의료기기의 안전성과 성능을 지속적으로 보장하기 위해서는 체계적인 사후 시장 감시(Post-Market Surveillance, PMS) 활동이 필수적입니다. 유럽연합(EU) 의료기기 규정(MDR) 제83조 4항은 이러한 PMS 활동 중 식별된 예방적 또는 시정 조치(CAPA)에 대한 명확한 보고 의무를 제조업체에 부과하고 있습니다. 이와 관련하여 주기적 안전성 갱신 보고서(Periodic Safety Update Report, PSUR)는 CAPA 정보를 체계적으로 통합하고 전달하는 핵심 도구로 기능합니다.

MDR 제83조 4항 첫 문장은, 사후 시장 감시 과정에서 제품의 안전성, 성능 또는 품질에 영향을 줄 수 있는 문제를 식별한 경우, 제조업체가 적절한 조치를 시행하고 관할 당국 및, 해당 시에는 지정 기관에 이를 통지해야 한다고 규정합니다. 이러한 조치는 단순한 품질경영시스템 개선을 넘어서 제품 자체에 영향을 줄 수 있는 CAPA를 포함하며, 예컨대 중대한 부작용은 아니더라도 반복적으로 발생하는 경미한 이상 사례, 사용자로부터의 지속적인 피드백, 문헌 및 데이터베이스 상의 유사제품 관련 문제 등이 해당될 수 있습니다.

심각한 사고나 현장 시정 조치(Field Safety Corrective Action, FSCA)는 별도로 EUDAMED를 통해 보고해야 하며, 이는 PSUR과는 분리된 체계입니다. 하지만 FSCA로 이어지지 않더라도, 제품 안전성과 관련된 CAPA는 반드시 PSUR에 포함되어야 하며, 이는 규제 당국의 감시뿐 아니라 내부적 리스크 관리에도 중요한 역할을 합니다.

특히, 시장에서 자발적이고 일시적이지 않은 판매 중단 등의 조치가 상업적 결정이 아닌 안전성에 기반한 것이라면, 이 역시 PSUR 또는 별도의 보고서를 통해 정당하게 설명되어야 합니다. 또한 MDR 부속서 III에서 요구하는 PMS 자료(예: 비중대한 이상사례 기록, 사용자 피드백, 공개 문헌 등)는 CAPA 수립의 실질적 근거가 되며, 이를 통해 식별된 리스크는 체계적으로 정리하여 문서화해야 합니다.

의료기기 보안에 있어 FDA와 IEC 81001-5-1은 모두 ‘개발로부터의 독립성(independence)’을 핵심 원칙으로 강조하고 있습니다. 이 원칙은 단순히 외부 업체의 테스트 수행을 의미하지 않으며, 내부에서도 조직적 독립성과 전문성을 갖춘 경우 규제 요건을 충분히 충족할 수 있음을 의미합니다.

FDA의 2025년 사이버보안 가이드라인에서는 독립적인 내부 테스터(independent internal testers)의 존재를 명시하며, 이들이 개발팀으로부터 조직적으로 분리되어 있고, 보안 테스트에 필요한 자격과 전문성을 갖추고 있다면 적절한 수행 주체로 인정됩니다. 이는 IEC 81001-5-1의 입장과도 일맥상통합니다. IEC 표준은 테스트 수행자가 개발팀과 다른 관리자에게 보고하는 독립된 부서에 소속되어 있다면, 충분한 독립성이 있다고 판단하고 있습니다.

이러한 유연한 해석은 FDA가 강조하는 SPDF(Secure Product Development Framework)와 TPLC(Total Product Life Cycle) 접근법의 실현 가능성과도 맞닿아 있습니다. 사이버보안은 제품 개발의 일회성 검토가 아닌, 전 생애주기에 걸쳐 반복적이고 지속적으로 수행되어야 하는 활동입니다. 고비용의 침투 테스트를 개발 과정 전반에 걸쳐 반복적으로 수행하는 상황에서, 외부 업체에만 의존하는 것은 현실적으로 어려울 수밖에 없습니다. 이 때문에 많은 제조업체들이 내부 보안팀이나 QA 부서를 중심으로 자립적인 테스트 체계를 구축하고 있으며, 이는 규제의 취지에도 부합합니다.

