad model and threat modeling methodologies. The proposed framework integrates CIA Triad models expanded such as the Parkerian Hexad and McCumber Cube, along with various threat modeling approaches including STRIDE, LINDDUN, and OCTAVE. This integration enables comprehensive management of cybersecurity requirements from technical, administrative, and operational perspectives. By implementing the principle of Security by Design, the framework would facilitate the inclusion of security considerations from the early stages of software design and development, offering a more cost-effective and efficient security approach compared to reactive methods. The study confirms that the proposed framework can be flexibly configured into various combinations tailored to the intended use, principle of operation, and cybersecurity regulatory policies of the target market for SaMD. Moving beyond the traditional checklist approach to technical cybersecurity requirements, this study presents a new framework that identifies cybersecurity threats and implements response strategies throughout the SaMD lifecycle. It provides a new theoretical perspective and direction in the field of SaMD cybersecurity. Ultimately, the research aims to contribute to the improvement of global competitiveness in the SaMD sector, serve as a foundational reference for cybersecurity policy development, and support the establishment of safer and more reliable digital healthcare and SaMD cybersecurity management strategies.

본 연구를 통해 디지털 헬스케어 시대의 도래와 함께 최근 활용이 급증하고 있는 소프트웨어 의료기기(Software as a Medical Device, SaMD)의 사이버보안 강화를 위한 새로운 접근방식의 사이버보안 프레임워크를 제안하는 것을 목적으로 한다. 최근 의료 분야의 데이터 유출로 인한 평균 피해액이 1,093만 달러에 달하며, 13년 연속 최고치를 기록하는 등 사이버보안 위협이 지속적으로 증가하고 있어 소프트웨어 의료기기(SaMD) 분야에서 사이버보안이 가지는 중요성 및 시급성이 대두되고 있다. 본 연구는 확장된 CIA Triad 모델과 위협 모델링 방법론을 기반으로 소프트웨어 의료기기(SaMD)의 수명주기 전반에 걸쳐 활용할 수 있는 하이브리드 사이버보안 프레임워크(hybrid Cybersecurity Framework, hCSF)를 제안하였다. 본 연구를 통해 제안된 프레임워크는 Parkerian Hexad 모델과 McCumber Cube 모델 등과 같은 확장된 CIA Triad 모델 및 STRIDE, LINDDUN, OCTAVE 등과 같은 다양한 위협 모델링 방법론을 결합하여 기술적, 관리적 및 운영적 측면의 사이버보안 요구사항을 통합적으로 관리할 수 있다. 본 연구를 통한 프레임워크는 Security by Design 원칙을 구현하여 소프트웨어 설계 및 개발 초기 단계부터 보안 요소를 고려함으로써 사후 대응적 접근방식보다 비용 효율적이고, 선제적이며 효과적인 보안체계 구축을 가능하게 할 것이다. 본 연구의 결과, 소프트웨어 의료기기(SaMD)의 의도된 사용 목적, 작용 원리 및 출시 국가의 사이버보안 규제 정책 등에 따라 조직에서 유연하게 다양한 결합형태로 구성한 맞춤형 사이버보안 프레임워크로 활용할 수 있음을 확인하였다. 본 연구는 기존의 기술적 사이버보안 요구사항 체크리스트 방식을 벗어나 소프트웨어 의료기기(SaMD) 수명주기 동안 사이버보안 위협을 식별하고, 위협에 대한 대응전략을 구현할 수 있는 프레임워크를 제안하였으며, 소프트웨어 의료기기(SaMD) 사이버보안 분야에 새로운 이론적 관점과 방향성을 제시하였다. 이를 통해 향후 소프트웨어 의료기기(SaMD)의 글로벌 경쟁력 향상에 도움을 주고, 소프트웨어 의료기기(SaMD)의 사이버보안 프레임워크 정책수립에 기초 연구자료로 활용되어 한층 더 안전하고 신뢰할 수 있는 디지털 헬스케어 및 소프트웨어 의료기기(SaMD)의 사이버보안 관리대책 마련에 기여하고자 한다.