전 세계의 의료인과 규제 기관은 의도하지 않은 재사용과 위조를 방지하고자 전자적으로 추적 가능한 의료 소모품의 필요성을 인식하고 있습니다. Analog Devices 기사를 통해 전체 공급망에서 의료 소모품에 대한 접촉 및 비접촉 연결 모두에 적합한 안전한 저비용 인증 방법을 구현하기 위한 요구 사항에 대해 알아보십시오.
많은 의료 치료는 일회용 및 소모품에 내장된 첨단 기술을 주로 사용합니다. 본 애플리케이션 참고 사항의 목적상 일반적으로 일회용 및 소모품 모두 폐기되기 전에 제한된 횟수로 사용되도록 고안된 모든 의료 품목을 의미합니다. 이 품목들은 수술에 사용되는 고급 카테터 기반의 프로브부터 전기 수술 도구, 약물 전달 펜 및 제약 바이알에 이르는 광범위한 응용 분야를 다룹니다. 이러한 많은 소모품은 폐기되기 전에 한 번만 사용할 수 있으며, 이 접근 방식은 의료 및 환자 안전 고려 사항에 따라 관리됩니다.
환자의 건강을 보장하고자 많은 일회용품은 통제된 조건에서 처리, 멸균 및 작동되어야 합니다. 일부 제품의 경우에는 한 번 사용한 후에 이러한 조건이 보장되지 않을 수 있습니다. 전 세계의 정부 기관은 환자 안전과 관련된 중대한 위험을 해결하기 위해 재사용을 통제하고 위조를 방지할 필요성을 인식하고 있습니다. 사용이 제한된 의료품을 재사용하거나 너무 많이 사용할 수 없도록 하고, 위조품을 효과적으로 감지하여 공급망에서 제거하기 위한 핵심은 의료 기기 설계의 인증 및 보안입니다.
현재 많은 소모품은 유용성과 정확도를 향상시키는 전자 기능을 갖추고 있습니다. 예를 들어, 많은 맥박 산소 측정 센서에는 제조 중에 얻은 보정 데이터를 기기에 제공하는 작은 메모리 기기 및 인터페이스 전자 장치가 포함되어 있습니다. 센서 또는 다른 일회용품에 저장된 기타 정보를 통해 해당 정보가 사용되는 기기를 식별할 수 있습니다. 이를 통해 올바른 센서를 사용하는지 확인하고, 품질 관리를 보호하며, 센서 또는 도구가 이전에 사용되었는지 여부와 사용 횟수를 추적할 수 있습니다.
지금까지 정부 기관은 위조 의약품에 가장 주목해 왔습니다. 그러나 일회용 기기와 관련하여 취한 한 가지 조치는 미국 식품의약국(FDA)의 UDI(의료기기 고유식별코드)의 도입이었습니다. 이러한 요구 사항은 가치가 높은 기기의 공급망에서 발생하는 정교한 위조 활동을 막기 위해 필요한 요구 사항에 미치지 못합니다. 그림 1은 UDI 라벨의 예입니다.
그림 1. UDI 라벨의 예입니다. (출처: Meditronic)
UDI에는 품목에 배치 번호 및 일련 번호, 제조 날짜 및 만료 날짜와 함께 일반 텍스트로 된 제품 식별자만 포함하면 됩니다. 제조업체가 사용을 통제하기 위한 추가 조치를 취하지 않으면 이러한 식별자를 위조하거나 복사하여 사용할 수 있습니다.
전자 보호 기능을 갖춘 제조업체는 더 많은 기능과 제어를 사용할 수 있게 되며 기기 자체에 일련 번호와 같은 데이터가 내장되어 UDI 및 유사한 법률 요건에 대한 추가 지원을 제공할 수 있습니다. 그러나 전자 보호에서 UDI 데이터만 사용하게 되면 전문 위조자가 스푸핑할 수 있기 때문에 효과적인 보호 방법은 아닙니다.
인증 솔루션은 접촉식 또는 비접촉식 전기 인터페이스를 갖춘 의료용 일회용품에 쉽게 추가할 수 있습니다. 접촉 응용 분야의 경우, 일회용 기기와 호스트 기기 사이의 전기기계식 커넥터 인터페이스는 일반적으로 핀이 제한되어 있으므로 매우 효율적인 솔루션이 필요합니다. 단일 전용 핀을 통해 전원과 데이터를 모두 작동하는 인증 제품은 이러한 제약을 잘 해결합니다. 비접촉 응용 분야의 경우, RFID/NFC와 같은 저렴한 무선 인터페이스에서 작동하는 인증 제품을 사용할 수 있습니다. RFID/NFC가 사용되는 응용 분야의 예로는 생체 인식 센서 패치, 화학 시약병 또는 약물/액체 전달에 사용되는 용기와 같이 호스트 기기에 삽입할 필요가 없는 소모품이 있습니다.
