MDS2란?: Manufacturer Disclosure Statement for Medical Device Security
의료기기 사이버보안 공부 중 MDS2의 개념이 튀어나왔다.
MDS2는 Manufactuer Disclosure Statement for Medical Device Security의 줄임말로, 한국어로 해석해보면 "의료기기 보안에 대한 제조업체의 공개 서명" 정도로 풀어볼 수 있다.
그렇다면, 이런 MDS2는 누가, 언제 만들어졌으며, 무엇을 위한 것이고, 어떻게 작성하는 것인가?
※ 누가, 언제 만들었는가?
MDS2는 Amedical National Standards Institute - 미국 국가 표준 협회에서 제정한 Standard이다.
(MDS2는 규격의 줄임말이고, 정확한 규격명은 ANSI/NEMA HN 1-2019이다.)
미국 국가 표준 협회는 미국에서 제품, 서비스, 과정, 시스템 인력관리 분야에서 표준을 개발하는 것을 감독하는 비영리 민간 기구라고 한다.
규격명에 2019의 표시가 있는 것으로 보아, 2019년에 개정된 것으로 보인다.
왜 개정이라고 표현했냐면, ANSI/NEMA HN 1-2013이 최초 발행 규격이기 때문이다.
규격 적용은 SOTA를 원칙으로 하기 때문에, 본 글에서는 2019 버전만 알아보기로 한다.
※ 무엇을 위한 규격인가?
ANSI/NEMA HN 1-2019 규격의 "Scope"에는 다음과 같이 나와있다.
"MDS2 양식에서 제공되는 정보는 의료기기 보안 능력의 관리에서 보안 위험 평가를 수행하는 것에 대한 전문 책임을 보조하는 것을 목표로 하고 있다."
즉, 사이버보안 측면에서 의료기기의 안전과 성능에 대한 위험 관리 수행을 보조하는 내용을 제시하고 있다.
헬스케어 제공 조직 (Healthcare Delivery Organization)과 의료기기 제조업체 (Medical Device Manufactuer)의 역할을 나타내고 있으며, 이 중 우리가 관심을 가지는 의료기기의 제조업체는 다음의 정보와 같은 보안 관리 프로그램에서 헬스케어 제공 조직을 보조할 수 있어야 한다고 명시하고 있다.
a. 제조업체 기기에서 저장하고 송수신하는 데이터의 종류.
b. 제조업체 기기에서 데이터를 저장/송수신하는 방법.
c. 제조업체 기기에서 포함하고 있는 보안과 관련된 특징들.
그리고 이를 위한 양식을 제공하고, 양식을 작성하는 방법에 대한 가이드를 제공한다.
※ 어떻게 작성하는가?
MDS2 규격은 질문지의 형태로 되어 있다.
예를 들어, 해당 규격의 2.3.3 항 "Management of Personally Identifiable Information (MPII) - 개인 식별 정보의 관리"에서는 다음과 같은 질문들이 있다.
MPII-1: 해당 기기가 개인 식별 정보를 표시하거나, 송수신하거나, 저장하거나, 수정하는가? 만약 그렇다면, 이와 관련된 상세 설명을 제공하시오.
MPII-2: 해당 기기는 개인 식별 정보를 유지 관리 하는가?
MPII-3: 해당 기기는 개인 식별 정보를 일시적으로 휘발성 메모리에서 유지 보수 하는가? (예를 들어, 전원 온오프 시, 포맷되는 메모리)
......
상기와 같이 제공되는 질문에 대해 해당되면, 해당 표시를 하고 그에 대한 상세한 내용을 작성하면 된다.
총 22개의 항목으로 구성되어 있으며, 225개의 질문지가 있다.
안타깝게도, 모든 질문에 대해 가이드라인이 제공되는 것은 아니다.
이 글을 보는, RA 담당자는 이런 생각을 할 수 있다. "그럼 이 양식을 또 만들어야 하나,,?ㅠㅠ"
낙심하지 않아도 된다. 불행 중 다행으로, 친절한 ANSI/NEMA 기관은 엑셀로 된 양식을 함께 제공하고 있다.
해당 규격과 양식은 ANSI 홈페이지에서 무료로 다운로드 받을 수 있으므로, 필요할 시 아래의 링크를 통해 다운받으면 된다.
https://webstore.ansi.org/standards/nema/ansinemahn2019
ANSI/NEMA HN 1-2019 - Manufacturer Disclosure Statement for Medical Device Security
Already Subscribed to this document. Your Alert Profile lists the documents that will be monitored. If the document is revised or amended, you will be notified by email. You may delete a document from your Alert Profile at any time. To add a document to yo
webstore.ansi.org
새롭게 양식을 꾸미고, 설계를 반영해야 하는 것은 아니지만,
질문지의 양이 많고, 그에 대한 상세 설명을 기재해야 하므로 짧은 시간이 소요되는 과정은 아니라고 단언할 수 있다.
MDS2가 FDA에 강제적으로 포함되는 서류인지는 아직 확실하지 않다.
우선 FDA Cybersecurity guidance에는 MDS2에 대한 언급이 없기 때문이다.
아직까지 어떤 기준으로 MDS2를 요구하는지 확실하지 않으나, 나중에 알게되면 업데이트할 예정이다.
(사이버보안에 대한 FDA guidance는 아래의 링크를 참고.)
https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity
Cybersecurity
Cybersecurity information related to medical devices and radiation-emitting products.
www.fda.gov