또한 외부 업체 활용이 필요할 경우에도, 테스트 실행만 외부에 위탁하고 테스트 전략, 방법론, 시나리오 설계는 내부에서 직접 통제하는 방식이 점차 확산되고 있습니다. 이를 통해 비용 효율성과 내부 통제력을 동시에 확보할 수 있으며, 제3자 리포트를 통해 규제 대응에도 유연하게 접근할 수 있습니다.

결론적으로, 중요한 것은 테스트를 수행하는 주체가 어디에 있느냐가 아니라, 해당 테스트가 개발로부터 충분히 독립적으로 수행되었는지, 그리고 그것이 보안성과 규제 요구사항을 충족하는 방식으로 이루어졌는지에 대한 검증입니다. 의료기기 사이버보안은 형식적 요구사항이 아닌, 실질적 위험 관리를 위한 지속 가능한 체계의 구축이 핵심입니다.

중국에 의료기기를 수출하거나 제조해 등록하려는 기업이라면, 중국의 의료기기 인허가 체계를 정확히 이해하는 것이 필수입니다. 특히 NMPA와 SAMR의 관계, 지방 식약청의 역할 등은 혼동되기 쉬우나 실제 업무에서 큰 영향을 미치므로 명확한 이해가 필요합니다.

중국의 국가시장감독관리총국(SAMR, State Administration for Market Regulation)은 중국 전반의 제품 시장을 규제하고 감독하는 중앙 행정기관으로, 품질 관리, 인증, 표준화, 반독점, 제품 안전 등 광범위한 영역을 관할합니다. 우리나라로 치면 산업통상자원부, 공정거래위원회, 그리고 식약처의 일부 기능이 결합된 기관이라고 볼 수 있습니다.

그 하위에 위치한 기관이 바로 국가약품감독관리국(NMPA, National Medical Products Administration)입니다. NMPA는 의료기기, 의약품, 화장품 등 생명·건강과 직결된 제품의 인허가 및 사후 관리, 품질 감독을 담당하며, 실질적으로 우리나라 식품의약품안전처에 해당하는 역할을 수행합니다. 본부는 베이징에 위치하고 있으며, 중앙정부 직속 기관으로 활동하고 있습니다.

또한 중국은 중앙집권 체계이지만, 각 성(省), 자치구, 직할시 등 지방정부에도 NMPA의 지역 조직인 MPA(Medical Products Administration)가 설치되어 있습니다. 이들은 지방 내 의료기기 관리 업무를 수행하며, 특히 Class I 의료기기와 같이 상대적으로 위험도가 낮은 제품에 대해서는 지방 MPA에서 등록을 완료할 수 있도록 권한이 부여되어 있습니다. 반면 Class II, III 제품의 경우 중앙 NMPA의 심사 및 승인이 필요합니다.

요약하면, SAMR은 전체 시장 규제의 총괄 기관, NMPA는 의료기기 등 생명·건강 관련 제품의 전담 감독 기관, 지방 MPA는 지역 내 인허가 및 사후 관리 업무를 보조하는 구조로 이해하시면 됩니다.

의료기기 생물학적 안전성 평가에서 대조물질의 선택은 시험결과의 신뢰성과 유효성을 결정짓는 핵심 요소 중 하나입니다. 특히 조직 내 이식 시 유도되는 세포 반응은 재료의 물리적 특성, 생체적합성 및 흡수 특성에 따라 달라지므로, 시험 시 사용되는 대조물질은 시험체와 유사한 형태 및 특성을 지녀야 합니다.

ISO 10993-12:2021은 비교 시험에서 사용할 수 있는 참조물질을 명시하고 있으며, Annex A에 수록된 고형 비흡수성 재료는 안정적인 조직 반응을 제공하는 대조물질로 널리 활용됩니다. 예를 들어, 부드러운 비흡수성 재료에 대한 조직 반응은 흡수성 재료나 물리적 특성이 다른 메시(mesh)와 비교할 때 큰 차이를 보일 수 있습니다. 이러한 이유로, 이상적인 대조물질은 이미 임상적으로 검증된 시판 제품 중에서 선택되어야 합니다.

