최근 의료 기기의 연결성이 확대되면서 사이버 보안 위협이 급증하고 있다. 의료 기기는 환자 건강과 직결돼 보안 취약점이 발생할 경우 심각한 안전 문제가 발생할 수 있다.

특히, 소프트웨어 구성 요소 목록(SBOM)을 통한 보안 취약점 관리의 중요성이 강조되고 있지만, 많은 의료 기기 제조업체(MDM)는 복잡한 규제 요구사항과 수작업 기반의 관리 방식으로 인해 시간과 비용 부담을 겪고 있다. 

기존 일반 보안 도구는 의료 기기의 특수한 규제 환경을 충분히 반영하지 못해 규정 준수가 어렵고, 잘못된 취약점 식별로 인한 오탐(false positives)이 발생하는 사례가 많다. 이에 따라 업계에서는 의료 기기 제조업체가 효율적으로 규정을 준수하고 보안 위험을 줄일 수 있는 업계 전용 솔루션의 필요성이 대두되고 있다.

의료 기기 사이버 보안 기업 메드크립트(Medcrypt)가 의료 기기 산업 특화 SBOM 취약점 관리 도구 ‘헬름(Helm)’의 개선된 기능을 발표했다. 

헬름은 의료 기기 제조업체가 규정 준수 과정을 단축하고 보안 리스크를 감소하며, 제품 출시 일정을 앞당길 수 있도록 지원한다. 

‘규정 준수 자동화·보안·수명 주기 관리’ 강화된 의료 산업 SBOM 취약점 관리 솔루션

이 솔루션은 장점은 ‘규정 준수 자동화’, ‘보안’, ‘수명 주기 관리’ 등이 있다.

①  규정 준수 자동화

이 솔루션은 FDA 제출을 위한 SBOM 보고서, 자동 취약점 재평가, 감사 대비 문서를 자동으로 생성한다. 사이클론DX(CycloneDX)와 SPDX 형식의 SBOM을 온디맨드로 생성하며, FDA에서 요구하는 취약점 공개 보고서(VDR) 및 VEX 보고서를 자동으로 작성해 제출 과정을 간소화한다.

②  보안

이번 고도화로 컴포넌트 매칭 정확도를 개선했다. 잘못된 취약점 보고를 줄여 보안 팀은 불필요한 분석에 시간을 낭비하지 않고, 실제로 위험도가 높은 취약점 대응에 집중할 수 있다.

③ 수명 주기 관리

자동화된 EOS·EOL 추적 기능으로 구성 요소의 지원 종료 상태를 직관적으로 파악하며, 업그레이드 우선순위를 정해 위험을 사전에 관리할 수 있다.

규정 준수 작업 자동화로 엔지니어의 수작업 부담이 줄어들고, 오탐률 감소로 불필요한 수정이 줄어 실제 위협 대응과 혁신에 더 많은 자원을 투입할 수 있다.

이 외에도 개발 도구와의 통합을 지원한다. CI·CD 파이프라인에 통합하면 최신 빌드와 SBOM을 동기화할 수 있고, API나 깃허브 액션(GitHub Action) 및 출시 예정인 애저 데브옵스(Azure DevOps) 확장 프로그램으로 취약점 데이터를 자동으로 가져와 티켓 시스템과 연동할 수 있다. 

향후 메드크립트는 규제 기관 및 업계 이해관계자들과 적극적으로 협력해 헬름을 지속적으로 고도화하고, 의료 기기 제조업체의 최신 사이버 보안 및 규정 준수 요구사항을 반영할 계획이다.

메드크립트 밥 라일(Bob Lyle) 최고 수익 책임자(CRO)는 “의료 기기 시장의 규제 환경은 갈수록 강화되고 있으며, 제조업체가 복잡한 규정을 준수하는 동시에 제품 혁신과 시장 출시 속도를 유지하는 것이 관건”이라며 “헬스케어 산업 전반의 사이버 보안 수준을 끌어올리고, 환자 안전을 보장하기 위해 지속적인 혁신과 협력을 이어갈 것”이라고 말했다.