의료 소프트웨어

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사
3. 의료기기 소프트웨어
- 3.1. 의료기기로서의 소프트웨어(SaMD; Software as Medical Device)
4. 국제 표준
- 4.1. IEC 62304
- 4.2. IMDRF의 SaMD
5. 법률 및 규제
- 5.1. 대한민국
- 5.2. 일본
6. 보안(Security)
참조

1. 개요

의료 소프트웨어는 1960년대부터 사용되기 시작하여, 의료 분야의 정보 처리 시스템과 데이터 및 운영 관리에 활용되었다. 1990년대에는 의료기기 소프트웨어의 발전이 두드러졌으며, 2009년 미국의 HITECH 법안은 전자 건강 기록 채택과 의료 소프트웨어 혁신을 촉진했다. 의료기기 소프트웨어는 국제 표준 IEC 62304에 따라 개발되며, 소프트웨어 단독으로 의료기기의 기능을 하는 SaMD(Software as Medical Device)는 규제 사각지대에 놓여 있었으나, 국제 의료기기 규제 당국 포럼(IMDRF)을 통해 규제 방안이 마련되었다. 의료 소프트웨어는 환자 안전과 개인 정보 보호를 위해 보안이 중요하며, 관련 법률 및 규제가 존재한다.

더 읽어볼만한 페이지

의료 소프트웨어
개요
"의료 소프트웨어는 환자 치료를 개선하기 위해 사용된다."
정의
의료 소프트웨어	환자의 건강 상태와 관련된 목적으로 사용되는 소프트웨어.
범위	의료 기기 자체에 내장된 소프트웨어 의료 기기 액세서리 독립형 소프트웨어 의료 정보 시스템
분류
의료 기기 규정 당국 분류 기준	Class A: 낮은 위험 Class B: 중간 위험 Class C: 높은 위험
기능 기반 분류	진단 소프트웨어 치료 소프트웨어 모니터링 소프트웨어 환자 관리 소프트웨어 연구 소프트웨어
주요 기능
환자 데이터 관리	환자 정보, 병력, 치료 기록 등을 저장하고 관리.
진단 지원	의료 영상을 분석하고 질병 진단을 돕는 기능.
치료 계획	환자 상태에 맞는 최적의 치료 계획을 수립하는 기능.
원격 모니터링	환자의 상태를 원격으로 모니터링하고 관리하는 기능.
기술적 고려 사항
데이터 보안	환자 정보 보호를 위한 강력한 보안 시스템 구축 필요.
상호 운용성	다양한 의료 기기 및 시스템과의 호환성 확보 필요.
사용자 인터페이스	의료진이 쉽게 사용할 수 있는 직관적인 인터페이스 제공 필요.
규정 준수	의료기기 관련 규정 및 표준 준수 필요.
개발 프로세스
요구 사항 분석	사용자 요구 사항 및 규제 요구 사항을 정확히 파악.
설계	소프트웨어 아키텍처 및 모듈 설계.
구현	코딩 및 단위 테스트.
테스트	통합 테스트, 시스템 테스트, 사용자 수용 테스트.
유지 보수	소프트웨어 업데이트 및 버그 수정.
규제 기관
미국	FDA
유럽	EMA
대한민국	MFDS
미래 전망
인공지능	인공지능 기반 진단 및 치료 소프트웨어 개발 활발.
웨어러블 기기	웨어러블 기기와 연동된 건강 관리 소프트웨어 개발 증가.
원격 의료	원격 의료 서비스를 위한 소프트웨어 솔루션 개발 확대.

2. 역사

의료 소프트웨어는 적어도 1960년대부터 사용되기 시작했는데,^[28]^[4] 이 시기는 록히드가 병원 분야에서 최초로 전산화된 정보 처리 시스템 도입을 검토하던 때였다.^[29]^[30]^[5]^[6] 1970년대 후반과 1980년대에 컴퓨팅이 더욱 널리 보급되고 유용해지면서, 의원을 포함한 의료 산업 전반에서 데이터 및 운영 관리 도구로서 '의료 소프트웨어'라는 개념이 확산되었다.^[31]^[32]^[7]^[8]