흡수성 재료의 경우, 시간에 따른 분해 및 조직 반응이 지속적으로 변화하기 때문에, 이와 유사한 흡수성 대조물질을 사용하는 것이 바람직합니다. 만약 적절한 흡수성 대조물이 존재하지 않는 경우에는 정당한 사유 하에 비흡수성 대조물질 사용이 허용됩니다. 이때에도 ISO 10993-12:2021 Annex A에 명시된 참조물질이 추가로 시험에 포함되어야 하며, 총 3개의 시험군(시험체, 대조물질, Annex A 물질)에 대해 절차적 통제(comparative procedural control)가 필요합니다.

신규 의료기기나 혁신 소재의 경우 시판 대조물이 존재하지 않을 수 있습니다. 이 경우에는 형태, 물성, 흡수 특성 등이 유사한 재료 중에서 가장 근접한 대조물질을 선택하고, 어떠한 기준으로 선택했는지를 시험보고서에 명확히 기술하여야 합니다. 대조군이 없거나 위약(sham)군을 사용하는 경우에도 이를 정당하게 문서화하고 근거를 제시해야 합니다.

결론적으로, 대조물질의 선택은 시험설계의 출발점이자, 결과 해석의 기준점이 되므로, 시험 목적에 부합하고 과학적 타당성을 확보한 선택이 이루어져야 합니다. ISO 10993-12 및 ISO/TS 37137-1과 같은 국제 표준을 기반으로, 각 재료의 특성과 목적에 맞는 대조물질을 선정하는 것이 규제 및 임상 전 안전성 확보에 중요한 역할을 합니다.

미국 식품의약국(FDA)은 의료기기의 사이버보안 강화를 위해 제조업체에게 다양한 규제 요건을 부과하고 있습니다. 특히, 연방식품의약품화장품법(FD&C Act) 제524B조는 사이버보안 리스크에 대한 체계적인 사후 대응 체계를 마련하도록 요구하고 있으며, 이를 충실히 이행하는 것이 의료기기 안전성과 신뢰성을 확보하는 데 핵심적인 요소입니다.

FD&C Act 제524B(b)(1)항은 제조업체가 사이버보안 취약점 및 악용 사례에 대해 모니터링, 식별, 그리고 적절히 대응하기 위한 계획을 수립할 것을 요구합니다. 여기에는 조율된 취약점 공개 절차(Coordinated Vulnerability Disclosure, CVD)도 포함됩니다. 최근 FDA는 이러한 CVD 절차의 중요성을 더욱 강조하며, 이를 사후 사이버보안 프로그램의 필수 구성 요소로 간주하고 있습니다.

또한 제524B(b)(2)(A)항은 알려진 허용 불가능한 취약점을 정기적이고 합리적인 주기로 해결하기 위한 업데이트 및 패치 제공을 요구하며, 제524B(b)(2)(B)항은 심각한 위험을 초래할 수 있는 치명적인 취약점에 대해서는 가능한 빠른 시점에서 주기 외 패치 제공이 필요함을 명시하고 있습니다. 이는 의료기기 사용 중 환자의 생명과 직결될 수 있는 사이버 위협에 즉각적으로 대응할 수 있는 체계를 마련하기 위함입니다.

FDA는 2014년 발표한 ‘Premarket Cybersecurity Guidance’를 통해 의료기기 사후 사이버보안 관리 방안을 사전에 계획하고 이를 승인 신청 시 문서화하도록 권고하고 있습니다. 이후 발행된 ‘Postmarket Cybersecurity Guidance’에서는 효과적인 사후 보안 프로그램의 핵심 요소를 구체화하고 있으며, 단순 보안 강화를 위한 소프트웨어 변경의 경우에는 FDA의 재검토 및 승인 없이 진행할 수 있도록 유연한 규제 접근을 제시합니다.

의료기기의 디지털화와 연결성이 확대되는 현시점에서, 제조업체는 사후 사이버보안 대응 체계를 단순한 규제 대응을 넘어 제품 안전성과 브랜드 신뢰를 확보하기 위한 전략적 자산으로 인식해야 합니다. 법적 요구사항 준수는 물론, 국제 표준(예: ISO/IEC 81001-5-1, AAMI TIR57 등)과의 정합성 확보도 병행하는 것이 바람직합니다.

