NEWSkillSec — AI Skill 보안을 '악성코드 탐지'에서 '능력 감사'로SkillSec자세히 보기 →
컴플라이언스

의료기기의 SBOM 시대: FDA '접수 거부' 이후의 세계

Sectrend 리서치·2026.07.18·4 분 분량

의료기기는 SBOM을 시장 진입의 절대 조건으로 써넣은 세계 최초의 산업이다. 2023년 3월부터 FDA는 연방법에 신설된 524B 조항에 근거해 네트워크 기능을 가진 의료기기에 '접수 거부(refuse-to-accept)' 정책을 적용한다. 시판 전 신청 자료에 SBOM과 사이버보안 문서가 없으면 실질 심사에 들어가기 전에 반려된다. 가이드라인도 권고도 아닌, 접수 창구의 강제 점검 항목이다. 해외 진출 기기 업체들이 가장 먼저 그 온도를 느꼈고, 같은 논리가 전 세계 규제 당국의 공통 언어가 되고 있다.

3개 관할권의 규제 요구

미국 FDA: 524B 조항은 '사이버 기기'에 SBOM 제공, 취약점 모니터링·공개 프로세스 운영, 수명주기 전반의 보안 업데이트 능력을 요구한다. 시판 전 사이버보안 가이던스는 요구를 위협 모델링, 보안 아키텍처 문서, 침투 테스트 증적으로 구체화했다. 중국 NMPA: '의료기기 사이버보안 등록 심사 지도원칙'은 등록 신고 시 사이버보안 기술 문서 제출을 요구하며, 여기에 기성 소프트웨어(오픈소스 컴포넌트 포함)의 목록과 유지보수 계획이 포함된다. 실질적으로 중국 규제 언어의 SBOM 요구이며, 시판 후 보안 업데이트에도 명확한 변경 관리 경로가 정의돼 있다. EU: 의료기기는 MDR/IVDR 체계가 커버하며(그래서 CRA에서 제외되지만 요구는 수렴한다), MDCG 사이버보안 가이던스 역시 제3자 소프트웨어 컴포넌트 리스크 관리를 요구한다.

세 관할권의 공통분모는 분명하다. 규제가 심사하는 것은 '오픈소스를 썼는가'가 아니라 '무엇을 쓰고 어떻게 지속 유지보수하는지를 명확히 알고 있는가'다.

의료 업계 고유의 세 가지 딜레마

초장기 수명주기와 '화석 컴포넌트'. 영상 장비의 가동 기간은 10년부터 시작하는데, 그 소프트웨어 스택 속 OS·미들웨어·오픈소스 라이브러리는 가동 도중에 차례로 유지보수가 끝난다. 레거시 시스템으로 도는 병원 장비는 지금도 흔하다. 지원 종료 컴포넌트는 이 업계에서 기술 부채가 아니라 시간과 함께 커지는 환자 안전 노출이다.

'패치를 두려워하는' 딜레마. 소프트웨어 변경이 등록 변경 절차를 촉발할 수 있어 제조사는 '건드리지 않을 수 있으면 건드리지 않는' 쪽으로 기운다. 그러나 규제 당국의 입장은 이미 명확하다. 통상적 사이버보안 패치는 대개 재등록이 필요한 중대 변경에 해당하지 않으며, FDA와 NMPA 모두 보안 업데이트를 위한 신속 경로를 열어 두고 있다. 진짜 병목은 규제가 아니라 '이 취약점이 어느 모델에 영향을 주고 패치가 무엇을 바꾸는지'를 신속히 판단할 능력의 부재인 경우가 많다. 바로 컴포넌트 대장이 해결하는 문제다.

외부 조달 소프트웨어의 높은 비중. 기기 제조사는 상용 SDK, 알고리즘 라이브러리, 구매 모듈을 대량 통합하며 소스 코드를 못 받는 것이 일상이다. SBOM의 완전성은 바이너리 성분 분석으로 조달 부분을 채워야 성립하며, 자체 개발 코드만 덮는 목록은 FDA 보완 요구 앞에서 버티지 못한다.

실행 요점

첫째, SBOM을 등록 자료 파이프라인에. SCA 플랫폼으로 전체 소프트웨어 자산(자체 개발+기성+조달 바이너리)에서 기계 판독 가능 SBOM(SPDX/CycloneDX)을 생성하고, 소프트웨어 버전마다 자동 갱신해 신고 자료와 연차 보고서에서 직접 인용한다. 형식과 깊이 선택은 SBOM 완전 가이드를 참고하라. 둘째, 취약점 모니터링 프로세스를 규제 기대에 정렬. 새 인텔리전스를 판매 중 모델에 자동 대조해 '영향 모델 목록+위험 평가+조치 계획' 3종 세트를 산출한다. 이것이 FDA 취약점 관리 심사가 찾는 증적의 형태다. 셋째, '기성 소프트웨어 유지보수 계획'을 실체화. NMPA의 유지보수 계획은 템플릿 문서가 아니다. 심사 추세는 계획과 실제 버전 상태의 일치 확인이며, 대장과 계획의 괴리는 빈번한 보완 지적 사항이다.

의료기기 업계는 수십 년에 걸쳐 품질 시스템으로 물리적 리스크를 관리하는 법을 배웠다. 규제 당국은 지금 같은 체계화 요구를 소프트웨어 공급망에 복제하고 있다. SBOM은 입장권일 뿐이다. 그 너머에서 심사되는 것은 소프트웨어 리스크를 지속 관리하는 조직 역량이다.

의료기기SBOMFDANMPA사이버보안 심사

관련 글

딥다이브

SBOM은 컴플라이언스 체크리스트 그 이상이다

많은 팀이 SBOM을 '제출할 서류'로 취급한다. 하지만 가치 있는 SBOM은 의사결정을 이끈다——어떤 취약점이 악용 가능한지, 어떤 의존성을 먼저 고칠지, 어떤 라이선스가 리스크를 안고 있는지.