BIOSECURE Act 고객 실사 질의(DDQ) 응답 패키지: 한국 CDMO 영업팀이 지금 준비할 것
2025년 12월 법으로 제정된 BIOSECURE Act는 미국 연방 자금 수혜 기관이 '우려 생명공학 기업(BCC)'과의 거래를 금지한다. 한국 CDMO 영업팀은 해외 고객으로부터 공급망 실사 질의를 받고 있으며, 이에 대한 체계적 응답 패키지가 없으면 계약을 놓친다. DDQ 응답 체크리스트, 타임라인, 소요 문서를 정리한다.
왜 한국 CDMO가 지금 BIOSECURE DDQ에 대응해야 하나
2025년 12월 18일, BIOSECURE Act가 FY2026 국방수권법(NDAA) Section 851로 서명되어 법으로 제정되었다. 이 법은 미국 연방 기관이 '우려 생명공학 기업(Biotechnology Company of Concern, BCC)'의 장비나 서비스를 사용하는 업체와의 연방 계약, 보조금, 대출을 금지한다.
한국 CDMO에 미치는 영향은 간접적이지만 즉각적이다. 미국 바이오텍 고객이 한국 CDMO에 "당사는 BIOSECURE 관련 실사를 진행 중"이라며 공급망 투명성 질의(DDQ, Due Diligence Questionnaire)를 보내오고 있다. KBI Biopharma가 2026년 5월 지적한 대로, "2026년부터 제조 전략은 더 이상 CMC 결정만이 아니라 투자자, 이사회, 컨설턴트, 잠재적 파트너가 이르게 물어보는 질문"이 되었다.
한국 CDMO가 이 질문에 체계적으로 대답하지 못하면, 계약 경쟁에서 탈락한다. 경쟁사는 이미 응답 패키지를 준비하고 있다.
BIOSECURE Act 핵심 타임라인 (2026년 5월 기준)
| 날짜 | 이벤트 | 한국 CDMO 액션 |
|---|---|---|
| 2025년 12월 18일 | 법 제정 (FY2026 NDAA Section 851) | 즉시 내부 영향 평가 착수 |
| 2026년 6월 16일 (예상) | OMB 실행 가이던스 발표 (법 제정 후 약 180일) | 가이던스 내용 분석, DDQ 템플릿 업데이트 |
| 2026년 12월 18일 | OMB, 최초 BCC 명단 공개 (이후 매년 갱신) | 명단 대비 자사 공급망 재확인 |
| 2027년 6월 (예상) | FAR(Federal Acquisition Regulation) 개정 | 최종 규제 확정 |
| 2027년 하반기 (예상) | 제한 조항 발효 | 모든 기존 계약에 5년 유예 적용 |
| 2032년 (예상) | 기존 계약(grandfathered) 유예 종료 | 전면 전환 완료 필요 |
BCC 지정 기준: 한국 CDMO가 알아야 할 세 가지 경로
BCC는 세 가지 방식으로 지정된다:
- DoD 1260H 명단 기반: 미국 국방부가 이미 식별한 중국 군사 관련 기업 중 생명공학 장비/서비스에 관여하는 업체. 2024년 12월 WuXi AppTec이 WuXi Advanced Therapies를 Altaris, LLC에 매각하기로 계약(2025년 3월 완료)한 것이 이에 대한 대응이다
- 국가 안보 위험: 외국 정부의 군사·정보 기관과 연계되어 있거나, 미국인 게놈 데이터에 접근 가능한 업체
- 모회사·자회사·승계사: 위 기준에 해당하는 업체의 모회사, 자회사, 승계사도 포함
한국 CDMO는 현재 BCC 지정 대상이 아니다. 하지만 고객 DDQ에서 묻는 것은 "당사가 BCC인가?"만이 아니다. 다음도 묻는다:
- 당사의 공급망에 BCC 지정 가능한 업체가 포함되어 있는가?
- 원료, 필터, 단일사용 시스템(SUS), 분석 장비 등에 중국산이 사용되는가?
- 데이터 처리, IT 인프라에 중국 기반 서비스가 관여하는가?
고객 DDQ에서 실제로 받는 질문들
미국 바이오텍 고객과의 계약 논의에서, 한국 CDMO 영업팀이 받는 전형적인 DDQ 질문을 범주별로 정리한다.
