VWAY2026 스마트 의료 안전 컨퍼런스

Part 1. SaMD 제조업체의 사이버보안
관리체계 구축·운영 어프로치 분석

도입과 운영, 두 축에서 바라본 세 가지 옵션의 구조적 비교

0 왜 지금 이 논의인가

2025년 1월 디지털의료제품법 시행, 2025년 4월 식약처 「디지털의료기기 전자적 침해행위 보안지침」 고시, 이어진 심사 업무지침서와 민원인 가이드라인까지 — SaMD 제조업체에게 사이버보안은 더 이상 품질활동의 하위 항목이 아니라 허가·변경관리·사후관리와 직접 연결된 규제 대응 영역이 되었습니다.

"제품의 보안성""조직의 운영체계"가 동시에 요구되며,
심사 제출자료와 실제 운영이 일치해야 한다.

따라서 제조업체의 선택지는 "보안 기능을 넣느냐"가 아니라 "어떤 어프로치로 관리체계를 도입하고 운영할 것인가"입니다. 강의 초반부에서는 이 선택지들을 구조적으로 분석합니다.

1 분석 프레임 — 두 축, 세 옵션

SaMD 제조업체가 고려할 수 있는 어프로치는 도입(Build)운영(Operate)의 두 축으로 나뉘며, 각 축에서 세 가지 옵션이 존재합니다.

구분도입 단계운영 단계
옵션 1 자체 수립 자체 운영
옵션 2 외부 전문가 조력 수립 외부 전문가 운영 대행
옵션 3 AI 활용 AI 적용
옵션 1·2는 "주체"의 문제, 옵션 3(AI)은 "수단"의 문제.
AI는 단독 어프로치라기보다 1과 2를 가속·보강하는 레이어로 이해해야 합니다.

2 도입 어프로치 분석

2.1 자체 수립

내부 인력이 정책·절차·양식·운영기준을 직접 설계·정착시키는 방식.

✓ 강점

  • 제품 아키텍처·SDLC·조직 문화에 최적화된 설계 가능
  • 장기적 내재화, 외부 의존도 최소화
  • 초기 컨설팅 비용 절감

⚠ 약점

  • 규제 해석 오류 리스크 (IEC 62304 등 해석 편차)
  • 수립 기간 장기화 (6~12개월)
  • "문서는 있으나 운영은 안 되는" 형식화 위험
적합 조건: RA/QA·SW개발 리더가 내부에 있고, 제품 수가 적으며, 장기 내재화를 지향하는 조직.

2.2 외부 전문가 조력 수립

컨설팅사·전문기관의 도움을 받아 단기간에 체계를 구축하되 운영 주체는 내부가 유지하는 방식.

✓ 강점

  • 법령·고시·심사 기대수준을 즉시 반영 → 인허가 리스크 최소화
  • 3자 관점의 Gap 분석으로 사각지대 해소
  • 수립 기간 단축 (3~6개월), 표준 템플릿 조기 확보

⚠ 약점

  • 초기 비용 발생
  • 외부 산출물이 내부 현실과 괴리 시 "형식 문서" 고착
  • 내부 온보딩이 약하면 운영 전환 실패
성공 조건: 컨설턴트가 "문서를 대신 써주는" 구조가 아니라, 내부 실무자 워크숍 기반으로 공동 설계해야 합니다. 인수인계와 모의점검이 종료 시점의 핵심 활동입니다.

2.3 AI 활용

도입 단계에서 AI는 수립을 대체하지 않고 가속합니다.

✓ 효과적 활용 영역

  • 법령·고시·가이드 기반 Gap 분석 자동화
  • 정책서·절차서·체크리스트 초안 생성 (시간 60~80% 단축)
  • STRIDE/TARA 기반 위협 시나리오 초안 도출
  • 심사 제출자료 간 정합성 점검
  • 교육자료·FAQ 자동 생성

⚠ 한계와 통제 원칙

  • 규제 해석의 최종 판단과 환자안전 영향은 사람이 책임
  • 민감 정보를 공개형 AI에 입력하는 것은 통제 필요
  • AI 산출물도 기록 관리, 사람의 검토·승인 절차 필수

3 운영 어프로치 분석

3.1 자체 운영

내부 조직이 취약점 모니터링, 변경 검토, 사고 대응, 문서 유지관리를 직접 수행.