1990년대 초까지 의료 소프트웨어는 핵의학, 심장학, 의료 로봇 등의 분야에서 사용되는 의료기기에서 더욱 두드러지게 되었다. 특히 Therac-25 방사선 치료 장치 사고는 의료 소프트웨어의 안전성 문제에 대한 경각심을 높였고, 관련 연구 및 입법 활동을 촉발하는 계기가 되었다.^[33]^[34]^[9]^[10] 1993년 유럽 의료기기 지침^[26]^[1]과 ISO 9000-3 표준^[33]^[9]의 개발은 의료기기 및 관련 소프트웨어에 대한 법규를 조화시키는 데 기여했다. 이후 2006년에는 IEC 62304 표준이 제정되어 의료기기 소프트웨어의 개발 및 시험 방법이 더욱 강화되었다.^[35]^[11] 미국 식품의약국(FDA) 역시 의료기기에 내장되거나 의료기기 자체로 사용되는 소프트웨어에 대한 지침을 제공하고 규제를 시행해왔다.^[46]^[36]^[37]^[2]^[12]^[13]^[14]

휴대용 심박수 변이도(HRV) 장치는 의료기기 소프트웨어를 포함하는 의료 기기의 한 예이다.

전자 건강 기록(EHR)의 채택과 전자 임상 데이터의 활용이 증가하면서 의료 소프트웨어 혁신이 더욱 확대되었다. 특히 미국에서는 2009년 HITECH 법안 통과를 계기로 EHR 도입 및 관련 기술 개발에 상당한 자원이 투입되었다.^[15]

3. 의료기기 소프트웨어

의료 소프트웨어는 1990년대 초부터 핵의학, 심장학, 의료 로봇 등의 분야에서 의료기기의 중요한 부분으로 자리 잡기 시작했다.^[33]^[34] 특히 Therac-25 방사선 치료 장치 사고와 같은 사건들은 의료 소프트웨어의 안전 중요성을 부각시키며 관련 연구와 규제 강화를 촉발하는 계기가 되었다.^[33]^[34] 이러한 배경 속에서 1993년 유럽 의료 기기 지침^[26]과 ISO 9000-3 표준^[33]이 제정되었고, 2006년에는 의료기기 소프트웨어의 개발 및 시험 기준을 강화하는 IEC 62304 표준이 추가되었다.^[35]

국제 표준인 IEC 62304는 의료기기 소프트웨어를 "개발 중인 의료 기기에 통합되거나 자체 의료 기기로 사용하기 위한 목적으로 개발된 소프트웨어 시스템"으로 정의한다.^[35] 미국 식품의약국(FDA) 역시 "[의료 기기]의 법적 정의를 충족시키는 모든 소프트웨어는 의료 기기 소프트웨어로 간주한다"는 입장을 밝히고 있으며,^[38] 의료 기기에 내장되거나 의료기기 자체로 사용되는 소프트웨어에 대한 지침과 규제를 제공하고 있다.^[46]^[36]^[37] 유럽 연합(EU) 또한 2007년 유럽 의료기기 지침 개정을 통해 소프트웨어가 "진단 및/또는 치료 목적으로 특별히 사용"될 경우 의료기기로 간주될 수 있음을 명확히 했다.^[39]

이처럼 의료기기 소프트웨어는 광범위한 개념을 포괄하기 때문에 다양한 기준으로 분류될 수 있다. 예를 들어, 기술적 특성(의료기기 내장형 또는 독립 실행형), 안전 등급(단순 정보 제공부터 생명 유지 관련 기능까지), 또는 주요 기능(치료, 교육, 진단, 데이터 관리 등)에 따라 분류하는 방식이 제안되고 있다.

3. 1. 의료기기로서의 소프트웨어(SaMD; Software as Medical Device)

21세기에 스마트폰 사용이 급증하면서 수많은 독립형 건강 및 의료 관련 소프트웨어 앱이 등장했고, 이 중 상당수는 규제 관점에서 애매한 위치에 놓이게 되었다.^[18] 기존에는 의료기기에 내장된 소프트웨어는 관리 대상이었지만, 의료 하드웨어와 분리된 의료 소프트웨어, 즉 국제 의료기기 규제 당국 포럼(IMDRF)이 "의료기기로서의 소프트웨어"(SaMD, Software as a Medical Device)라고 명명한 유형은 기존 규제의 사각지대에 놓였다.^[19]

미국에서는 FDA가 2011년 7월 '모바일 의료 앱'에 대한 지침 초안을 발표했다. 일부 법률 전문가는 이 지침이 사실상 모든 소프트웨어에 적용될 수 있다고 해석했는데, 이는 모바일 앱이 규제 대상 의료 앱인지 판단하는 기준이 일반 소프트웨어 규제 기준과 동일하기 때문이었다.^[20] 이 지침에 해당될 수 있는 모바일 앱의 예시로는 설치된 인공 심장 박동기 제어, 암성 병변·X선·MRI 이미지 분석, EEG 파형과 같은 그래픽 데이터 표시 앱 등이 있다. 또한 병상 모니터, 임상 소변 검사 분석기, 혈당 측정기, 청진기, 폐활량 측정기, 체질량 지수 계산기, 심박수 측정기, 체지방 계산기 등도 포함될 수 있었다.^[21]

