EU AI Act 고위험 분류, 한국 AI 의료기기가 2026년 8월 전에 정리해야 할 것
EU AI Act는 AI 탑재 의료기기를 자동으로 고위험으로 분류한다. MDR과 겹치는 8대 의무, 2026·2027년 이중 데드라인, 한국 SaMD 제조사가 지금 만들어야 할 규제 문서를 정리했다.
왜 지금 EU AI Act를 봐야 하나
EU AI Act(Regulation (EU) 2024/1689)는 2024년 8월 1일 발효된 EU의 수평적 AI 규제법이다. 이 법은 AI 시스템을 위해도·고위험·제한·최소위험 4단계로 나누고, **의료기기에 포함된 AI는 자동으로 고위험(high-risk)**으로 분류한다(Article 6(1), Annex I).
이것이 한국 AI 의료기기 회사에 의미하는 바는 명확하다. EU에 SaMD(Software as a Medical Device)를 판매하려면 MDR 준수 + AI Act 고위험 준수를 동시에 만족해야 한다. 두 체계가 겹치지만, AI Act가 요구하는 추가 의무가 있다. 핵심은 2027년 8월 2일이다 — 이것이 MDR/IVDR 하에서 NB 적합성 평가를 받는 AI 의료기기에 AI Act가 본격 적용되는 시점이다(Article 6(1), Art. 113).
데드라인이 두 개다. 한국 SaMD 제조사에게 실질적으로 중요한 것은 2027년이다:
| 데드라인 | 적용 대상 | 의미 |
|---|---|---|
| 2026년 8월 2일 | Annex III 고위험 AI(의료기기가 아닌 병원 행정·환자 분류 알고리즘 등) | 대부분의 고위험 AI 의무 적용. 단, 의료기기(Article 6(1))는 제외 |
| 2027년 8월 2일 | MDR/IVDR 하에서 Notified Body 적합성 평가가 필요한 AI 의료기기 | 한국 SaMD 제조사에게 실질적 데드라인. Article 6(1) 적용 개시 |
MDCG 2025-6(2025년 6월 발표)이 AI Act와 MDR의 관계를 최초로 공식 설명했다. AI Act가 MDR을 대체하지 않고 보완한다는 점을 명확히 했다. 즉, 이중 규제 체제가 확정된 것이다.
고위험 AI 의무 8개 영역: MDR과 무엇이 다른가
AI Act는 고위험 AI 시스템 제공자(provider)에게 8개 영역의 의무를 부과한다. 각각이 MDR 기존 요구와 겹치는 부분과 추가되는 부분이 있다.
| 영역 | AI Act 조문 | MDR과의 관계 | 한국 기업이 추가로 준비할 것 |
|---|---|---|---|
| 1. 위험관리시스템 | Art. 9 | ISO 14971과 겹치지만, 알고리즘 편향·모델 드리프트 등 AI 특유 위험 추가 | AI 특화 위험 평가 프레임워크 신규 구축 |
| 2. 데이터 거버넌스 | Art. 10 | MDR에는 없는 영역 | 학습·검증·테스트 데이터셋의 출처, 품질, 편향 검증 문서화 |
| 3. 기술문서 | Art. 11, Annex IV | MDR Annex II/III와 통합 가능 | AI 모델 아키텍처, 학습 방법론, 성능 한계 명시 |
| 4. 품질관리시스템 | Art. 17 | ISO 13485 QMS 내에 AI QMS를 통합 가능 | AI 모델 버전관리, 데이터 파이프라인 검증 절차 추가 |
| 5. 투명성·사용자 정보 | Art. 13 | IFU(사용설명서)와 겹치지만, AI 신뢰도·한계 명시 추가 | AI 출력의 불확실성, 오류 가능성을 사용자에게 문서화 |
| 6. 인간 감시 | Art. 14 | MDR에 명시적 요구 없음 | 임상의가 AI 출력을 재정의(override)할 수 있는 메커니즘 구현 |
| 7. 정확성·강인성·사이버보안 | Art. 15 | IEC 62304·IMDRF 사이버보안 가이던스와 겹침 | 적대적 입력(adversarial input) 방어, OOD(Out-of-Distribution) 감지 기능 |
| 8. 사후관리 모니터링 | Art. 61, 72 | MDR PMS와 겹치지만, 실시간 성능 모니터링 강조 | 모델 드리프트 자동 감지, 실세계 성능 로깅 체계 |
핵심 차이: 데이터 거버넌스 (Art. 10)
MDR은 데이터 거버넌스를 별도로 요구하지 않는다. AI Act는 학습·검증·테스트에 사용되는 모든 데이터셋에 대해 다음을 요구한다:
- 데이터 수집 방법과 출처의 문서화
- 데이터셋의 대표성(representativeness)과 통계적 특성 검증
- 편향(bias) 식별·완화 전략
- GDPR 준수와의 연동: 의료 데이터 처리 시 근거 법률(동의, 공공이익 등) 명시
한국 AI 의료기기 회사가 자주 놓치는 것: 한국 병원 데이터로 학습한 모델을 EU에 판매할 때, 학습 데이터의 인종·지역적 편향을 평가하지 않는다. AI Act 하에서 이것은 위반 사유가 된다.