1. 기업 지배구조 및 소유권
| 질문 | 요구 문서 | 한국 CDMO 대응 포인트 |
|---|---|---|
| 회사의 최종 실소유자(beneficial owner)는 누구인가? | 조직도, 주주 명부, 법인등기부등본 | 중국 자본이 포함되어 있으면 즉시 공개. 투명성이 핵심 |
| 중국 본사, 자회사, 또는 지분투자 관계가 있는가? | 투자 관계도, joint venture 계약 | 해당 없으면 "No"로 명확히 답변. 서면 증빙 첨부 |
| DoD 1260H 명단, OMB BCC 명단에 등재된 적이 있는가? | 서면 확인 | "해당 없음" 확인서 발급 |
2. 공급망 투명성
| 질문 | 요구 문서 | 한국 CDMO 대응 포인트 |
|---|---|---|
| 원료(API, excipient, buffer)의 원산지는 어디인가? | 공급망 지도, supplier 목록, COA | 중국산 원료가 있더라도 숨기지 말고 공개. 대안 공급원 준비 상태를 함께 설명 |
| SUS(single-use system), 필터, chromatography resin의 제조사와 원산지는? | BOM(Bill of Materials), supplier qualification 기록 | Sartorius, Pall, Cytiva 등 글로벌 제조사의 한국 내 유통경로 명시 |
| 분석 장비의 제조사와 데이터 처리 위치는? | 장비 목록, 데이터 처리 계약 | 중국산 분석 장비가 있으면 대체 계획 필요 |
3. 데이터 보안 및 IT 인프라
| 질문 | 요구 문서 | 한국 CDMO 대응 포인트 |
|---|---|---|
| 고객 데이터가 저장되는 서버의 물리적 위치는? | 데이터 센터 계약, 클라우드 서비스 약관 | 한국 또는 미국/EU 기반 서버인지 명시. 중국 클라우드 서비스 사용 여부 확인 |
| 데이터 처리에 외부 업체가 관여하는가? | 하도급 계약, DPA(Data Processing Agreement) | 중국 기반 IT 서비스 업체가 있으면 즉시 대안 준비 |
| 데이터 유출 사고 이력이 있는가? | 사고 대응 기록 | 투명하게 공개. 사후 조치와 개선 사항도 함께 제공 |
4. 미국 연방 자금 관련
| 질문 | 요구 문서 | 한국 CDMO 대응 포인트 |
|---|---|---|
| 현재 미국 연방 계약, 보조금, 대출을 수행 중인가? | 계약 목록 | 해당 여부를 명확히 답변 |
| 고객의 제품이 미국 연방 보험(Medicare, Medicaid, VA)에 의해 구매되는가? | 출하 기록, 판매 채널 분석 | 간접적 영향까지 평가 필요 |
| 미래에 연방 자금 관련 프로젝트 참여 계획이 있는가? | 사업 계획서 | 장기적 관점에서 BIOSECURE 컴플라이언스 필요성 평가 |
응답 패키지: 영업팀이 사전에 준비할 문서
한국 CDMO 영업팀은 고객 DDQ가 도착하기 전에 다음 문서를 템플릿으로 준비해야 한다. DDQ가 오면 5영업일 안에 응답할 수 있어야 한다.
핵심 문서 체크리스트
| # | 문서 | 담당 부서 | 업데이트 주기 | 난이도 |
|---|---|---|---|---|
| 1 | 기업 지배구조 및 실소유자 현황표 | 법무 | 분기 | ★ |
| 2 | 주요 원료 공급망 지도(원산지 포함) | 구매/SCM | 분기 | ★★ |
| 3 | BCC 명단 대비 자체 점검 결과표 | 법무/컴플라이언스 | 반기 | ★ |
| 4 | 데이터 저장 및 처리 인프라 현황 | IT | 분기 | ★★ |
| 5 | 중국산 원료/장비 대체 계획(해당 시) | 구매/RA | 연간 | ★★★ |
| 6 | ISO 27001 또는 SOC 2 Type II 인증서 | IT | 연간 | ★★★ |
| 7 | 고객 데이터 보호 정책 및 DPA 템플릿 | 법무/IT | 연간 | ★★ |
| 8 | PIC/S GMP, FDA GMP 준수 증빙 | QA | 연간 | ★★ |
| 9 | 사내 BIOSECURE 컴플라이언스 정책 문서 | 컴플라이언스 | 반기 | ★★ |
| 10 | BIOSECURE 관련 고객 커뮤니케이션 FAQ | 영업/IR | 반기 | ★ |
DDQ 응답 프로세스
| 단계 | 기간 | 액션 |
|---|---|---|
| 1 | Day 0 | 고객 DDQ 수신, 영업팀에서 법무/QA/IT/구매에 전달 |
| 2 | Day 1~2 | 각 부서별 답변 초안 작성 |
| 3 | Day 2~3 | 법무팀 취합 및 컴플라이언스 검토 |
| 4 | Day 3~4 | 경영진 승인 |
| 5 | Day 5 | 고객 전송 |
한국 CDMO가 가질 수 있는 경쟁 우위
BIOSECURE Act는 한국 CDMO에게 위협이 아니라 기회다. Arnold & Porter가 분석한 대로, 이 법은 "미국의 해외 의존 생명공학 공급망을 재편"하는 것이 목적이며, 중국 CDMO에서 이탈하는 수요를 한국, 인도, 미국 국내 CDMO가 흡수하고 있다.