그러나 2013년 말 최종 지침이 발표될 무렵, 미국 의회 의원들은 이 지침이 향후 어떻게 사용될지, 특히 당시 발의된 SOFTWARE 법안과의 관계에 대해 우려를 표명하기 시작했다.^[22] 비슷한 시기에 IMDRF는 SaMD에 대한 국제적인 접근 방식을 연구하고 있었으며, 2013년 12월에는 핵심 정의를 발표하며 "규제 당국들이 SaMD 규제에 대한 공통된 기준을 마련하는 데" 중점을 두었다.^[19] IMDRF는 SaMD가 "의료 목적을 달성하기 위해 반드시 하드웨어 의료기기가 필요한 것은 아니다"라는 점을 명확히 했다. 즉, SaMD는 그 자체로 의료기기 기능을 수행할 수 있으며, 다른 의료 기기의 모듈로 사용되거나 인터페이스될 수도 있다.^[19] 이 그룹은 2015년에 SaMD에 대한 품질 관리 시스템 원칙을 추가로 발전시켰다.^[23]

일본에서도 이러한 국제적 흐름에 발맞춰, 2014년 11월 25일부터 시행된 「의약품, 의료기기 등의 품질, 유효성 및 안전성 확보 등에 관한 법률」(통칭 약사법)을 통해 단독 소프트웨어를 규제 대상으로 포함시켰다. 이전 약사법에서는 의료기기의 일부인 소프트웨어만 규제했지만, 컴퓨터나 스마트폰에서 단독으로 사용하는 의료 관련 소프트웨어가 증가함에 따라, 부작용이나 기능 장애 발생 시 사람의 생명이나 건강에 영향을 줄 위험이 있는 소프트웨어는 규제 대상이 되었다. 이는 국제 기준(IEC/CD 82304-1)을 따른 개정이었다.

규제 대상은 다음의 프로그램 및 이를 기록한 기록 매체 중, 부작용이나 기능 장애 시 사람의 생명이나 건강에 영향을 줄 위험이 있는 것이다.

프로그램
* 질병 진단용 프로그램
* 질병 치료용 프로그램
* 질병 예방용 프로그램
프로그램을 기록한 기록 매체
* 질병 진단용 프로그램을 기록한 기록 매체
* 질병 치료용 프로그램을 기록한 기록 매체
* 질병 예방용 프로그램을 기록한 기록 매체

이 법률에 따라 해당 프로그램 및 기록 매체를 제조·판매하려면, 다른 의료기기와 마찬가지로 위험도(고도 관리 의료기기 또는 관리 의료기기)에 따라 제1종 또는 제2종 의료기기 제조판매업 허가를 받아야 한다. 또한, 전기통신회선을 통해 의료기기 프로그램을 제공하는 판매업 역시 고도 관리 의료기기 프로그램의 경우 판매업 허가가, 관리 의료기기 프로그램의 경우 판매업 신고가 각각 필요하다.

4. 국제 표준

의료 소프트웨어의 안전성에 대한 관심이 높아지면서 국제적인 표준화 노력이 이루어졌다. 특히 1990년대 초반 Therac-25 방사선 치료기 사고^[33]^[10] 이후 의료 소프트웨어의 안전 중요성이 부각되었다. 이에 따라 1993년 유럽 의료 기기 지침^[26]^[1]과 ISO 9000 시리즈의 일부인 ISO 9000-3 표준^[33]^[9] 등이 개발되어 의료 기기 및 관련 소프트웨어 규제의 기반을 마련하는 데 기여했다.

2006년에는 IEC 62304 표준이 제정되어 의료기기 소프트웨어의 개발 및 테스트 방법을 더욱 강화했다.^[35]^[11] IEC 62304는 유럽 연합(EU)과 미국에서 의료기기 소프트웨어 개발의 핵심적인 벤치마크 표준으로 자리 잡았으며,^[27]^[45]^[3]^[24] 이는 소프트웨어가 독립형 제품인지, 아니면 기기에 내장된 형태인지 구분하지 않고 적용된다.