프로토콜 수준에서 기기를 인증하는 가장 간단한 전자 방식은 원칙적으로 소모품 제조업체에만 알려져 있고, 호환되는 호스트 기기에서 인식되는 암호를 설정하는 것입니다. 연결되면 호스트는 암호를 요청하고 이를 자체 데이터베이스와 비교합니다. 주요 단점은 공격자가 통신을 쉽게 도청할 수 있다는 것입니다. 일단 기록되면 동일한 암호를 사용하여 많은 위조 기기를 인증할 수 있습니다.
더 나은 접근 방식은 암호 식별 코드를 기기 내부에 보관하고 시도-응답 프로토콜을 사용하여 제품의 정품 여부를 확인하는 것입니다. 코드 보안을 유지하기 위해 널리 사용되고 신중하게 분석된 암호화 인증 메커니즘을 기반으로 프로토콜을 구축하는 것이 중요합니다. 이는 시도-응답 방법의 두 가지 핵심 유형을 제공합니다. 하나는 대칭 암호화, 다른 하나는 비대칭 암호화를 기반으로 합니다.
암호 키라고도 하는 대칭 암호화 기반 인증은 그림 2와 같이 호스트와 소모품 모두 공유하는 암호 키를 중심으로 이루어집니다. 시도-응답 프로토콜에서 호스트는 기기에 대한 시도값으로 난수를 보냅니다. 그에 응답하여, 보안 해시 같은 대칭 키 알고리즘을 통한 난수 및 공유 암호를 기반으로 한 계산에서 디지털 서명을 생성합니다. 호스트는 동일한 계산을 실행하며 소모품의 응답이 다른 경우 해당 부품을 거부할 수 있습니다. 두 계산이 모두 일치하면 기기가 인증된 것으로 간주됩니다.
그림 2. 다양한 유형의 암호화 알고리즘에서 인증이 이루어집니다.
해커가 여러 번의 시도와 응답을 사용하여 계산에서 만들어진 단계를 리버스 엔지니어링할 수 없도록 하고, 저장된 코드나 키를 검색할 때 함수가 강력한 수학적 특징을 가지고 있고 사실상 단방향 함수가 되는 것이 중요합니다. 이러한 함수는 순방향으로 계산하기는 쉽지만 수학적으로 역방향으로는 불가능합니다. SHA-2 및 SHA-3 보안 해시 함수는 이러한 단방향 함수의 예입니다. 두 알고리즘 모두 충돌 회피성을 갖추고 있으며, 주어진 출력을 생성할 둘 이상의 입력을 찾는 것은 불가능합니다. 또 다른 특성은 높은 눈사태 효과로, 단 하나의 비트라도 입력에 변화가 있게 되면 결과가 매우 달라집니다.
공개 키라고도 하는 비대칭 암호화는 기본적으로 공개 키와 개인 키라는 키 쌍으로 작동합니다. 보호해야 하는 개인 키는 일반적으로 일회용품에 사용되는 인증 IC에 있습니다. 호스트 시스템은 이 IC 개인 키에 연결된 공개 키를 사용합니다. 공개 키는 이름처럼 시스템 보안 구현에 대한 위험 없이 공개될 수 있습니다. 인증을 위해 호스트 시스템과 일회용품에 대칭 사례와 같은 공유 키를 설정할 필요가 없지만, 호스트 시스템에 의한 훨씬 더 복잡한 산술을 구현해야 합니다.
시도-응답 프로토콜은 대칭 암호화에 사용되는 것과 동일한 광범위한 접근 방식을 따릅니다. 그러나 호스트는 인증기의 공개 키를 사용하여 ECDSA와 같은 비대칭 알고리즘으로 응답 서명을 확인합니다. 알고리즘을 사용하여 얻은 성공적인 결과는 인증되는 기기가 개인 키인 암호를 인식하고 있다는 것을 증명합니다. 다시 말하지만, 기기는 실제 키를 공개하지 않고 인증을 검증합니다.
