이희조 고대 교수 "의료분야, 고위험 취약점 80%...취약점 관리 필수"

현대 의료기기는 복잡한 사이버물리시스템으로 돼 있다. 혈압, 심전도, 센서와 펌프, 로봇 등 물리적 요소를 비롯해 펌웨어, 제어 알고리즘, AI 기반 진단 모듈 등 사이버 요소, 환자 생체신호 변화에 따라 즉각 반응이 필요한 실시간 제어가 결합돼 있다.

그런데 의료분야는 고위험 취약점을 포함하고 있다. 2022년 시놉시스에 따르면 의료분야 코드 80%가 고위험 취약점을 포함하고 있다. 또한 많은 오픈 소스를 사용하고 있다. OS는 리눅스, Open SSL, AI OpenCV, TensorFolw 등 다양하게 활용하고 있다.

이에 대해 이희조 고려대 교수는 JW 메리어트동대문 스퀘어 서울서 열린 'IoTcube Conference 2025'에서 "취약점 본질은 투명성 문제"라고 지적했다. SBOM을 연계한 안전하게 취약점 관리가 돼야 한단 주장이다.

이는 의료기기가 환자의 생명과 안전에 직결돼 있어 보안이 매우 중요하기 때문이다. 미국 FTA는 FD&C Act 524B(Omnibus법)와 사이버시큐리티 메이컬 디바이스 가디언스(Cybersecurity in Medical Devices Guidance) 법적 근거에 따라 SBOM을 요구하고 있다. 글로벌 수출 기업의 경우 SBOM 준비는 필수인 셈이다.

이러한 글로벌 규제가 기업에 영향을 끼치며, SBOM 도입을 견인하고 있다. 하지만 자동으로 SW 취약점을 검증해주는 플랫폼을 활용해 효율성 있는 SBOM 체계가 이뤄져야 한단 주장이다. 특히 SBOM과 연계한 취약점 관리 플랫폼 VEX로 재편되는 분위기다.

VEX(Vulnerability Exploitability exchange)는 검증 자동화 기술로 SW 취약점을 찾아 알려주는 문서다. SBOM 자동 생성 및 검증, 취약점을 검증한다. 특히 비전문가도 드래그앤드롭만으로 취약점 탐지 가능하다.

이희조 고려대 교수는 "현대 의료기기는 점점 더 복잡해지고 위험도가 커지고 있다"며 "보안 내재화를 위한 취약점 관리가 필요하다. 특히 비전문가도 쉽게 자동으로 취약점 탐지가 가능한 플랫폼을 활용해 SW 취약점 검사 및 검증해 투명하게 취약점 관리가 돼야 한다"고 강조했다.

Related Materials

• 세계의 헬스케어 사이버 보안 시장 예측(2025-2030년) - Giikorea , 2024년
• Health-ISAC 해킹 헬스케어 8-9-2024 - Health-ISAC , 2024년
• 세계의 의료 정보 기술(IT) 보안 시장 보고서(2025년) - Giikorea , 2024년

″의료기기, 미국시장 진출하려면 사이버 보안부터 챙겨야”

💡Editor’s Pick - 의료기기 출시 전 사이버 보안 적용해 환자 치료 중단되지 않도록 해야 - 의료기기 제조사, 미국 진출 시 사이버보안 엔지니어링 법 적용 받아 미국 시장에 진출하려는 의료기기 제조사는 사이버보안 엔지니어링 법을 적용받아 의료기기의 사이버 보안을 강화해야 한다. 의료기기 출시전부터 사이버 보안을 적용해 의료기관 임상 현장에서 환자 치료가

The Tech EdgeCheifEditor