FDA 사이버보안 제출을 위한 SBOM 모범 사례

템플릿 포함 내용

의료기기 사이버보안 제출을 위한 작동하는 SBOM(소프트웨어 자재명세서) 템플릿 팩:

• SPDX 2.3 템플릿 — FDA 정렬 필드(JSON과 태그-값 형식)
• CycloneDX 1.5 템플릿 — FDA 정렬 필드(JSON 형식)
• 작동 예제 — 가상 2등급 SaMD 기기에 대한 완전한 SBOM 항목
• 취약점 매핑 워크시트 — SBOM 구성요소를 알려진 CVE에 연결
• 라이프사이클 업데이트 워크플로 — 제출 후 SBOM을 최신 상태로 유지
• FDA 사이버보안 제출 커버 레터 템플릿 — SBOM 참조 포함

템플릿 팩은 FDA의 2023 의료기기 사이버보안 최종 지침과 정렬되어 있으며 식약처 2026 사이버보안 제출 요건과 호환.

SBOM 품질이 중요한 이유

FDA의 2023 최종 지침이 SBOM을 시판 전 사이버보안 제출의 필수 deliverable로 만들었습니다. 제출 기대치는 단순히 "SBOM 제공"이 아닙니다 — "심사자가 제3자 구성요소 위험 평가에 사용할 수 있는 SBOM 제공". 둘은 다름.

구성요소를 나열하지만 버전을 생략하고, 라이선스 정보가 부족하며, 알려진 취약점에 대한 링크를 제공하지 않는 약한 SBOM은 결함 발견사항과 함께 반환됨. 강한 SBOM은 심사자가 기기가 알려진 중요 취약점이 있는 구성요소를 통합하는지, 제조사가 이를 어떻게 관리하는지 빠르게 식별 가능하게 함.

우리가 본 시판 전 사이버보안 결함 서신의 약 30%가 SBOM 완전성 또는 구조와 관련. 수정은 개발 시작부터 필수 필드를 캡처하는 구조화된 템플릿.

FDA 지침당 필수 필드

FDA가 SBOM이 최소한 다음을 포함할 것을 기대:

1. 구성요소 이름 — 공식 패키지 이름(예: "OpenSSL Cryptography Library"가 아닌 "openssl")
2. 버전 — 패치 수준 포함 정확한 버전(예: "3.x"가 아닌 "3.0.7")
3. 공급자 — 발생 조직 또는 프로젝트(예: "OpenSSL Software Foundation")
4. 라이선스 — SPDX 라이선스 식별자(예: "Apache-2.0", "MIT", "GPL-3.0")
5. 구성요소 해시 — 무결성 검증을 위한 구성요소 아티팩트의 암호 해시
6. 관계 — 구성요소가 통합되는 방식(정적 링크, 동적 링크, 임베드 등)
7. 알려진 취약점 — 알려진 이슈에 대한 CVE 참조, 제조사 위험 평가 포함

강력히 권장되는 추가 필드:

• 소스 URL — 구성요소가 얻어진 곳
• 종속성 — 구성요소 자체의 종속성(전이)
• 수명 종료 상태 — 구성요소가 여전히 유지되는지 여부
• 패치 가용성 — 알려진 취약점에 대해 보안 패치 가능 여부

SPDX vs CycloneDX: 어떤 것을 사용할까

두 형식 모두 FDA 수용. 선택은 주로 도구에 관한 것.

SPDX — 엔터프라이즈 소프트웨어 공급망에서 더 넓은 채택(Linux Foundation 관리). 이미 엔터프라이즈 종속성 관리 도구(Black Duck, Snyk, Synopsys)를 사용하는 조직에 더 적합.

CycloneDX — 보안 커뮤니티에서 더 넓은 채택(OWASP 관리). 보안 중심 도구(OWASP Dependency-Track, OWASP DefectDojo)를 사용하는 조직에 더 적합.

기존 SBOM 도구가 없는 의료기기 제조사의 경우, CycloneDX가 일반적으로 시작하기 더 쉬움 — JSON 스키마가 더 단순, 생성기 도구(Syft, CycloneDX-CLI)가 성숙하고 무료, 취약점 데이터베이스와의 통합이 더 직접적.

기존 엔터프라이즈 보안 도구가 있는 대규모 제조사의 경우, SPDX가 일반적으로 이미 사용 중 — 기존 도구 기반으로 구축하는 것이 정답.

