PRRC Korea

최근 SaMD(Software as a Medical Device) 제품 가운데 ‘병원 내부에 워크스테이션을 설치하여 작동한다’는 요구사항을 명시하는 사례가 늘고 있습니다. 얼핏 보면 제조자가 장비까지 함께 공급한다는 의미로 읽히지만, 실제 규제 관점에서는 조금 더 신중한 해석이 필요합니다. SaMD는 본질적으로 ‘소프트웨어 그 자체’가 의료기기입니다. 다만 그 소프트웨어가 안정적으로 작동하기 위해서는 특정한 하드웨어 환경이 필요하며, 병원 내부 네트워크에서 운영되어야 하는 경우가 많습니다. 이는 의료정보보호, 데이터 접근성, 보안성 등의 이유로 외부 클라우드 환경을 제한하기 때문입니다. 따라서 ‘병원 내부 워크스테이션 설치’란 문구는 보통 해당 소프트웨어가 작동 가능한 환경의 위치와 형태를 명시한 것에..

의료기기 규제 분야에서 ‘파일의 무결성(integrity)’은 단순한 기술적 개념을 넘어, 환자의 안전과 직결되는 중요한 요소입니다. 개발자나 제조자가 배포하는 소프트웨어가 중간에 변조되지 않았음을 입증하는 것이 곧 ‘신뢰’의 기반이 되기 때문입니다. 이 신뢰를 지켜주는 핵심 도구가 바로 ‘해시(Hash)’입니다. 해시란, 특정 파일의 내용을 수학적으로 계산하여 얻은 고유한 값입니다. 파일 안의 단 한 글자, 한 비트만 달라져도 완전히 다른 해시 값이 생성됩니다. 이를 통해 우리는 파일이 원본 그대로인지, 혹은 누군가에 의해 변조되었는지를 손쉽게 구별할 수 있습니다. 의료기기 소프트웨어를 예로 들면, 제조자는 소프트웨어를 개발하고 검증한 뒤 그 버전에 대한 해시 값을 함께 제공합니다. 사용자는 이 해시를..

IEC 62304 5.7조항의 비고 1은 소프트웨어 의료기기(SaMD) 개발자에게 단순한 예외 조항이 아니라, 규제의 언어 속에 숨겨진 유연성의 신호로 읽힙니다. 이 문장은 전통적 개발 모델의 경직성을 완화하고, 현대적 개발 환경에 적합한 효율적 검증 체계를 인정하는 선언과도 같습니다. 비고 1이 허용하는 가장 핵심적인 변화는 두 가지입니다. 첫째, 통합 테스트와 시스템 테스트의 병합을 허용함으로써 실질적 개발 흐름과 문서화 요구 사이의 간극을 좁혔습니다. 실제 SaMD 프로젝트에서는 기능 단위의 검증과 전체 시스템 수준의 검증이 밀접하게 얽혀 진행됩니다. 이를 두 개의 독립된 절차로 강제하는 것은 불필요한 행정적 부담을 낳을 뿐 아니라, 반복적 테스트로 인한 비효율을 초래할 수 있습니다. 비고 1은 이..

최근 의료기기 사이버보안의 핵심 화두 중 하나로 떠오른 개념이 바로 SBOM(Software Bill of Materials)입니다. SBOM은 한마디로 소프트웨어의 ‘성분표’입니다. 제품에 어떤 오픈소스, 라이브러리, 프레임워크가 사용되었는지를 체계적으로 기록한 명세서로, 소프트웨어의 투명성을 확보하기 위한 필수 도구로 자리 잡고 있습니다. 의료기기 소프트웨어(SaMD)를 포함한 대부분의 현대 소프트웨어는 완전한 자체 개발보다는 다양한 외부 구성요소를 조합하여 만들어집니다. 이때 SBOM은 개발자와 규제기관 모두에게 다음과 같은 세 가지 측면에서 결정적인 역할을 합니다. 첫째, 보안 취약점 관리입니다. 각 구성요소의 버전과 출처를 명확히 기록함으로써, 특정 라이브러리에 취약점이 발견되었을 때 해당 문제..

의료기기 규제에서 PEMS(Programmable Electrical Medical System)는 단순한 약어 이상의 의미를 갖습니다. 이는 ‘프로그램으로 제어되는 전기 의료 시스템’ 전체를 가리키며, 오늘날 대부분의 디지털 의료기기가 이 범주에 속합니다. 즉, 하드웨어와 소프트웨어가 결합되어 환자에게 안전하고 효과적인 진단·치료를 수행하는 완전한 의료기기 시스템을 말합니다. 이를 이해하기 위해 스마트폰을 떠올려 봅시다. 스마트폰은 하드웨어와 운영체제, 그리고 다양한 애플리케이션이 유기적으로 작동하는 하나의 시스템입니다. 의료기기에서도 마찬가지로, 혈압계의 커프나 인공호흡기의 센서와 같은 하드웨어, 이를 제어하고 데이터를 분석하는 소프트웨어, 그리고 사용자에게 정보를 제공하는 인터페이스가 결합되어 전체..