소프트웨어 기술이 발전하면서 기존의 기기 내장형 소프트웨어 외에도, 소프트웨어 자체가 의료기기로 작동하는 독립형 제품들이 등장했다. 이러한 변화는 관련 규제에도 영향을 미쳐, 유럽 의료기기 지침^[26]^[1] 및 미국 식품의약국(FDA)의 여러 지침 문서^[46]^[36]^[37]^[43]^[2]^[12]^[13]^[22] 등이 개정되거나 새로 마련되었다.

의료기기 소프트웨어를 포함한 모든 의료기기 제조에는 엄격한 품질 관리 시스템이 요구된다. 미국 FDA의 품질 시스템 규정(Quality System Regulation, QSR)^[47]^[25]과 국제 표준인 ISO 13485:2003^[44]^[23]은 이러한 품질 관리 시스템의 구체적인 요구 사항을 명시하고 있다. 소프트웨어 의료기기 제조업체는 이러한 규정에 따라 제품을 개발해야 하며, 필요에 따라 ISO 13485 인증을 획득하기도 한다.

4. 1. IEC 62304

IEC 62304는 의료기기 소프트웨어의 수명주기 프로세스를 다루는 국제 표준이다. 정식 명칭은 Amendment 1 - Medical device software - Software life cycle processes^eng이며, 한국어로는 '의료기기 소프트웨어 - 소프트웨어 수명주기 프로세스'로 번역된다.

이 표준은 2006년에 [https://webstore.iec.ch/publication/6792 초판]이 발행되었고, 2015년에는 [https://webstore.iec.ch/publication/22794 1.1판]이 나왔다. 2.0판 발행을 위한 작업이 진행되었다.

IEC 62304는 소프트웨어가 환자에게 미칠 수 있는 위험 정도에 따라 안전 등급을 세 가지(Class A, B, C)로 분류한다. Class C는 환자에게 심각한 부상이나 사망을 초래할 수 있는 가장 위험도가 높은 소프트웨어이며, Class A는 환자에게 거의 영향을 미치지 않는 낮은 위험도의 소프트웨어를 의미한다. 2006년 버전 기준으로, 표준에서 요구하는 총 92개의 세부 과제(task) 중 Class A는 40개, Class B는 86개, Class C는 92개 모두를 준수해야 한다. (2015년 버전에서는 91개, 2.0 버전에서는 90개로 과제 수가 조정되었다.)

의료기기의 전기·기계적 안전에 관한 표준인 IEC 60601-1과도 연관이 있다. IEC 60601-1 3.0판에서는 소프트웨어 설계 시 IEC 62304를 참조하도록 권고했지만, 2012년에 개정된 [https://webstore.iec.ch/publication/2612 3.1판]에서는 IEC 62304의 특정 조항(4.3항, 5절, 7절, 8절, 9절)을 의무적으로 준수하도록 요구하고 있다.

IEC 62304:2006 목차 및 관련 과제(Task) 수
장	제목	관련 과제 수
1장	범위	-
2장	참고 문헌	-
3장	용어 정의	-
4장	일반 요구사항	-
5장	소프트웨어 개발 프로세스	53개
6장	소프트웨어 유지 보수 프로세스	10개
7장	소프트웨어 위험관리 프로세스	13개
8장	소프트웨어 형상관리 프로세스	8개
9장	소프트웨어 문제해결 프로세스	8개

4. 2. IMDRF의 SaMD

국제 의료기기 규제 당국 포럼(International Medical Device Regulators Forum, IMDRF)은 1993년 미국, 유럽연합, 캐나다, 일본의 의료기기 규제기관과 관련 기업들이 모여 만든 GHTF(Global Harmonization Task Force)를 2011년에 확대한 국제 협의체이다.^[40]^[19] GHTF는 주요 규제 기관들이 조화된 가이드라인을 만드는 것을 목표로 했으며, IMDRF는 이를 이어받아 전 세계적인 의료기기 인허가 조화 및 수렴을 목표로 한다. 초기 회원국은 호주, 브라질, 캐나다, 중국, 유럽연합, 일본, 미국, 러시아, 싱가포르 9개국이었으며, 대한민국은 2017년 12월 10번째 회원국으로 가입했다.

