차세대 SBOM·VEX 플랫폼 ‘HatBOM(햇봄)’ 첫 공개
의료기기 보안이 단순한 환자 데이터 보호 차원을 넘어 치료 연속성과 국가 보건 안전을 지키는 핵심 과제로 떠올랐다. 고려대학교 소프트웨어보안연구소(CSSA, 소장 이희조)는 지난 26일 서울 JW메리어트 동대문 스퀘어에서 ‘제9회 IoTcube 컨퍼런스’를 개최하고 의료기기 사이버보안의 현재와 미래를 집중 논의했다.
이번 행사에는 국내외 학계, 산업계, 정부 관계자 등 150여 명이 참석했으며, ‘의료기기 사이버보안’을 주제로 최신 위협 동향과 글로벌 규제 대응 전략이 심도 깊게 다뤄졌다.
기조연설에 나선 케빈 푸(Kevin Fu) 노스이스턴대 교수이자 前 미국 FDA 의료기기 보안 책임자는 심장박동기, 인슐린 펌프, 방사선 치료 장비 등 생명과 직결된 의료기기의 취약점을 지적했다. 그는 “보안은 선택이 아니라 의사가 환자를 진료하기 전 손을 씻는 것처럼 반드시 지켜야 할 기본 의무”라고 강조했다.
UC 샌디에이고 의과대학의 크리스천 다메프(Christian Dameff) 교수는 실제 랜섬웨어 공격으로 인한 환자 생존율 급감 사례를 소개했다. 그는 “샌디에이고 병원이 랜섬웨어에 감염됐을 당시 심장마비 환자의 생존율이 40%에서 4.5%로 떨어졌다”며, 사이버 공격이 단순한 불편이 아니라 환자 생명을 직접적으로 위협한다고 경고했다.
이희조 고려대 교수는 의료기기 규제 변화와 관련해 “미국 FDA는 2023년부터 의료기기 인허가 요건에 SBOM(소프트웨어 자재명세서) 제출을 포함하는 가이드라인을 공식화했다”며, “제조사가 보안 대응 역량을 갖추지 않으면 해외 진출 자체가 어려워졌다”고 지적했다.
김유승 삼성전자 네트워크사업부 상무 역시 산업 현장의 경험을 공유하며 “SBOM은 단순한 규제 대응 문서가 아니라 취약점 대응 속도를 높이고 공급망 신뢰를 확보하는 경쟁력 그 자체”라고 말했다.
이번 행사에서는 고려대 연구팀이 개발한 차세대 오픈 플랫폼 ‘IoTcube 2.0(HatBOM, 햇봄)’이 처음으로 공개됐다. ‘햇봄’은 ‘새로운 봄’을 의미하면서 동시에 ‘SBOM을 보호하는 모자(HatBOM)’라는 의미를 담고 있다.
햇봄은 소스코드를 입력하면 ▲SBOM 생성 ▲취약점 분석 ▲VEX 문서 자동 생성까지 지원하는 원스톱 플랫폼으로, 기존 1.0 버전에 비해 실무 활용성을 크게 강화했다. 이 교수는 “HatBOM은 지난 10년간 이어온 국제공동연구 IoTcube 프로젝트의 결실”이라며 “SBOM은 보안 생태계 전체의 문제이므로 누구나 쉽게 접근해 활용할 수 있도록 설계했다”고 밝혔다.
오후에 진행된 프라이빗 포럼에서는 글로벌 병원 CISO, 국내외 의료기기 제조사, 식품의약품안전처 관계자가 참여해 제조사와 병원의 현실적 고민을 공유했다. 특히 올해 1월 시행된 ‘디지털의료제품법’이 해외 전문가들에게 소개되며, 제도의 정의와 적용 범위, 실무 적용 방안에 대한 다양한 의견이 오갔다.
이번 컨퍼런스는 고려대 소프트웨어보안연구소와 미국 노스이스턴대학교 산하 아르키메데스 센터(Archimedes Center for Healthcare and Medical Device Cybersecurity), 고려대 4단계 BK21 컴퓨터학교육연구단이 공동 주최했으며, 과학기술정보통신부와 정보통신기획평가원(IITP) 연구사업의 성과로 추진됐다. 식품의약품안전처가 공식 후원 기관으로 참여했다.
[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