작동 예제

템플릿 팩은 가상 2등급 SaMD 기기 — 클라우드 연결 진단 영상 viewer — 의 완전한 SBOM 포함. 예제 입증:

• 응용 코드, 런타임 라이브러리, OS 종속성에 걸친 47개 소프트웨어 구성요소
• 허용 라이선스(MIT, Apache-2.0), copyleft 라이선스(LGPL-3.0), 독점(벤더 SDK) 혼합
• 전이 종속성 캡처(구성요소 A → 구성요소 B → 구성요소 C)
• 알려진 취약점 매핑(2개 구성요소가 문서화된 위험 평가와 함께 알려진 CVE 보유)
• 라이프사이클 상태 지표(한 구성요소가 수명 종료에 접근)

예제 파일은 JSON 형식으로 약 800줄. "좋은 것이 어떻게 보이는지"의 참조로 의도 — 대부분의 실제 기기는 아키텍처에 따라 30–200개 구성요소 가짐.

취약점 매핑 워크플로

SBOM 자체를 넘어, FDA는 제조사가 SBOM 구성요소에 영향을 주는 알려진 취약점을 어떻게 모니터링하고 응답하는지에 대한 증거를 기대.

포함된 워크시트가 각 취약 구성요소에 대해 캡처:

• CVE 식별자와 CVSS 점수
• 영향받는 구성요소 버전
• 기기의 구성요소 사용이 취약점에 노출되는지(일부 취약점이 기기가 사용하지 않는 기능에 영향)
• 제조사 위험 평가
• 완화 계획(패치, 구성 변경, 보상 통제, 위험 수용)
• 완화 상태와 목표 일자

이 워크시트는 FDA 사이버보안 제출이 요구하는 취약점 관리 계획과 통합. SBOM이 입력; 워크시트가 운영 출력.

라이프사이클: SBOM은 일회성이 아니다

흔한 실패 모드: 제조사가 시판 전 제출용 깨끗한 SBOM을 생산하고 허가 후 유지하지 않음. 6개월 후 SBOM이 stale, 새 CVE가 등장, 시판 후 취약점 관리 증거가 갭을 보임.

템플릿의 라이프사이클 업데이트 워크플로가 다룸:

• 각 빌드에 묶인 자동 SBOM 재생성(CI/CD 통합)
• 취약점 스캔 케이던스(월간 최소, 주간 선호)에 묶인 주기적 SBOM 검토
• 구성요소 변경 시 트리거된 SBOM 업데이트
• SBOM 버전 관리와 아카이브(사건 분석을 위해 역사적 SBOM 접근 가능하게 유지)
• 변경 통제 기록에서 SBOM 버전으로의 교차 참조

이 워크플로를 운영하는 제조사는 등장하는 취약점에 의미 있게 빠른 응답 보고 — 일반적으로 CVE 공개에서 완화 계획까지 주가 아닌 일.

한국 식약처 제출과의 통합

2026 식약처 사이버보안 지침(2026년 7월 1일 시행)이 FDA와 실질적으로 같은 필드 요건으로 SPDX 또는 CycloneDX 형식의 SBOM 수용. FDA 제출용으로 구축된 SBOM이 한국어로 모든 narrative 필드(구성요소 설명, 위험 평가) 번역과 함께 식약처에 재사용 가능.

이는 두 관할 사이버보안 제출 가로질러 가장 큰 재사용 가능성 지점 중 하나. SBOM 워크플로를 잘 구축하는 제조사가 FDA와 식약처 사이버보안 패키지 사이 90%+ 콘텐츠 재사용 보고.

흔한 SBOM 실수

실수 1: 직접 종속성만 나열. 전이 종속성이 종종 취약 구성요소 포함. SBOM이 전체 종속성 트리 포함해야.

실수 2: 모호한 버전. "OpenSSL 3.x"는 수용 불가. "OpenSSL 3.0.7"의 정확한 패치 수준 필요.

실수 3: 누락된 라이선스 정보. 오픈소스 구성요소도 라이선스 가짐. 라이선스 필드는 비워둘 수 없음.

실수 4: 내부 회사 라이브러리를 다르게 다루기. 1차 내부 라이브러리도 여전히 구성요소이며 SBOM에 속함. 라이선스는 회사가 내부적으로 사용하는 것(종종 독점).

실수 5: 움직이는 코드베이스의 정적 SBOM. 제출 시점에 수동 생성된 SBOM이 허가 시점까지 stale. 빌드 프로세스에 묶인 자동 생성이 필수.

다운로드

SBOM 템플릿 팩 다운로드 — SPDX와 CycloneDX 템플릿, 작동 예제, 취약점 매핑 워크시트, 라이프사이클 워크플로 가이드 포함.

Leanabl의 접점

Cybersecurity 서비스가 SBOM, 위협 모델링, 취약점 관리 계획을 포함한 전체 시판 전 사이버보안 제출 준비를 운영. 한국 컨텍스트에서 SaMD 특정 사이버보안 작업을 위해 한국 SaMD 승인이 사이버보안을 더 넓은 제출에 통합합니다.