한국 CDMO가 DDQ 응답에서 강조할 수 있는 포인트:
| 포인트 | 근거 |
|---|---|
| 지정학적 안정성 | 한국은 미국 동맹국, BCC 지정 위험 없음 |
| PIC/S 회원국 | 한국 MFDS는 PIC/S 회원으로, 글로벌 GMP 상호인정 체계에 속함 |
| 기존 미국 고객 실적 | Samsung Biologics, Celltrion 등 대형 한국 CDMO는 이미 다수의 미국 고객을 보유 |
| 투명한 지배구조 | 한국 상장사는 공시 의무가 있어 실소유자 파악이 용이 |
| 데이터 보안 인프라 | 한국은 GDPR 적응국, ISO 27001 취득 CDMO 다수 |
자주 묻는 질문
Q: 우리는 한국 기업인데 BIOSECURE Act와 무슨 상관인가? A: 직접적인 제한 대상은 아니지만, 고객이 미국 연방 자금을 받는 경우, 고객의 실사 대상에 포함된다. DDQ 응답을 못 하면 계약을 못 한다.
Q: 원료 일부가 중국산인데 어떻게 하나? A: 숨기면 안 된다. 공개하되, (1) 해당 원료가 BCC 지정 업체의 것인지 확인, (2) 대체 공급원 확보 계획을 함께 제시, (3) 고객이 요구하면 전환 타임라인을 합의하면 된다. CITI Program의 BIOSECURE 체크리스트도 이 접근을 권고한다.
Q: OMB 가이던스가 아직 안 나왔는데, 무엇부터 준비하나? A: 2026년 6월 OMB 가이던스 발표 전까지, 공급망 매핑과 BCC 대비 자체 점검을 완료하라. 가이던스가 나오면 DDQ 템플릿을 업데이트하면 된다.
Q: DDQ 응답에 법적 리스크가 있나? A: 있다. 잘못된 정보를 제공하면 계약 위반, 나아가 사기 혐의가 될 수 있다. 모든 응답은 내부 법무팀과 외부 변호사의 검토를 거쳐야 한다.
참고
- BIOSECURE Act, Section 851, FY2026 NDAA (P.L. 119-60), 서명일 2025년 12월 18일
- OMB BCC 명단 공개 예정일: 2026년 12월 18일 (법 제정 후 1년 이내)
- Morrison & Foerster, "BIOSECURE Act Update", 2025년 12월 18일
- K&L Gates, "BIOSECURE Act: What You Need to Know", 2026년 1월 20일
- Arnold & Porter, "The BIOSECURE Act Becomes Law in the United States", 2025년 12월
- KBI Biopharma, "BIOSECURE, Tariffs, and the New CDMO Reality for Biopharma Innovators", 2026년 5월 27일
- CITI Program, "BIOSECURE Act Compliance: Key Considerations and Checklist"
- Sidley Austin, "BIOSECURE Act Included in the FY2026 National Defense Authorization Act", 2025년 12월
- Osborne Clarke, "The US BIOSECURE Act: is your supply chain at risk?", 2025년 12월
- Bobby George, "The BIOSECURE Act: Key implications for U.S. Biotechnology", Int. J. Drug Reg. Affairs 2026;14(1):1-5