멕시코는 중남미 시장에서 중요한 의료기기 수출국으로, 현지 인허가를 담당하는 COFEPRIS(Comisión Federal para la Protección contra Riesgos Sanitarios)의 규제 요구사항은 비교적 엄격한 편입니다. 따라서 의료기기를 수출하려는 기업은 사전에 인허가 요건을 면밀히 검토하고, 등록 전 모든 서류와 정보가 완비되어야 원활한 절차 진행이 가능합니다.

가장 우선적으로 주의해야 할 부분은 문서의 일관성입니다. 제품명, 모델명, 구성품, 포장재 등은 제품 기술 문서뿐만 아니라 매뉴얼, 라벨, 인증서 등 모든 제출 문서에 걸쳐 완전히 동일하게 표기되어야 합니다. COFEPRIS는 사소한 오탈자나 표현의 불일치도 문제 삼을 수 있으며, 경우에 따라 재제출이나 전체 등록 지연으로 이어질 수 있습니다.

문서 언어 또한 중요한 요소입니다. COFEPRIS는 스페인어를 기본 제출 언어로 요구하기 때문에, 매뉴얼, 라벨, 포장 표시 등은 반드시 스페인어로 번역하여 제출해야 하며, 단순 번역이 아닌 실제 사용자가 이해 가능한 수준의 표현으로 검수하는 것이 좋습니다.

또한 장비에 포함되는 액세서리는 ‘기본’과 ‘선택사항(opcional)’으로 구분하여 명확히 기재해야 하며, 이 정보가 문서 전반에 걸쳐 일치하도록 유지되어야 합니다. 일부 액세서리는 단독 품목으로 별도 등록을 요구받을 수 있으므로, 구성 방식에 따라 전략적으로 접근할 필요가 있습니다.

공증 및 아포스티유 요구사항도 간과해서는 안 됩니다. 제조사의 인증서나 대리인 위임장, 계약서 등은 멕시코 내 법적 효력을 갖추기 위해 공증 혹은 아포스티유가 요구되며, 이 문서들은 반드시 원본 기준으로 준비되어야 합니다. 유효기간이 명시되지 않았거나 자동 갱신 형식의 문서의 경우, 현지 심사자에 따라 인정되지 않는 사례도 있으므로 갱신본 제출을 고려하는 것이 안전합니다.

마지막으로 비용 납부와 관련해 유의할 점은, 멕시코 COFEPRIS 등록 수수료는 건당 발생하며, 해외에서 직접 납부가 불가하다는 점입니다. 현지 은행을 통한 송금만 인정되므로, 멕시코 내 대리인을 통한 대납이 사실상 필수적입니다. 이 과정에서 발생하는 대납 수수료 또한 등록 예산에 포함되어야 합니다.

의료기기 소프트웨어(SaMD)는 그 특성상 물리적인 장치 없이 알고리즘의 성능과 임상적 유효성에 대한 입증이 핵심이 됩니다. 이에 따라 임상적 평가(Clinical Evaluation) 과정에서 임상조사(Clinical Investigation)를 수행해야 하는 경우가 빈번히 발생하며, MDR(의료기기 규정) 기준에서는 후향적 임상조사도 특정 조건 하에 가능하다는 점이 주목됩니다.

후향적 임상조사 사용이 가능하려면 EN ISO 14155 기준에 부합하는 GCP(Good Clinical Practice) 준수가 선행되어야 합니다. 이는 단순히 기존 데이터를 분석하는 수준을 넘어, 실제 임상 환경에서 의료진이 SaMD를 사용한 진단 워크플로우 내에서 제품이 어떤 역할을 수행했는지를 명확히 입증할 수 있어야 합니다. 특히, 의료진이 진단 결정을 내리는 과정에 제품이 어떻게 기여했는지를 보여주는 설계가 필수적이며, 이 과정은 데이터 라벨링의 정확성과 직결됩니다.