21세기 스마트폰 사용 급증으로 수많은 건강 및 의료 관련 소프트웨어 앱이 등장했지만, 상당수가 규제와 관련하여 회색지대에 속하는 경우가 많았다.^[18] 기존에는 의료기기에 내장된 소프트웨어 위주로 규제가 이루어졌으나, 의료 하드웨어와 분리된 소프트웨어, 즉 IMDRF가 '의료기기로서의 소프트웨어(Software as a Medical Device, SaMD)'라고 부르는 형태가 등장하면서 새로운 규제 필요성이 대두되었다.^[40]^[19]

이에 IMDRF는 SaMD에 대한 국제적인 규제 조화를 위해 연구를 진행했다. 2013년 12월에는 SaMD의 핵심 정의를 발표하며 규제 당국이 공통된 틀 안에서 SaMD 규제 접근 방식을 마련하도록 지원했다.^[40]^[19] IMDRF는 SaMD가 "의도된 의료 목적을 달성하기 위해 하드웨어 의료 기기가 반드시 필요한 것은 아니며", 그 자체만으로 의료기기 기능을 수행할 수 있고, 다른 의료기기의 모듈이나 인터페이스로 사용될 수도 있다고 정의했다.^[40]^[19] 이후 2015년에는 SaMD에 대한 품질 관리 시스템 원칙을 추가로 개발했다.^[44]^[23]

IMDRF는 SaMD 관련 핵심 정의 및 위험 구분 체계 등을 포함하여 다음과 같은 주요 문서들을 개발했으며, 자세한 내용은 공식 웹사이트 [http://www.imdrf.org/documents/documents.asp IMDRF 문서 목록]에서 확인할 수 있다.

IMDRF 발간 주요 문서
의료기기로서의 소프트웨어(SaMD) – 핵심 정의
의료기기로서의 소프트웨어(SaMD) – 위험 구분 및 관련 고려할 사항에 대해 이용 가능한 체계
MDSAP 평가 및 심사 수행 기관의 인정을 위한 의사결정 절차
IVD 의료기기의 출시 인정 내용 열람
비 IVD 의료기기의 출시 인정 내용 열람
규제 목적의 권한 인정을 위한 의료기기 심사 조직에 대한 요구사항
심사 조직에 대한 자격 및 교육 요구사항
의료기기 심사조직의 인정 및 사후 관리를 위한 규제 목적의 권한 평가 방법
규제목적의 권한 평가자 자격 및 교육 요구사항
의료기기 고유식별코드(UDI)

한편, 미국 미국 식품의약국(FDA)도 2011년 7월 "모바일 의료 애플리케이션"에 대한 지침 초안을 발표하는 등^[41]^[20] 개별 국가 차원에서 SaMD 규제에 대한 논의를 진행하기도 했으나, IMDRF는 보다 국제적인 관점에서 SaMD 규제 조화를 이끌고 있다.^[43]^[22]

5. 법률 및 규제

의료기기에 사용되는 소프트웨어 또는 단독으로 사용되는 의료 목적의 소프트웨어는 환자의 진단, 치료, 예방에 직접적인 영향을 미칠 수 있어 여러 국가에서 법적 규제 대상으로 관리한다. 과거에는 하드웨어 의료기기의 부속품으로 취급되는 경우가 많았으나, 인공지능, 빅데이터 등 기술 발전으로 소프트웨어 자체의 역할과 잠재적 위험성이 커지면서 독립적인 규제 체계가 마련되는 추세다.

이러한 규제는 주로 소프트웨어의 개발, 제조, 품질 관리, 시판 후 안전 관리 등을 포괄하며, 위험도에 따라 등급을 분류하여 차등 관리하는 것이 일반적이다. 국제적으로는 국제의료기기규제당국자포럼(IMDRF), 국제전기기술위원회(IEC) 등에서 관련 가이드라인과 표준(예: IEC 62304, IEC 82304-1)을 제시하며 규제 조화를 위해 노력한다. 각국의 구체적인 규제 현황은 다르지만, 환자 안전 확보와 기술 혁신 촉진 사이의 균형을 맞추려는 목표는 공통적이다.

5. 1. 대한민국

2014년 11월 25일부터 시행된 「의약품, 의료기기 등의 품질, 유효성 및 안전성 확보 등에 관한 법률」에 따라, 소프트웨어 단독으로도 의료기기로 취급되어 규제를 받게 되었다. 이는 해당 소프트웨어를 사용했을 때 부작용이나 기능 장애가 발생하여 사람의 생명이나 건강에 영향을 줄 위험이 있는 경우에 적용된다.^[1]

기존의 약사법에서는 소프트웨어가 의료기기의 일부 부품일 경우에만 해당 의료기기와 함께 규제 대상이었고, 소프트웨어 자체만으로는 규제하지 않았다. 그러나 컴퓨터와 스마트폰이 널리 보급되면서, 의료기기가 아닌 일반 컴퓨터 등에서 사용하는 의료 관련 소프트웨어가 증가했다. 이러한 소프트웨어도 부작용이나 기능 장애로 인해 사람의 생명과 건강에 심각한 영향을 줄 수 있다는 인식이 확산되면서, 소프트웨어 단독 규제는 국제적인 흐름이 되었다. 한국 역시 이러한 국제 기준(IEC/CD 82304-1)에 맞춰 약사법을 개정한 것이다.^[1]