인증 응용 분야에 가장 적합한 알고리즘 유형(대칭 또는 비대칭)은 몇 가지 요인에 따라 달라집니다. 보안 강도의 관점에서 볼 때, 두 가지 모두 일반적인 상황에서는 동일합니다. ECDSA와 같은 비대칭 유형의 산술에는 SHA3와 같은 대칭 유형보다 더 많은 컴퓨팅 리소스가 필요합니다. 단, 이는 적절한 호스트 프로세서 또는 단순한 전용 보조 프로세서로 해결될 수 있습니다. 호스트 측에서 인증 구현이 마이크로에서 수행되고 마이크로에 중요한 키 데이터를 보호하기 위한 보안 기능이 없는 경우 비대칭이 적합합니다. 언급된 것처럼 비대칭 공개 키는 시스템 보안에 대한 위험 없이 공개될 수 있습니다. 반대로 대칭 유형을 사용하면 솔루션의 호스트 측에서 암호를 저장해야 하는데 암호가 발견될 경우 보안 솔루션을 위험에 처하게 할 수 있습니다. 비대칭과 마찬가지로, 대칭을 위한 전용 보조 프로세서를 사용하여 호스트 측 알고리즘 계산 또는 키 스토리지 요구를 해결할 수 있습니다. 그렇다면 어떤 것을 사용해야 할까요? 비대칭은 핵심 인프라 요구 사항이 보다 엄격한 경우 적합합니다. 예를 들어 앞에서 설명한 인증서는 인증기 IC 공개 키를 신뢰할 수 있음을 증명하는 데 사용됩니다. 대칭은 호스트 시스템과 공개 키 인프라가 필요하지 않은 연결된 일회용품 또는 소모품의 범위 내에서 적합합니다.
인증 솔루션이 있는 경우, 위조자가 인증 IC를 직접 탐색하고 공격하여 암호화 키를 검색하려고 시도하여 보안을 위반할 위험이 있습니다. 이러한 공격 유형에서는 단호한 위조자가 내부 버스를 탐색하고 메모리를 읽거나 쓰고 키가 저장될 수 있는 내용을 등록하기 위해 특수 장비를 사용하여 기기 패키지에 침입합니다. 따라서 위협을 방지하기 위해 IC에 대응책을 구비해야 합니다.
여러 방법을 사용하여 이러한 침투 공격을 해결할 수 있습니다. 예를 들어, IC에 설계된 변조 감지 회로는 탐색 시도를 능동적으로 모니터링할 수 있습니다. 이벤트가 감지되면 기기는 정상 작동을 거부하고 대신 키 및 기타 중요한 데이터를 0으로 설정합니다. 최근 배포된 또 다른 보호 솔루션은 물리적으로 복제할 수 없는 기능(PUF)입니다. PUF는 기본적으로 반도체 제조 내에 있는 전기적 특성의 불규칙 변동을 사용하여 난수를 생성하도록 설계된 회로입니다. 예를 들어 Maxim PUF 기반의 ChipDNA™ 보안 인증기는 IC 자체의 정밀하지만 임의인 아날로그 특성을 기반으로 키를 즉시 생성합니다. PUF는 각 IC에 대해 생성되는 값은 임의이지만 모든 작동 조건에서 변경되지 않고 침입 공격 또는 리버스 엔지니어링 작업을 통해 발견되거나 복제될 수 없는 경우 암호 키/암호 용도에 적합합니다. PUF 키 값은 암호화 작업의 순간적인 지속 시간을 제외하고 인증기 IC의 회로 내에 디지털 형태로 존재하지 않습니다. 키는 회로 요소의 물리적 특성에서 온디맨드 방식으로 파생되고 생성되므로 기기의 비휘발성 메모리에는 존재하지 않습니다. 탐색하게 되면 PUF 회로를 구성하는 민감한 요소가 전기적 특성을 영구적으로 변경하여 키 값이 변경되고 더 이상 유효하지 않습니다. 이는 인증 IC의 실행을 불가능하게 하여, 보안 위반 시도를 효과적으로 억제하게 됩니다.
보안 기능 및 인증에 PUF 기술을 사용할 수 있는 여러 방법이 있습니다. 한 가지 사용 사례에서 ChipDNA 기반의 인증기는 정상 제조 시 소모품에 설치됩니다. 이 예에서 PUF 출력은 공개/개인 키 기반의 구현 내에서 개인 키 역할을 합니다. 이후 테스트 또는 프로비저닝 단계에서 테스트 장비는 하드웨어 및 인증 IC에 명령을 전송하여 PUF 코어에서 생성한 개인 키를 기반으로 공개 키를 계산합니다. 실제 PUF 출력 값 자체는 IC에서 공개되거나 판독되지 않습니다.
