“의료 기기 SBOM 적용 방안 모색 글로벌 컨퍼런스 열린다”

고려대 소프트웨어보안연구소(CSSA)는 오는 26일(화) 의료 기기 사이버 보안을 주제로 ‘제9회 아이오티큐브 컨퍼런스(IoTcube Conference)’를 개최한다.

이 행사는 한국·미국·영국·스위스 4개국이 지난 2016년부터 국제 공동으로 연구해 온 보안 취약점 자동 분석 플랫폼 ‘아이오티큐브 닷넷’의 기술 성과를 공유하기 위해 매년 개최하는 행사로, 올해는 의료 기기 보안을 주제로 글로벌 전문가들이 서울에 모인다.

글로벌 공급망 보안 규제가 의료 기기 산업에서 빠르게 제도화되고 있다. 미국 FDA는 지난 2023년부터 SBOM 제출을 의료 기기 인허가 요건에 포함하는 가이드라인을 공식화했으며, 국내에서도 의료 기기 사이버 보안 심사 제도가 본격 도입됐다.

이번 컨퍼런스는 산업계와 정책 당국, 기술 전문가가 한자리에 모여 이러한 변화에 대응할 전략을 논의하는 국제 협력의 장으로, 미국 노스이스턴대 산하 아르키메데스 센터, 고려대 4단계 BK21 컴퓨터학교육연구단이 공동 주최하며, 과학기술정보통신부와 식품의약품안전처가 후원한다.

현장에서는 고려대 CSSA가 개발한 차세대 오픈 플랫폼 ‘아이오티큐브 2.0(HatBOM)’이 공개된다. 소스 코드 입력만으로 소프트웨어 구성 목록 SBOM 생성부터 취약점 분석, 취약점 영향 진단 문서 VEX까지 자동 처리되는 원스톱 구조로, 1.0 버전에 비해 실무 활용성을 크게 높였다.

주요 연사로는 △FDA 의료 기기 보안 책임자 출신 노스이스턴대 케빈 푸(Kevin Fu) 교수 △응급의학 전문 해커 의사 크리스찬 다메프(Christian Dameff) 교수(UC San Diego) △미시간대병원 잭 쿠팔(Jack Kufahl) CISO △글로벌 의료기기 SBOM 적용을 경험한 삼성전자 김유승 상무 △바이너리 및 퍼징 연구 전문가 KAIST 차상길 교수 등이 참여해 산업·기술·정책을 넘나드는 깊이 있는 논의를 이어갈 예정이다.

오후에는 프라이빗 포럼 세션도 진행된다. 사전 질문 기반의 심화 Q&A 코너로, 제조사·병원·보안 실무자들이 현장에서 마주한 이슈와 대응 전략을 중심으로 논의가 펼쳐진다.

고려대 이희조 교수는 “SBOM과 VEX는 더 이상 선택이 아니라, 수출과 환자 안전을 위한 필수 요건”이라며 “의료 기기를 시작으로 전 산업으로 확산될 보안 규제에 대해 산업계·학계·정책 당국이 함께 해법을 모색하는 자리가 되길 바란다”고 전했다.

본 행사는 과학기술정보통신부 및 정보통신기획평가원(IITP)의 정보보호핵심원천기술개발사업 연구 성과로 수행된다.