규제 대상이 되는 의료기기 소프트웨어는 다음과 같으며, 이들 중 부작용 또는 기능 장애 발생 시 사람의 생명 및 건강에 영향을 미칠 우려가 있는 것이 해당한다.^[1]

프로그램
* 질병 진단용 프로그램
* 질병 치료용 프로그램
* 질병 예방용 프로그램
프로그램을 기록한 기록 매체
* 질병 진단용 프로그램을 기록한 기록 매체
* 질병 치료용 프로그램을 기록한 기록 매체
* 질병 예방용 프로그램을 기록한 기록 매체

이러한 의료기기 프로그램 및 이를 기록한 기록 매체를 제조하여 판매하려는 사업자는 다른 의료기기와 마찬가지로, 해당 소프트웨어가 분류되는 위험도(고도 관리 의료기기, 관리 의료기기)에 따라 제1종 또는 제2종 의료기기 제조 판매업 허가를 받아야 한다(의약품 의료기기 등법 제23조의 2 관련).^[1]

또한, 의료기기 프로그램을 인터넷 등 전기 통신 회선을 통해 제공하는 경우에도 의료기기 판매업으로 간주된다. 따라서 고도 관리 의료기기 프로그램을 온라인으로 제공하려면 판매업 허가가 필요하며, 관리 의료기기 프로그램을 제공하려면 판매업 신고가 필요하다(의약품 의료기기 등법 제39조 관련).^[1]

5. 2. 일본

2014년 11월 25일부터 시행된 「의약품, 의료기기 등의 품질, 유효성 및 안전성 확보 등에 관한 법률」에 따라, 일본에서는 소프트웨어 단독으로도 의료기기로 취급하여 규제하기 시작했다. 이 법은 소프트웨어 사용으로 인해 부작용이나 기능 장애가 발생하여 사람의 생명과 건강에 영향을 미칠 우려가 있는 경우를 규제 대상으로 삼는다.

이전의 약사법에서는 소프트웨어가 의료기기의 일부 부품일 경우에만 해당 의료기기와 함께 규제했지만, 소프트웨어 자체만으로는 규제 대상이 아니었다. 그러나 컴퓨터와 스마트폰이 널리 보급되면서, 의료기기가 아닌 일반 컴퓨터 등에서 사용하는 의료 관련 소프트웨어가 증가했다. 이러한 소프트웨어도 잘못 사용될 경우 사람의 생명에 영향을 줄 수 있다는 인식이 확산되었고, 국제 기준(IEC/CD 82304-1)에 준하는 형태로 약사법을 개정한 것이다.

규제 대상이 되는 소프트웨어는 다음과 같으며, 이 중에서 부작용이나 기능 장애 발생 시 사람의 생명 및 건강에 영향을 줄 위험이 있는 것들이 해당된다.

프로그램
* 질병 진단용 프로그램
* 질병 치료용 프로그램
* 질병 예방용 프로그램
프로그램을 기록한 기록 매체
* 질병 진단용 프로그램을 기록한 기록 매체
* 질병 치료용 프로그램을 기록한 기록 매체
* 질병 예방용 프로그램을 기록한 기록 매체

이 법률에 따라, 해당 프로그램이나 이를 기록한 기록 매체를 제조하여 판매하려는 업체는 다른 의료기기와 마찬가지로 취급된다. 즉, 해당 소프트웨어가 '고도 관리 의료기기' 또는 '관리 의료기기' 중 어디에 속하는지에 따라 제1종 또는 제2종 의료기기 제조 판매업 허가를 받아야 한다(의약품 의료기기 등법 제23조의 2 관련).

소프트웨어 판매 역시 규제를 받는다. 특히 의료기기 프로그램을 인터넷과 같은 전기 통신 회선을 통해 제공하는 행위는 의료기기 판매업으로 간주된다. 따라서 '고도 관리 의료기기'에 해당하는 프로그램을 온라인으로 제공하려면 판매업 허가가 필요하고, '관리 의료기기' 프로그램을 제공하려면 판매업 신고가 필요하다(의약품 의료기기 등법 제39조 관련).

6. 보안(Security)

의료 소프트웨어에서 보안의 중요성은 갈수록 커지고 있다. 보안이 잘못되면 환자가 죽거나 다치고, 개인정보가 누출될 수 있기 때문이다.

의료기기에서의 보안 정의는 IEC 62304에 명시되어 있다.

