데이터 완전성은 GMP 업무 중 생성된 데이터에 대한 완전성을 보장하기 위한 요구 사항/규정/기준을 준수하자는 목표를 갖습니다. 데이터 완전성 조치를 진행 하다보면 어디까지 관리를 하고 준비가 필요할지를 고민 하게 됩니다.
그 중 하나가 USB 인 것 같습니다.
*USB 까지 관리가 필요할까 싶지만, 지금 다른 중요한 할일이 많은 상황이라면 당장은 무시하셔도 좋습니다.
시스템을 운용하기 위해 사용하는 PC/HMI/PLC 를 포함하는 제조 설비/장비/품질 분석 기기 등은 필연적으로 USB port 가 적게는 4개 많게는 6개 이상 (PC 앞면+ 뒷면) 까지 포함되어 있습니다.
USB 와 데이터 완전성은 어떤 관계를 갖기에 결국에는 비어있는 USB port 까지 신경을 써야만하는 것일까요?
결론부터 얘기하자면,
USB 가 데이터 완전성 측면에서 관리가 필요한 이유는 USB port 가 무방비(?) 상태로 open 되어있는 것이 Security 측면에서 DI Risk (저장된 데이터/시스템 손상 가능성 + Virus 문제 등) 를 야기할 수 있기 때문입니다.
PIC/S DI 가이던스에서도 아래와 같이 언급하고 있습니다.
가이던스에서도 꼭 필요한 USB port 만을 승인된 USB 사용을 위해서만 open 되어야만 하고, 승인된 USB 는 사용 전에 적절히 확인 (Virus 및 무결성 확인 등) 이 요구됨을 언급합니다.
그런데, 일부 시스템은 라이선스(or 무선 동글) 를 USB 로 제공해서 항상 USB port 에 꼽아놓고 사용하는 경우도 있고, 현장에서 키보드 또는 마우스를 연결하기 위해 USB port 가 반드시 필요한 상황도 있습니다.
가이던스에서는 이러한 필수 USB port 는 사용을 하되, 관리가 필요함을 명시하고 있습니다.
제 경험상으로는 명시된 가이던스를 따라 USB port 를 관리하는 것은
일정 규모 이상의 회사에서 보유한 시스템 수를 고려할 때 현실적으로 쉬운일은 아닙니다.
일단 사내 컴퓨터화 시스템의 USB port 의 수와 사용 현황을 파악해야만 하고, 반드시 필요한 USB port 를 구분하고,
업무 중 사용하는 USB stick 및 controller(키보드/마우스 등) 를 정의/관리해야만 합니다.
그리고, 나머지 사용할 의도가 없는 USB port 는 사용을 제한시켜야만 합니다.
USB port 를 제한하는 방법은 물리적인 방법과 소프트웨어 설정 방법이 있습니다.
물리적인 방법은 USB port 를 사용하지 못하도록 조치하는 방법(USB blocker) 인데,
아래 방법들이 적용 가능합니다.
1. 물리적인 방법
1) USB Port Locker 타입
작은 Locker 를 USB port 에 삽입하는 형태이고, Key 가 있어야 Locker 를 뺄 수 있게 되어 있습니다.
위 Locker 와 비슷한 원리인데 조금 다른 형태 입니다. Locker 삽입 후에 줄을 연결해 두면 Locker 를 뺄 수 없고,
줄을 제거 해야만 Locker 를 뺄 수 있는 구조입니다.
위와같은 Locker 는 회사에서 사용하기에는 조금 어려워 보입니다.
2) USB Port seal label
위와 같이 Seal 을 개봉하면 개봉 표시가 나타나는 라벨을 부착하는 방법도 가능합니다.
2. 소프트웨어 설정 방법
USB port 를 물리적으로 Open 되어 있더라도 S/W 에서 인식되지 않도록 설정을 해주는 방법입니다.
별도의 S/W 가 필요하며, 아래의 Software 들을 예시로 참고하시면 됩니다.
https://windowsreport.com/usb-locking-software-pc/
5+ best USB software for locking your PC [2022 Guide]
Too many passwords to manage? From now on, don’t forget any of them Don’t try to remember all your passwords, you will need only one to manage them all! Keep all your passwords safe in one single place and access them easily with this dedicated passwor
windowsreport.com
결국에는 USB port 관리를 위해서는 관리를 위한 조사/평가/절차 반영을 위한 공수가 필요하고,
물리적 방법/소프트웨어 방법 모두 추가 비용이 발생하는 측면에서 USB 관리는 현실적으로 어려움이 있습니다.
(개인적 경험으로 위 사례들 중 하나의 방법으로 관리를 시도했었으나 만족스러운 결과를 얻지 못해 아쉬웠던 기억이 있습니다)
데이터 완전성 평가 지침에서는 USB 관리 측면의 언급이 없기 때문에 준비 범주에 넣지 않아도 되겠지만, FDA, EMA 등 해외 규제기관의 Inspection 을 준비하기 위해서는 USB 관리 측면에서도 점검이 요구될 수 있겠습니다.
USB port 관리가 데이터 완전성 위험 발생 요소라는 점은 수용해야겠지만,
현실적으로는 USB port 보다 선행할 것이 훨씬 더 많은 상황에서는 당장은 쉽사리 시작하기 어려운 과제입니다.
'데이터 완전성 (Data Integrity)' 카테고리의 다른 글
| 제약회사 데이터 조작 당연한 건가요? (0) | 2023.01.19 |
|---|---|
| 데이터 완전성 평가 지침 전 의약품 범주로 적용 시작 (2023) (0) | 2023.01.11 |
| PC 비밀번호 알려주면 안되나요? (2) | 2022.12.27 |
| 답답합니다. (0) | 2022.11.14 |
| ALCOA++ 는 어떻게 준비해야 하나요? (0) | 2022.11.06 |
댓글