✓ 강점

  • 제품·고객·배포환경에 대한 깊은 이해 → 대응 속도와 정확도
  • 개발·QA·CS와 자연스러운 연계
  • 역량의 조직 내 축적

⚠ 약점

  • 24/7 모니터링 체계 유지의 현실적 어려움
  • 고급 보안 분석 인력 채용·유지의 고정비
  • 일상업무에 밀려 정기점검 형식화 가능성

3.2 외부 전문가 운영 대행

취약점 모니터링, 정기점검, 사고 대응 지원 등을 외부 전문기관(MSSP)이 수행.

✓ 강점

  • 24/7 SOC, 최신 위협 인텔리전스 활용
  • 내부 인력 부족 완화
  • 객관적 점검으로 사각지대 해소

⚠ 약점과 한계

  • 지속적인 구독·위탁 비용
  • 제품·임상 맥락 이해 부족 시 오탐 증가
  • 법적 책임은 위탁해도 제조업자에게 귀속
현실적 모델: 완전 대행보다 부분 대행형이 효과적 — 월간 취약점 모니터링, 분기 정기점검, 반기 문서 갱신 리뷰, 사고 발생 시 포렌식 지원, 심사 직전 집중 지원.

3.3 AI 적용

운영 단계는 AI의 효과가 가장 크게 나타나는 영역입니다.

✓ 효과적 활용 영역

  • SBOM + CVE 자동 매칭: 컴포넌트 목록과 신규 CVE를 자동 대조, CVSS 기반 우선순위 자동 알림
  • AI 이상 탐지: 접근 로그·API 호출 패턴의 정상 베이스라인 학습, 편차 탐지
  • 사고 대응 어시스턴트: 증상 입력 시 플레이북 가이드, 식약처 신고 양식 초안 생성
  • 정기 보고서 자동화: 취약점·패치·사고 이력 집계, 보고서 초안 생성
  • 변경영향분석 보조: 변경요청서와 위험평가서 간 영향항목 자동 추출

⚠ 통제 원칙

  • AI는 "보조", 최종 판단은 사람
  • Human-in-the-Loop 필수
  • AI 자동화 실패 감지 알림·수동 점검 병행

4 어프로치 비교 요약

도입 단계

기준자체 수립외부 조력 수립AI 활용
초기 속도 느림 빠름 매우 빠름
규제 해석 정확도 내부 역량 의존 높음 검토 없으면 불안정
내재화 수준 높음 중~높음 낮음~중
문서 품질 일관성 편차 큼 비교적 높음 매우 높음
단독 권장도 제한적 가장 권장 보조수단

운영 단계

기준자체 운영외부 운영 대행AI 적용
제품 이해도 매우 높음 중간 낮음
지속 가능성 인력 확보 시 높음 계약 의존 운영체계 의존
전문분석 깊이 편차 큼 높음 보조적
비용 구조 인건비 중심 용역비 중심 도구·통제비
단독 권장도 필수 기반 부분 대행 권장 강한 보조수단

5 결론 — 어느 하나만으로는 부족하다

세 옵션을 개별적으로 분석하면 공통된 결론이 도출됩니다.

  1. 자체만으로는 느리고 위험하다 — 규제 해석 편차, 수립 기간, 전문성 공백
  2. 외부만으로는 내재화가 안 된다 — 문서는 완성되나 운영은 공회전
  3. AI만으로는 책임을 질 수 없다 — 가속기일 뿐, 판단과 승인은 사람의 몫
SaMD 제조업체가 마주한 현실은 "하나를 선택하는" 문제가 아니라
"어떻게 조합할 것인가"의 문제입니다.
도입 단계 최적해
외부 전문가 조력 + AI 가속 + 내부 책임 승인
운영 단계 최적해
자체 운영 중심 + 외부 부분 대행 + AI 자동화

이것이 초반부 분석이 가리키는 방향이며, 이어지는 중반부에서는 "그렇다면 컨설팅사들은 이 수요에 어떻게 대응하고 있는가"를 분석하고, 후반부에서 구체적인 실행 방안을 제시하겠습니다.

키보드 화살표로 탭 이동