공개 키가 있으면 의료용 일회용품 제조업체는 공개 키와 회사 개인 키 모두를 기반으로 인증서를 생성합니다. 이 인증서는 ChipDNA 인증기 IC 내부의 보호된 메모리에 기록됩니다. 이 인증서는 이후 기기에 있는 공개 키가 출고 시 계산한 공개 키와 동일하므로 의료 호스트 기기에서 신뢰할 수 있다는 것을 증명하며, 회사 개인 키가 없으면 누구도 유효한 인증서를 만들 수 없습니다. 현장에서 사용되는 소모품은 PUF 기술로 필요한 개인 키를 즉시 생성하여 모든 메시지에 서명합니다. 호스트 기기가 해당 기기에 해당하는 공개 키를 보유하는 한 소모품의 진품 여부를 확인할 수 있습니다.
Maxim's DeepCover® 제품군의 보안 인증기는 위조 방지 전략을 지원하고 의료 절차 사용을 안전하게 관리하는 데 유용한 ChipDNA 외에도 여러 기능을 지원합니다. 예를 들면 일부 DeepCover 기기에는 감산 전용 계수기가 있습니다. 계수기가 설정된 임계값 미만으로 떨어지면 호스트 시스템은 일회용품이 새 장치로 교체될 때까지 작동을 거부할 수 있습니다. Maxim의 1-Wire® 인터페이스를 통해 전원 및 직렬 데이터를 모두 보안 기기에 제공할 수 있으므로 소모품에 별도의 전원 및 데이터 연결을 구현하지 않아도 되며 전기기계식 커넥터의 비용을 최소화할 수 있습니다. 그림 3은 1-Wire 인터페이스를 사용하는 일회용 의료 도구 또는 센서의 몇 가지 예를 보여 줍니다.
그림 3. 의료 센서 및 장비와 함께 사용되는 Maxim의 1-Wire 인터페이스.
NFC 지원 인증기는 전기기계식 커넥터를 구현할 수 없는 일회용품과 함께 사용할 수 있습니다. 고유한 전자 기능은 없지만 의료 전문가에게 사용 인증 및 검증되었음을 입증해야 하는 소모품용 솔루션을 제공합니다. 여러 DeepCover 기기의 또 다른 이점은 일부 의료용 일회용품이 멸균을 위해 받는 감마선 또는 전자 빔 방사선에서 생존할 수 있다는 점입니다. 이러한 기기는 최대 75kGy의 방사선 노출을 견딜 수 있습니다.
DeepCover 기술을 사용할 수 있는 여러 방법이 있습니다. 예를 들어 초음파와 같은 기술을 사용하여 외과의가 환자의 동맥 내 환경을 보다 명확하게 볼 수 있는 스마트 카테터가 있습니다. 초음파 변환기가 기기 끝에 내장되어 직렬 연결을 통해 호스트 기기에 데이터를 다시 보고합니다. 카테터 커넥터 내부에서 작동하는 DeepCover 기기는 정품이고 사용되지 않았는지 확인할 수 있는 기능을 제공하므로 중요 응용 분야의 모든 멸균 및 품질 요구 사항을 충족합니다.
수술 도구에 내장된 DeepCover 기기는 저렴한 전기 인터페이스를 통해 전송되는 메시지를 사용하여 인증을 제어할 수 있을 뿐만 아니라, 제공하도록 설계된 성능을 구현하기 위해 제조 중에 추가해야 하는 보정 데이터를 저장할 수 있습니다.
제약 바이알 또는 화학 시약병과 같이 고유 가치가 높은 비전자 일회용품은 소형 NFC 지원 DeepCover 기기가 플라스틱에 내장되거나 부착될 수 있습니다. 해당 NFC 판독기는 시약병을 인증하고 NFC 보안 IC에 대한 추가 보호된 사용 기반의 쓰기를 수행합니다. 센서가 내장된 일회용품 및 소모품이 보편화되면서 인증 외에도 호스트 기기로 전송되는 환자 데이터를 암호화하는 기능이 필수가 되었습니다. 이는 내장된 DeepCover IC에서 지원할 수 있습니다.
Maxim의 생산 인프라 내에 있는 옵션인 키/암호 개인화 서비스를 포함하여 DeepCover 제품군에서 제공하는 다양한 옵션 및 기능을 통해 다른 많은 사용 사례가 가능하며 이를 지원합니다.