EU 신제품책임지침 2024/2853: 한국 소프트웨어·AI·연결형 의료기기 수출사가 2026년 12월 전에 정리해야 할 것
2026년 12월 9일부터 소프트웨어와 AI 시스템이 EU 제품책임법에서 '제품'으로 분류된다. 한국 비EU 제조사의 Authorized Representative, importer, 계약·기술문서에 미치는 영향을 정리했다.
소프트웨어가 '제품'이 되는 날
2026년 12월 9일, EU에서 Directive (EU) 2024/2853(New PLD)이 본격 적용된다. 이 지침은 1985년 기존 제품책임지침(Council Directive 85/374/EEC)을 대체하며, 소프트웨어, AI 시스템, 디지털 제조 파일, 연결형 디지털 서비스를 "제품"으로 명시적으로 포함한다.
한국 의료기기·SaMD·AI 진단 기기 제조사가 EU에 수출한다면, 이 날 이후에 EU 시장에 출하되거나 사용된 모든 제품이 New PLD 적용을 받는다. 기존 85/374/EEC 체제에서는 소프트웨어가 "제품"인지 불분명했지만, New PLD는 이를 명확히 한다.
이 글에서는 New PLD가 한국 비EU 제조사, 특히 소프트웨어·AI·연결형 의료기기 수출사에게 미치는 계약적·기술문서적 영향을 정리한다. 출처는 지침 본문, Hogan Lovells의 분석(2026년 3월), Bird & Bird의 비EU 기업 영향 분석(2025년), Gibson Dunn의 리뷰(2026년 3월), Pinsent Masons의 보건 분야 분석(2026년 2월)을 기반으로 한다.
New PLD가 바꾸는 것: 5가지 핵심 변화
1. "제품" 정의에 소프트웨어·AI 포함
New PLD Article 4(1)은 "제품"을 이동 가능한 물품, 소프트웨어, AI 시스템, 디지털 제조 파일, 제품 안전에 필수적인 연결 서비스를 포함하는 것으로 정의한다.
의료 분야에서 이것이 의미하는 바:
| 기존 PLD(85/374) | New PLD(2024/2853) |
|---|---|
| 물리적 의료기기만 "제품" | 독립형 소프트웨어(SaMD)도 "제품" |
| 소프트웨어는 애매한 위치 | AI 시스템·디지털 서비스도 "제품" |
| 제조 결함 중심 | 소프트웨어 업데이트 누락·사이버보안 취약점도 결함 |
Taylor Wessing의 분석에 따르면, 제조사는 소프트웨어 업데이트 누락이나 취약한 사이버보안으로 인한 손해에 대해서도 책임을 질 수 있다. 이는 연결형 의료기기(connected device)와 클라우드 기반 SaMD에 직접적 영향을 미친다.
2. 책임 범위 확대: 비제조사도 책임
New PLD는 책임 있는 "경제 운영자" 범위를 크게 넓힌다. 특히 비EU 제조사에게 중요한 것은 **계단식 책임 계층(cascading liability hierarchy)**이다:
| 계층 | 책임 주체 | 조건 |
|---|---|---|
| 1차 | EU 내 제조사 | EU 내에 설립된 경우 |
| 2차 | Importer(수입업체) | 비EU 제조사의 제품을 EU 시장에 출하하는 자 |
| 3차 | Authorized Representative(EU 대리인) | importer가 EU 내에 없는 경우 |
| 4차 | Fulfillment Service Provider | 위 모든 주체가 EU 내에 없는 경우 |
Bird & Bird의 분석에 따르면, Authorized Representative는 이제 잠재적 피고가 된다. 기존에는 단순히 규제 서류를 대행하는 역할이었으나, New PLD에서는 제품 결함으로 인한 손해에 대해 직접 책임을 질 수 있다.
3. 실질적 변경자(substantial modifier)도 제조사 취급
제품을 시장 출하 후 **실질적으로 변경(substantial modification)**한 자는 새로운 제조사로 간주되어 무과실 책임(strict liability)을 진다(Article 4(5)).
의료기기 분야에서 이것이 중요한 이유:
- 한국 제조사의 AI 모델이 OTA(Over-The-Air) 업데이트로 성능이 변경되는 경우
- EU 내 서비스 제공업체가 소프트웨어를 커스터마이징하는 경우
- 제조사가 제3자의 수정을 승인(authorize)하거나 동의(consent)한 경우, 제조사와 수정자 모두 공동 책임
Bird & Bird의 분석은 이 시나리오를 명확히 설명한다: AI 소프트웨어가 제조사 플랫폼이 아닌 제3자 플랫폼에서 다운로드되더라도, 제조사가 이를 승인했다면 제조사는 AI 공급자와 공동 책임을 진다.
4. 장기 잠복 손해(long-stop): 10년 → 25년
기존 PLD에서는 제품 시장 출하 후 10년이 지나면 책임이 소멸했다. New PLD는 잠복 손해의 경우 25년으로 연장한다. 의료기기, 특히 임플란트나 만성질환 관리 소프트웨어에서 이는 매우 중요한 변화다.
기존 최대 책임 한도와 면책액(deductible)도 폐지되었다.