권한 없는 자 또는 권한 없는 시스템이 정보 및 데이터를 읽거나 변경하지 못하게 정보와 데이터를 보호하고, 권한 있는 자 또는 권한 있는 시스템이 정보 및 데이터에 접근하는 것이 거부되지 않도록 보호하는 것

2019년 현재 의료기기 허가를 위해 보안을 요구하는 국제 표준의 주요 내용은 다음과 같다. (IEC 60601-1 3.1판 기준)

IEC 60601-1:2012 (3.1판) 14.6.1: PEMS(Programmable Electrical Medical System)의 위험관리 과정에서 데이터 비밀 유지 실패, 부당 변경 취약성, 외부 프로그램 및 바이러스와의 의도치 않은 상호작용 등 데이터 보안 부족으로 인한 위해요인을 고려해야 한다.
IEC 60601-1:2012 (3.1판) 14.13: IT 네트워크에 연결되는 PEMS의 경우, 보안 특성을 포함한 네트워크 연결 관련 기술 사양을 문서화해야 한다.
IEC 62304:2006: IEC 60601-1:2012와 유사하게, 소프트웨어 개발 프로세스에서 보안 관련 사항을 위해요인으로 고려하고(5.2.2항), 발견된 문제 보고 시 보안에 미치는 영향을 기술하도록(9.1항) 요구한다.

미국 시장에 의료기기를 수출하려면 FDA의 사이버 보안(cybersecurity) 관련 시판 전 허가 및 시판 후 관리 요구사항을 충족해야 한다. FDA는 기본적으로 미국 NIST(National Institute of Standards and Technology)가 발표한 사이버 보안 프레임워크의 5가지 핵심 기능(식별, 보호, 탐지, 대응, 복구)에 따라 보안 조치를 구현하도록 요구하고 있다.

대한민국 식품의약품안전처는 2017년 11월 의료기기 사이버 보안 허가·심사 가이드라인 초안을 공지했으며, 이 가이드라인 역시 NIST의 프레임워크를 기초로 하고 있다.

의료기기에서 고려해야 할 주요 보안 위협과 대응 방안의 예시는 다음과 같다.

의료기기 보안 고려 사항 예시
위협 유형	대응 방안 예시
의료기기 작동 제한 (예: 사용자 인증, 접근 권한 관리)
물리적 잠금 장치, 저장 데이터 암호화, 데이터 접근 통제
안정적인 인증 시스템 구축 및 관리 (예: ID/Password 정책 강화, 이중 인증)
외부 바이러스 또는 멀웨어 침투로 인한 기기 작동 불가 \| 백신 등 보호 프로그램 설치 및 최신 상태 유지, 네트워크 보안 강화
해커의 원격 조작 \| 허가되지 않은 원격 접근 차단, 방화벽 설정, 통신 암호화
해커의 침투로 인한 내부 환자 정보 유출 \| 중요 정보 암호화, 침입 탐지 및 방지 시스템 운영

