국제 규격에 매핑된 시험 보고서.

개요

의료기기 소프트웨어의 전체 라이프사이클에 걸쳐 수행해야 할 보안 활동을 정의한 국제 규격입니다. 설계 단계부터 폐기까지 보안을 내재화하도록 요구합니다.

권고 시험

• 위협 모델링 및 보안 요구사항 정의
• 보안 설계 검증(SAST/DAST)
• 취약점 진단 및 침투 시험
• SBOM 작성 및 검증
• 보안 업데이트 프로세스 검토

개요

소비자용 IoT 기기의 보안 기준을 정의하는 유럽 표준입니다. 기본 비밀번호 금지, 취약점 공개 정책, 소프트웨어 업데이트 메커니즘 등 13가지 필수 보안 조항을 규정합니다.

권고 시험

• 기본 비밀번호 사용 여부 점검
• 취약점 공개 정책(VDP) 수립 확인
• 소프트웨어 업데이트 메커니즘 검증
• 저장 및 전송 데이터 보호(암호화) 시험
• 공격 표면 최소화 및 불필요 포트 점검

개요

EU 무선기기지침(RED) Article 3(3)(d)(e)(f)에 따른 사이버보안 필수 요구사항을 규정하는 유럽 통합 표준입니다. 2025년 8월부터 EU 시장 출시 시 의무 적용됩니다.

시리즈 구성

• EN 18031-1 네트워크 보안
• EN 18031-2 개인정보 보호
• EN 18031-3 금융 사기 방지

권고 시험

• 접근제어 및 인증 메커니즘 시험
• 안전한 통신 채널(TLS/DTLS) 검증
• 소프트웨어 업데이트 보안 메커니즘 점검
• 저장 데이터 및 전송 데이터 보호 검증
• 취약점 공개 및 패치 관리 프로세스 확인

개요

네트워크에 연결되는 제품의 사이버보안 요구사항을 평가하는 미국 규격입니다. UL 2900-1은 범용 요구사항, UL 2900-2-1은 의료기기 특화 요구사항을 다룹니다.

시리즈 구성

• UL 2900-1 네트워크 연결 제품 범용
• UL 2900-2-1 의료기기 특화

권고 시험

• 퍼지 테스팅 (모든 네트워크 인터페이스)
• 정적 소스코드 분석 (SAST)
• 알려진 취약점(CVE) 매칭
• SBOM 기반 소프트웨어 구성 분석
• 접근제어 및 인증 메커니즘 시험

개요

웹 애플리케이션에서 가장 빈번하게 발생하는 보안 취약점 10가지를 정리한 프로젝트입니다. 의료기기의 웹 기반 관리 인터페이스, 클라우드 연동 API 등에 적용합니다.

권고 시험

• 인젝션 공격(SQL, OS, LDAP) 시험
• 인증 및 세션 관리 결함 점검
• 민감 데이터 노출 여부 확인
• 보안 설정 오류 진단
• API 보안 및 SSRF 시험

개요

MITRE가 선정한 가장 위험한 소프트웨어 취약점 유형 25가지입니다. 소스코드 분석 시 이 목록을 기준으로 결함을 분류하고 우선순위를 산정합니다.

권고 시험

• 버퍼 오버플로우 및 메모리 안전성 점검
• 입력값 검증 미흡 (CWE-20) 분석
• 경로 조작 및 명령 인젝션 시험
• 부적절한 권한 관리 점검
• 정적 분석(SAST) 기반 CWE 매핑