5. 증거 개시 의무와 입증 부담 완화
New PLD는 청구인(환자 등)에게 유리한 증거 규칙을 도입한다:
- 피고는 관련 증거를 개시할 의무가 있다
- 청구인이 기술적·재무적 이유로 결함 입증이 어려운 경우, 법원이 피고에게 증거 제출을 명령할 수 있다
- 이는 소프트웨어 소스코드, AI 모델 훈련 데이터, 변경 이력 등에 대한 개시 요청으로 이어질 수 있다
한국 제조사가 2026년 12월 전에 해야 할 것
1. EU Authorized Representative 계약 재검토
기존 EU AR 계약은 대개 규제 서류 대행에 국한되어 있을 것이다. New PLD 시행 이후 AR은 제품 책임 피고가 될 수 있으므로:
- AR 계약에 책임 한도(indemnification) 조항 추가 또는 재협상
- AR의 제품 책임 보험 가입 요건 확인
- EC의 추정에 따르면 AR의 보험료가 약 15% 증가할 수 있으며, 이 비용이 한국 제조사에게 전가될 가능성
2. 소프트웨어 업데이트 정책과 기술문서
New PLD에서 소프트웨어 업데이트 누락은 결함으로 간주될 수 있다. 기술문서에 다음을 포함:
| 항목 | 기술문서 반영 사항 |
|---|---|
| 업데이트 정책 | 지원 종료(EOL) 시점과 사용자 통지 방법 명시 |
| 사이버보안 | 취약점 대응 프로세스 및 SBOM 관리 |
| AI 모델 변경 | 모델 업데이트가 "실질적 변경"에 해당하는지 평가 기준 |
| 변경 이력 | 모든 소프트웨어 변경의 문서화(감사 추적) |
3. 제품 책임 보험 재검토
기존 보험은 물리적 의료기기 중심으로 설계되어 있을 가능성이 높다. Sompo International의 분석에 따르면, 보험사는 다음을 평가할 것으로 예상된다:
- 소프트웨어 결함 리스크(기술 리스크 + 제품 리스크 하이브리드)
- AI 시스템의 자율적 행동에 대한 책임
- 사이버보안 침해로 인한 제품 결함
- 25년 장기 책임 테일
한국 제조사는 EU 시장 진출 전에 소프트웨어·AI를 커버하는 제품 책임 보험으로 전환해야 한다.
4. 공급망 계약 업데이트
소프트웨어 공급망의 각 당사자 간 책임 분할이 New PLD에서 중요해진다:
- AI 모델 공급자(한국 제조사가 제3자 AI를 탑재하는 경우): AI 공급자와의 계약에 책임 분할(indemnification) 명시
- 클라우드 서비스 제공자: 연결형 서비스가 "제품의 안전에 필수적"인 경우, 클라우드 제공자도 책임 범위에 포함
- EU 내 시스템 통합업체: 병원에 설치하는 시스템 통합업체가 "실질적 변경자"가 되지 않도록 계약 경계 설정
5. 개인정보 손해 포함
New PLD는 청구 가능한 손해에 데이터 파괴·손상을 포함한다. 의료기기가 환자 데이터를 처리하는 경우, 소프트웨어 결함으로 인한 데이터 유출이나 손상도 제품 책임의 대상이 된다. 이는 GDPR과의 교차 영역이며, 두 법령의 책임이 중복될 수 있다.
EU AI Act과의 교차
EU AI Act(Regulation (EU) 2024/1689)이 고위험 AI 시스템을 규정하고, New PLD가 AI 시스템의 제품 책임을 규정한다. IBA의 분석에 따르면, AI Act은 PLD에서 AI 공급자를 "제조사"로 정의하는 근거가 된다.
2025년 12월 EU 위원회가 발표한 MDR/IVDR 간소화 제안(Proposal 2025/0404)에 따르면, 의료기기는 AI Act Annex I Section B로 이동될 예정이다. 이 경우 Article 2(2)에 의해 AI Act 규정이 제한적으로만 적용되어, MDR과 AI Act 간 중복 규제를 방지하는 방향이다.
하지만 제품 책임은 MDR과 무관하게 PLD가 독자적으로 적용되므로, AI Act과 MDR의 조정 여부와 관계없이 PLD 대응은 필수다.
다음 90일 실행 순서
- Day 1-14: 현재 EU AR 계약, importer 계약, distributor 계약의 책임 조항 전수 검토
- Day 15-30: 제품 책임 보험 현재 보장 범위 확인. 소프트웨어·AI 결함, 데이터 손상, 25년 장기 테일 커버 여부
- Day 31-45: 소프트웨어 업데이트 정책 문서화. EOL 정책, 사이버보안 취약점 대응, AI 모델 변경 관리
- Day 46-60: 공급망 계약 업데이트. AI 모델 공급자, 클라우드 서비스, 시스템 통합업체와의 indemnification 조항
- Day 61-75: 기술문서에 소프트웨어 변경 이력 및 감사 추적 항목 추가
- Day 76-90: EU 내 법률 자문과 함께 AR 계약 재협상. AR 보험 요건 및 책임 한도 합의
참고 문서
- Directive (EU) 2024/2853, Official Journal of the European Union, L 289/12(2024년 11월 18일)
- Bird & Bird, "EU Revised Product Liability Directive 2024: Navigating the New Liability Framework for Non-EU Manufacturers"(2025)
- Gibson Dunn, "EU Product Liability Directive: Responding to Software, AI and Complex Supply Chains"(2026년 3월 23일)
- Hogan Lovells, "EU introduces comprehensive digital-era Product Liability Directive"
- Pinsent Masons, "How new EU product liability rules will impact the healthcare sector"(2026년 2월 5일)
- Taylor Wessing, "New Product Liability Directive 2024/2853: New product liability risks for products in the EU"(2025년 1월)
- ECIPE, "The Economic Burden of the Revised Product Liability Directive on EU and Non-EU Countries"