국내 임상결과 또는 해외 임상연구 논문을 임상조사 결과로 활용하려는 시도는 일반적이지만, 제출한 자료가 MDR 기준에서 요구하는 임상조사의 정의와 요건을 충족하지 못한다면, ‘데이터 부족’ 혹은 ‘실제 사용 시나리오 미반영’ 등의 사유로 보완 요청을 받을 수 있습니다. 이때는 단순한 성능평가 결과만으로는 부족하며, 실제 임상 사용환경에서 얻은 근거 기반의 자료가 요구됩니다.

또한 Notified Body(NB)마다 임상조사 보고서를 해석하는 기준이 상이하다는 점도 실무에서 중요한 고려사항입니다. 일부 NB는 임상적 근거에 대해 보다 엄격한 접근을 하며, 타 기관에 비해 보수적인 판단을 내릴 수 있습니다. 따라서 임상조사 결과를 제출한 이후 보완 요청이 들어올 경우, 단순한 문서 수정보다는 리뷰어와의 적극적인 커뮤니케이션을 통해 요구사항을 정확히 이해하고 대응하는 것이 바람직합니다.

의료기기를 글로벌 시장에 출시하기 위해서는, 각 국가의 전원 조건에 맞는 안전성과 전자파 적합성 시험을 충족해야 합니다. 특히 미국 FDA 인증이나 CB 기반 다국적 인증을 준비할 경우, 제품의 전압 설계와 그에 따른 시험 전략은 제품 통과 여부를 좌우하는 핵심 요소 중 하나입니다.

현재 220V 전용으로 설계된 제품이 멀티전압(100~240VAC, 50/60Hz) 대응을 목표로 할 경우, 단순히 변압기를 단상 복권 방식에서 단상 단권 방식으로 교체한다고 해서 멀티전압이 가능해지는 것은 아닙니다. 단권 변압기는 1차와 2차 권선이 전기적으로 연결되어 있어 절연 기능이 구조적으로 제한되며, 복권(transformer with galvanic isolation) 방식에 비해 절연 안전성이 떨어집니다. 이는 특히 IEC 60601-1과 같은 의료기기 안전 규격을 적용할 때 치명적인 문제가 될 수 있습니다. 단권 변압기를 사용할 경우, 누설전류 증가와 절연 내압 시험에서의 Fail 가능성이 높아지며, 전도성 노이즈가 출력 단자까지 전달될 위험도 증가합니다. 따라서 의료기기용 전원 설계에서는 단권 변압기의 사용이 바람직하지 않으며, 사용 시 추가적인 절연보강 설계가 반드시 수반되어야 합니다.

또한, 제품 외관 라벨에 “100~240VAC, 50/60Hz”와 같이 멀티전압 지원을 표기할 경우, 이 범위 내 모든 전압 조건에서 제품이 안정적으로 동작함을 입증해야 합니다. 예컨대 실제로는 220V, 60Hz에서만 동작 가능한 제품에 멀티전압 표기를 적용하면, 인증 시험 중 100V, 120V, 230V 등의 전압 조건에서도 정상 동작이 가능한지를 시험하게 되며, 이때 문제가 발생할 경우 제품 전체의 신뢰성과 설계 완성도를 의심받게 됩니다. 따라서 멀티전압 표기는 실제 설계와 시험 검증이 선행된 경우에만 사용할 수 있습니다.

FDA 인증이나 CB Scheme 기반의 국제 인증을 진행할 경우, ND(National Differences)에 따라 시험 전압 조건이 각국의 실사용 조건으로 맞춰집니다. 예를 들어, 미국은 120V/60Hz, 일본은 100V/50Hz 및 60Hz, 유럽은 230V/50Hz의 조건을 사용하며, 각 국가 전원에 맞는 적합성 시험이 개별적으로 수행됩니다. 시험소에서는 이 전원 조건별로 모드를 구분하여 시험을 진행하게 되므로, 시험 모드 수가 늘어날수록 인증 비용과 기간도 증가하게 됩니다.

브라질 의료기기 시장에 진출하기 위해서는 제조 시설이 ANVISA의 BGMP(Brazilian Good Manufacturing Practices) 인증을 받아야 합니다. 이 인증은 브라질 내 등록 대리인(BRH, Brazilian Registration Holder)을 통해 신청되며, 인증서 역시 해당 BRH의 이름으로 발급됩니다.