참조

_[1] 서적 Medical Instrument Design and Development: From Requirements to Market Placements John Wiley & Sons Ltd
_[2] 서적 Medical Device Software Verification, Validation, and Compliance Artech House
_[3] 서적 Distributed Computing and Internet Technology: 9th International Conference, ICDCIT 2013, Bhubaneswar, India, February 5-8, 2013, Proceedings Springer
_[4] 웹사이트 Radar and Electronics https://books.google[...] Radar and Electronics Association 1963-03
_[5] 서적 Lockheed Hospital Information System https://books.google[...] Lockheed Aircraft Corporation
_[6] 서적 Demonstration and evaluation of a total hospital information system https://books.google[...] U.S. Dept. of Health, Education, and Welfare, Public Health Service, Health Resources Administration, National Center for Health Services Research
_[7] 서적 Computers for the Physician's Office https://books.google[...] Research Studies Press
_[8] 서적 Computers in Healthcare, Volume 6 https://books.google[...] Cardiff Publishing Company
_[9] 저널 Quality assurance of medical software
_[10] 웹사이트 A Formal Methods-based verification approach to medical device software analysis http://www.embedded.[...] UBM 2010-02-09
_[11] 웹사이트 Medical device software – Software life cycle processes https://webstore.iec[...] International Electrotechnical Commission
_[12] 웹사이트 Guidance for Industry, FDA Reviewers and Compliance on Off-The-Shelf Software Use in Medical Devices https://www.fda.gov/[...] U.S. Food and Drug Administration 1999-09-09
_[13] 웹사이트 Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices https://www.fda.gov/[...] U.S. Food and Drug Administration 2005-05-11
_[14] 웹사이트 Doctors near me https://www.smartcli[...]
_[15] 웹사이트 HITECH Act of 2009 https://www.healthit[...]
_[16] 웹사이트 CDRH Regulated Software: An Introduction https://www.fda.gov/[...] U.S. Food and Drug Administration 2010-03
_[17] 웹사이트 Directive 2007/47/ED of the European Parliament and of the Council http://eur-lex.europ[...] European Union 2007-09-05
_[18] 웹사이트 Technology in healthcare: how software improves medical practice? https://www.labsexpl[...]
_[19] 웹사이트 Software as a Medical Device (SaMD): Key Definitions http://www.imdrf.org[...] International Medical Device Regulators Forum 2013-12-09
_[20] 저널 New FDA Draft Guidance Sheds Light On Regulation of 'Mobile Medical Apps' and Other Software https://web.archive.[...] 2011-08
_[21] 저널 The regulation of mobile medical applications
_[22] 웹사이트 Congress, FDA at odds over software as a medical device http://www.fiercemob[...] Questex, LLC 2013-11-20
_[23] 웹사이트 IMDRF Proposes QMS Principles for Software as a Medical Device http://www.raps.org/[...] Regulatory Affairs Professionals Society 2015-04-08
_[24] 서적 Software Process Improvement and Capability Determination Springer
_[25] 웹사이트 Quality System (QS) Regulation/Medical Device Good Manufacturing Practices https://www.fda.gov/[...] U.S. Food and Drug Administration 2014-06-30
_[26] 서적 Medical Instrument Design and Development: From Requirements to Market Placements https://books.google[...] John Wiley & Sons Ltd
_[27] 서적 Distributed Computing and Internet Technology: 9th International Conference, ICDCIT 2013, Bhubaneswar, India, February 5-8, 2013, Proceedings https://books.google[...] Springer
_[28] 웹인용 Radar and Electronics https://books.google[...] Radar and Electronics Association 2016-04-26
_[29] 서적 Lockheed Hospital Information System https://books.google[...] Lockheed Aircraft Corporation
_[30] 서적 Demonstration and evaluation of a total hospital information system https://books.google[...] U.S. Dept. of Health, Education, and Welfare, Public Health Service, Health Resources Administration, National Center for Health Services Research
_[31] 서적 Computers for the Physician's Office https://books.google[...] Research Studies Press
_[32] 서적 Computers in Healthcare, Volume 6 https://books.google[...] Cardiff Publishing Company
_[33] 저널 Quality assurance of medical software
_[34] 웹인용 A Formal Methods-based verification approach to medical device software analysis http://www.embedded.[...] UBM 2016-04-26
_[35] 웹인용 Medical device software – Software life cycle processes https://webstore.iec[...] International Electrotechnical Commission 2016-04-26
_[36] 웹인용 Guidance for Industry, FDA Reviewers and Compliance on Off-The-Shelf Software Use in Medical Devices http://www.fda.gov/d[...] U.S. Food and Drug Administration 1999-09-09
_[37] 웹인용 Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices http://www.fda.gov/R[...] U.S. Food and Drug Administration 2005-05-11
_[38] 웹인용 CDRH Regulated Software: An Introduction http://www.fda.gov/d[...] U.S. Food and Drug Administration 2010-03
_[39] 웹인용 Directive 2007/47/ED of the European Parliament and of the Council http://eur-lex.europ[...] European Union 2007-09-05
_[40] 웹인용 Software as a Medical Device (SaMD): Key Definitions http://www.imdrf.org[...] International Medical Device Regulators Forum 2013-12-09
_[41] 저널 New FDA Draft Guidance Sheds Light On Regulation of ‘Mobile Medical Apps’ and Other Software https://web.archive.[...] 2016-04-26
_[42] 저널 The regulation of mobile medical applications
_[43] 웹인용 Congress, FDA at odds over software as a medical device http://www.fiercemob[...] Questex, LLC 2019-06-09
_[44] 웹인용 IMDRF Proposes QMS Principles for Software as a Medical Device http://www.raps.org/[...] Regulatory Affairs Professionals Society 2015-04-08
_[45] 서적 Software Process Improvement and Capability Determination https://books.google[...] Springer
_[46] 서적 Medical Device Software Verification, Validation, and Compliance https://books.google[...] Artech House
_[47] 웹인용 Quality System (QS) Regulation/Medical Device Good Manufacturing Practices http://www.fda.gov/m[...] U.S. Food and Drug Administration 2014-06-30

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com