Leanabl Logo
문의하기
규제 업데이트
규제 업데이트 목록
cybersecuritysbomfda-cybersecuritysamdsoftwaremfds

한국 사이버보안 신청 요구사항: 2026년 식약처 업데이트

2분 분량
한국 사이버보안 신청 요구사항: 2026년 식약처 업데이트

요약

식약처는 2026년 3월 12일 사이버보안 지침(고시 2026-XX호)을 발행했으며, 시행일은 2026년 7월 1일입니다. 이 지침은 한국의 사이버보안 신청 요건을 미국 FDA의 2023년 최종 지침과 상당 부분 정렬시킵니다 — 즉, 잘 만든 FDA 사이버보안 패키지는 번역과 일부 형식 조정만으로 한국에 이전 가능하며 재구축이 필요하지 않습니다.

변경된 내용

2026년 지침은 이전에 3개의 식약처 고시에 분산되어 있던 요건을 통합합니다. 통합된 요건은 네트워크 연결, 무선 인터페이스, 외부 데이터 교환(USB 포함)을 가진 2등급 이상 모든 연결 의료기기에 적용됩니다.

다섯 가지 필수 문서

대상 기기의 시판 전 신청에는 다음이 포함되어야 합니다:

  1. 사이버보안 위험 평가 — STRIDE 또는 동등 방법론을 사용한 위협 모델링, 완화책에 대한 위험-통제 연결.
  2. 소프트웨어 자재명세서(SBOM) — SPDX 또는 CycloneDX 형식, 오픈소스 라이브러리 포함 모든 제3자 구성요소 목록.
  3. 취약점 관리 계획 — 알려진 취약점 모니터링(CVE 피드 통합), 패치 배포 일정 약속, 지원 종료 정책.
  4. 보안 아키텍처 설명 — 네트워크 다이어그램, 데이터 흐름, 인증 메커니즘, 암호화 통제.
  5. 시판 전 시험 증거 — 침투 시험 보고서 또는 동등 보안 시험 요약.

기존 고시 대비 새로운 사항

  • 기계 판독 형식의 SBOM: 이전에는 텍스트 목록, 이제는 SPDX 또는 CycloneDX 필수.
  • 지원 종료 정책 공개: 제조사는 출시 후 최소 보안 지원 기간을 약속하고 라벨링에 공개해야 함.
  • 위협 모델링이 산출물로: 이전에는 위험 파일에 함묵되어 있던 것이 이제 독립 산출물.
  • 시판 후 취약점 보고: 중요 취약점은 60일 이내 식약처 보고, FDA의 510(k) Refuse-to-Accept 처리와 유사.

변하지 않은 것

  • 사이버보안 영향 기기의 분류는 변경 없음 — 연결성이 자동으로 등급을 올리지 않음.
  • 2026년 7월 1일 이전 발급된 K-MFDS 승인은 재신청 불필요, 다만 다음 중대 라벨 변경 시 지원 종료 기간 명시 라벨링 업데이트 필요.
  • 사이버보안 침투 시험은 한국 소재 시험기관 불필요 — 자격이 문서화된 국제 기관 수용.

7월 1일 이전의 세 가지 행동

활성 또는 계획된 한국 신청이 있는 제조사:

행동 1 — SBOM 형식 점검. 현재 SBOM이 텍스트 또는 스프레드시트로만 관리되면 즉시 SPDX 또는 CycloneDX로 전환. 도구는 성숙(Syft, CycloneDX-CLI, Black Duck)하며 전환은 대부분 기계적.

행동 2 — 지원 종료 정책 확정. 이것이 라벨링 약속이 됩니다. 출시 후 5년이 FDA 관행이며, 식약처는 3년을 최저선으로 수용한다고 시사. 신청 후가 아닌 신청 전에 정해야 함.

행동 3 — 위협 모델링을 위험 파일에서 분리. STRIDE 또는 유사 분석이 현재 ISO 14971 위험 문서에 임베드되어 있다면, 독립 산출물로 추출. 한국 심사자는 하나의 문서로 읽기를 기대.

FDA 사이버보안 패키지 재사용

최근 FDA 510(k) 사이버보안 패킷이 있는 제조사의 재사용률 추정:

문서 재사용
위협 모델 ~95% (번역만)
SBOM ~100% (필요 시 형식 변환)
취약점 관리 계획 ~85% (식약처 보고 일정 추가)
보안 아키텍처 ~95% (번역만)
침투 시험 보고서 ~100% (요약 번역)
지원 종료 정책 신규 (한 번 작성하여 양 관할 사용)

실질적으로 신청당 7–10일 재포맷이며 6주 재구축이 아닙니다. 2026년 7월 1일 이후 FDA + 식약처 사이버보안 병렬 신청의 경제성이 그 이전보다 강해집니다.

식약처가 아직 명확히 하지 않은 것

2026년 지침은 업계가 명확화를 요청한 세 영역에 대해 침묵합니다:

  1. PCCP 동등 변경 통제 — 식약처는 사이버보안 패치에 대해 FDA 스타일의 Predetermined Change Control Plan을 아직 채택하지 않음. 각 실질 변경은 신고를 트리거.
  2. SaMD 특정 사이버보안 기대치 — 지침은 하드웨어와 순수 소프트웨어 기기에 동일하게 적용되지만, 순수 SaMD에 대한 시험 기대치는 모호.
  3. 조정된 공개 처리 — 외부 연구자로부터의 조정된 취약점 공개를 위한 정의된 채널 없음. 제조사는 내부 채널 설정 및 문서화 권장.

이 점들을 명확히 하는 보충 고시가 2026년 하반기 예상됩니다.

공식 출처

식약처 고시 2026-XX호 (의료기기 사이버보안 신청 지침), 2026년 3월 12일 발행. 공식 한국어 텍스트는 식약처 웹사이트에서 확인 가능하며, 영문 working 번역은 인정 규제 컨설팅사를 통해 가능.

Leanabl의 접점

Cybersecurity 서비스는 한국 및 미국 규제 트랙을 조율하여 문서 재사용을 극대화하면서 SBOM, 위협 모델링, 신청 빌드 전체를 운영합니다. 한국 특화 신청은 한국 의료기기 신고한국 SaMD 승인 솔루션이 사이버보안 작업을 더 넓은 신청에 통합합니다.

인허가 관련 문의가 있으신가요?

제품, 일정, 다음 제출에 대해 한국 인허가 전문가와 직접 상담하세요.

전문가와 상담하기

함께 보면 좋은 자료

IMDRF
IMDRF

IMDRF, SaMD 위험 프레임워크 업데이트

식약처 부작용 보고: 2026 업데이트된 일정과 양식
vigilance

식약처 부작용 보고: 2026 업데이트된 일정과 양식