브라질의 규제 체계에서는 하나의 제조 공장에 대해 복수의 BRH가 각각 BGMP를 신청하고 인증받을 수 있습니다. 이는 동일한 생산 시설이라 하더라도, 각 BRH가 독립적으로 허가 절차를 진행할 수 있도록 하기 위한 제도적 장치입니다. 예를 들어, 한 제조사와 협력 중인 두세 개의 BRH가 있다고 가정할 경우, 각각이 동일한 공장 주소를 기반으로 별도의 BGMP 인증을 신청해야 합니다.

실무에서 종종 발생하는 사례 중 하나는, 최초로 BGMP 인증을 획득한 BRH와 제조사의 관계가 악화되어 갱신 신청이 진행되지 않는 상황입니다. 이 경우 기존 인증은 만료되며, 해당 BRH를 통한 제품 인허가에도 차질이 발생할 수 있습니다. 그러나 이는 곧바로 전체 시장 진출에 제약을 주는 것은 아닙니다. 다른 BRH가 동일 제조시설에 대해 BGMP 인증을 새로 신청하고 갱신함으로써, 이후 허가 절차를 정상적으로 이어갈 수 있습니다.

결과적으로, 브라질의 BGMP 체계는 BRH 단위로 운영되며, 각각의 BRH는 개별적인 인증 신청 및 갱신 권한을 갖습니다. 따라서 제조사는 특정 BRH에 전적으로 의존하기보다는, 복수의 BRH와 전략적 관계를 유지함으로써 예기치 않은 리스크에 대비하는 것이 바람직합니다. 또한 BGMP 인증 갱신 시기와 BRH 간 계약 관계에 대한 점검도 정기적으로 수행하는 것이 규제 대응의 핵심입니다.

SQL Injection(이하 SQLi)은 가장 오래되었지만 여전히 위협적인 웹 기반 공격 방식입니다. 특히 의료기기 소프트웨어처럼 방대한 소스코드를 갖춘 환경에서는 취약점을 일일이 찾아내기 어려워 보안 담당자에게 큰 부담이 됩니다. 

먼저, 소스코드의 양이 많다는 이유로 SQLi 탐지와 대응이 불가능하다고 생각할 필요는 없습니다. 공격은 항상 ‘입력값’에서 시작되며, 공격자가 조작 가능한 입력 경로(input vector)를 파악하는 것이 최우선입니다. 로그인, 검색, 환자정보 입력 등의 사용자 인터페이스를 기준으로 해당 입력값이 쿼리문에 직접 삽입되는 경로를 확인하면 테스트 포인트가 훨씬 명확해집니다.

이 과정에서 정적 분석 도구(SAST)는 매우 유용합니다. 직접 작성한 코드 중 데이터베이스 호출과 관련된 함수(trace)를 자동으로 추적해주기 때문에 전체 소스코드를 수작업으로 분석할 필요를 줄여줍니다. 또한 동적 분석 도구(DAST)는 이미 파악된 입력 포인트를 대상으로 공격 시나리오를 설계해 실제로 취약점이 존재하는지를 확인할 수 있어, 두 방식을 병행하는 것이 바람직합니다.

입력값 검증(Input Validation)은 기본적인 방어 기법이지만, SQLi 방지의 결정적 수단으로 간주하기에는 한계가 있습니다. 예를 들어 특수문자 필터링, 길이 제한, 한글만 허용 등의 방법은 우회 가능성이 존재하며, 핵심적인 대응은 항상 Prepared Statement(또는 Parameterized Query)의 사용을 통해 쿼리문과 입력값을 명확히 분리하는 방식이 되어야 합니다.

의료기기 소프트웨어의 경우, ISO/IEC 81001-5-1 등에서 요구하는 사이버보안 요구사항을 만족하기 위해서는 취약점 예방뿐만 아니라 문서화된 개발 및 테스트 절차가 수반되어야 합니다. 특히 제품 출시 전 보안 테스트 결과와 취약점 수정 이력을 추적 가능하게 기록하는 것이 중요하며, 이는 규제 기관의 심사 시 중요한 평가 요소로 작용합니다.