핵심 차이: 인간 감시 (Art. 14)
MDR은 임상의의 최종 판단 권한을 암시하지만, AI Act는 이를 명시적 요구사항으로 만든다. 고위험 AI 시스템은 다음을 보장해야 한다:
- 사용자가 AI 출력을 이해하고 해석할 수 있을 것
- 사용자가 AI의 권고를 무시하거나 재정의할 수 있을 것
- 적절한 경우 인간-컴퓨터 상호작용 도구를 제공할 것
한국 진단 AI 제품 중 "자동 진단 결과만 출력하고 임상의 재정의 경로가 불분명한" 경우가 있다. 이는 AI Act 하에서 부적합이다.
MDR과 AI Act 기술문서 통합 방법
이중 문서 부담을 줄이는 방법이 있다. MDCG 2025-6은 AI Act 기술문서(Annex IV)를 MDR 기술문서 내에 통합하는 것을 허용한다.
| MDR 문서 | AI Act 추가 요소 | 통합 위치 |
|---|---|---|
| 기기 설명· intended use | AI 시스템 설명, 자율성 수준, 의사결정 방식 | Section 1 |
| 위험관리 보고서 | AI 특유 위험(편향, 드리프트, OOD), 완화 조치 | Section 2 |
| 설계·검증 문서 | 모델 아키텍처, 학습 방법론, 데이터셋 기술 | Section 3–4 |
| 임상평가보고서(CER) | AI 성능 평가, 실세계 성능 검증 | Section 5 |
| 라벨링·IFU | AI 한계 설명, 인간 감시 지침 | Section 6 |
| PMS 계획 | 실시간 성능 모니터링, 드리프트 감지 | Section 7 |
실무 팁: Notified Body가 MDR 심사 시 AI Act 요구사항도 동시에 확인하기 시작했다. 별도 AI Act 문서를 만들지 말고, MDR 기술문서 템플릿에 AI Act 요소를 삽입하는 방식이 효율적이다.
한국 AI 의료기기 회사가 자주 빠지는 함정
1. "ISO 13485만 있으면 된다"는 오해
AI Act Art. 17은 고위험 AI 제공자에게 AI QMS를 요구한다. 하지만 MDR 하에서 이미 ISO 13485 QMS를 운영 중이라면, AI QMS를 별도로 만들 필요 없이 기존 QMS에 AI 요소를 통합하면 된다(Art. 17(2)). ISO/IEC 42001(AI 관리시스템) 인증은 의무가 아니지만, 참고할 수 있다.
통합해야 할 AI QMS 요소:
- AI 모델 버전 관리 절차
- 데이터 파이프라인 검증 절차
- AI 특화 변경관리(change control) 절차
- 모델 재학습 트리거·승인 절차
- AI 관련 내부 감사 체크리스트
2. 한국 MFDS 승인이 EU에서 인정된다는 착각
한국 MFDS 의료기기 허가는 EU AI Act에서 아무런 의미가 없다. AI Act는 EU 시장에 직접 적용되고, MDR/IVDR 적합성 평가를 통해서만 접근 가능하다. 한국 제조사는 Notified Body 선정부터 시작해야 한다.
3. 학습 데이터 편향 평가 누락
한국 병원 데이터(주로 한국인 환자)로 학습한 모델의 경우, AI Act 데이터 거버넌스 요구(Art. 10)를 충족하려면:
- 인종·지역·성별·연령 분포 분석
- 편향 완화 전략(재샘플링, 합성 데이터, 가중치 조정 등)
- 다인종 검증 데이터셋에서의 성능 확인
4. 사후관리에서 실시간 모니터링 누락
MDR PMS는 년 1회 PSUR 수준의 모니터링을 요구하지만, AI Act는 지속적인 실시간 성능 모니터링을 암시한다. 모델 드리프트 감지, 데이터 분포 변화 추적, 실세계 성능 로깅 체계가 필요하다.
다음 90일 실행 순서
| 주 | 작업 | 담당 | 산출물 |
|---|---|---|---|
| 1–2 | AI 컴포넌트 전수 조사: 제품 포트폴리오에서 AI가 포함된 기기 식별 | RA팀 | AI 시스템 목록 |
| 3–4 | MDR 등급과 AI Act 고위험 분류 확정, 요구사항 매트릭스 작성 | RA + 개발 | MDR × AI Act 요구사항 그리드 |
| 5–6 | 학습·검증·테스트 데이터셋 인벤토리 구축, 편향 평가 착수 | 데이터팀 | 데이터 거버넌스 문서 초안 |
| 7–8 | QMS에 AI 특화 절차 삽입: 모델 버전관리, 변경관리, 재학습 승인 | QA팀 | QMS 개정안 |
| 9–10 | 기술문서에 AI Act Annex IV 요소 통합, Notified Body에 사전 문의 | RA팀 | 통합 기술문서 초안 |
| 11–12 | 사후관리 체계 강화: 드리프트 감지, 실시간 로깅, 보고 프로세스 | QA + IT | PMS 계획서 개정 |
EU AI Act는 한국 AI 의료기기 회사에게 추가 규제 부담이지만, 동시에 EU 시장에서 AI 의료기기의 신뢰성을 증명하는 공식 경로이기도 하다. MDR 프로세스에 AI Act 요구사항을 조기에 통합하면, 2027년 데드라인에 압박받지 않고 경쟁사보다 먼저 EU 시장에 진입할 수 있다.
참고:
- EU AI Act Regulation (EU) 2024/1689 공식문
- MDCG 2025-6: AI Act–MDR/IVDR interplay FAQ (2025년 6월)
- EU AI Act implementation timeline (europa.eu)
