디지털 의료기기 허가, 임상보다 보안이 어렵다

디지털 의료제품법 시행 1년, 현장에서는 여전히 혼란이 계속되고 있는 것으로 나타났다. 

배영우 식품의약품안전처 주무관은 17일 서울 코엑스에서 정보통신산업진흥원(NIPA) 주최로 열린 ‘Digital Health Innovation 2025’에서 “제도는 있으나 시스템 구축이 안 돼 실현하기 어려운 내용들이 있어 업계에서 어려움을 느끼고 있다”고 말했다. 또 “최근 허가 심사에서 오히려 임상자료보다 사이버보안이나 사용적합성 쪽에서 보완요구가 더 많이 나오고 있다”며 규제 강화의 현실을 전했다. 

그렇다면 디지털 의료기기를 둘러싼 규제 환경이 어떻게, 얼마나 달라졌을까. 그의 발표 내용을 정리했다.

◇ 사이버보안 요구사항 2배 확대… “USB만 연결돼도 적용 대상”

가장 큰 변화는 사이버보안 요구사항의 대폭 확대다. 기존 15가지에서 35가지로 늘어나면서 업계 부담이 크게 증가했다.

식약처는 사이버보안 적용 대상도 광의적으로 해석하고 있다. 배 주무관은 “인터넷 연결이 안 되기 때문에 사이버보안 미적용이라고 주장하는 업체가 있는데, 그 제품이 USB를 통해 업데이트를 한다면 이것도 통신으로 본다”고 설명했다.

의료기기 내 데이터를 외부로 전송하는 기능만 있으면 기본적으로 통신으로 분류된다. 다만 CD나 SD카드 등 일부 저장매체를 통한 데이터 전송은 예외적으로 인정하고 있다.

새로운 사이버보안 요구사항은 IEC 표준을 기반으로 만들어졌지만, 위험분석을 통해 해당 위험이 없음을 입증하면 일부 요구사항을 면제받을 수 있는 여지를 뒀다.

◇ AI 의료기기 허가, 알고리즘부터 학습데이터까지 '속속들이'

인공지능(AI) 의료기기에 대한 허가 요구사항도 크게 늘었다. 허가신청서에 알고리즘 흐름도를 상세히 기재해야 하고, 이에 대한 근거 문헌도 함께 제출해야 한다.

배 주무관은 “몇 개 공식 돌려서 AI라고 주장하는 업체들이 있어 요청하게 됐다”며 “머신러닝 기반 소프트웨어만 AI 의료기기로 인정한다”고 명확히 했다.

학습데이터 정보도 대폭 확대했다. 단순히 데이터 규모만이 아니라 양성·음성 분포, 편향성 검증을 위한 분포 정보까지 제시해야 한다. 클라우드 서비스를 이용할 경우 구체적인 서비스명도 기재해야 한다.

까다로운 부분은 입력값과 출력값의 임상적 상관관계 근거를 제시하는 것이다. 배 주무관은 “갑자기 내 무릎이 아프니 비가 오겠다는 식으로 주장하면 그에 대한 근거자료를 요청한다”고 비유했다.

새로 도입된 PCP(사전변경제어계획) 제도는 AI 제품이 향후 변경될 계획을 사전에 제출해 승인받으면, 실제 변경 시 별도 허가를 받지 않아도 되는 제도다. 하지만 개인맞춤형이나 성능개선 목적의 AI에만 적용돼 대상이 제한적이다.

◇ 등급분류 체계 개편으로 “처음부터 다시” 위험 증가

기존 소분류 중심의 등급 결정 방식이 품목코드 중심으로 바뀌면서 예측 가능성이 떨어졌다. 2등급은 무조건 안전정보원, 3·4등급은 무조건 식약처 관할로 명확히 구분됐지만, 등급 자체를 잘못 분류할 경우 처음부터 재신청해야 하는 위험이 커졌다.

실제로 기존 2등급 제품이 3등급으로 상향되거나, 3등급이 2등급으로 하향되는 사례들이 발생했다.

배 주무관은 “업체에서 생각하는 등급과 식약처에서 생각하는 등급이 달라질 수 있다”며 “인증·허가 신청 전에 디지털TF팀에서 제품코드와 등급분류를 선 검토받을 것”을 권했다.

사용적합성(유저빌리티) 평가도 새롭게 의무화됐다. 소프트웨어 특성상 작동 원리를 직관적으로 알 수 없어 사용자 관점에서 안전성을 추가 검토하겠다는 취지다. 10~15장 분량의 사용적합성 요약서를 제출해야 한다.

배 주무관은 “케이스 바이 케이스로 해당 부서에 확인하는 수밖에 없는 상황”이라며 “일반론적으로 말해도 실제 가면 다른 답변을 받을 수 있다”고 현장의 상황을 설명했다.