FDA 의료기기 실사 대비 체크리스트 — QMSR·CP 7382.850 시대에 한국 제조사가 준비해야 할 것
2026년 2월 QMSR이 시행되면서 FDA 의료기기 실사 방식이 근본적으로 바뀌었다. CP 7382.850에 맞춰 한국 제조사가 surveillance·for-cause 실사에 대비하는 실무 체크리스트를 정리했다.
QMSR이 바꾼 실사의 현실
2026년 2월 2일, FDA 의료기기 실사가 근본적으로 바뀌었다. 이날부터 품질시스템규제(QMSR)가 기존 품질시스템규정(QSR, 21 CFR Part 820)을 대체했고, 수십 년간 쓰이던 QSIT(Quality System Inspection Technique) 검사 방법이 폐지되었다. 대신 새로운 컴플라이언스 프로그램 CP 7382.850이 실사 지침이 되었다.
이 변화는 한국 의료기기 제조사에게 직접적 영향을 미친다. FDA는 외국 제조소에도 동일한 기준을 적용하며, 한국 제조사는 MDSAP 인증이 있더라도 for-cause 실사나 compliance follow-up 대상이 될 수 있다. 특히 FDA는 ISO 13485 인증서가 QMSR 준수를 대체하지 않는다고 명시했다. 인증서가 있어도 실사에서 지적받을 수 있다.
CP 7382.850 실사 유형별 구조
새로운 컴플라이언스 프로그램은 실사 유형에 따라 두 가지 모델을 적용한다.
실사 유형
| 실사 유형 | 설명 | 적용 모델 |
|---|---|---|
| 기준 감시(Baseline Surveillance) | FDA 실사 이력이 없거나 MDSAP 감사 이력이 없는 제조사 대상 | Model 2 |
| 비기준 감시(Non-Baseline Surveillance) | 이전 실사 결과가 NAI(지적 없음) 또는 VAI(자발적 시정)인 제조사 | Model 1 |
| 컴플라이언스 추적(Compliance Follow-up) | 이전 실사에서 규제 조치가 있었던 제조사, 금지 명령 이후 활동 모니터링 포함 | Model 1 |
| 원인 실사(For-Cause) | 특정 정보(신호, 이슈, 불만)에 대응하여 실시 | Model 1 |
| 특정 제품 위험 배정(SPRA) | 특정 제품에 대한 위험 식별 시 | Model 1 |
| PMA 사전 승인 | PMA 신청에 따른 제조소 확인 | Model 2 |
| PMA 사후 승인 | PMA 승인 후 모니터링 | Model 1 |
검사 모델
Model 1(대부분의 실사): 리스크 기반 접근. 각 QMS 영역에서 최소 1개 이상의 요소를 선택하여 검사한다. 6개 QMS 영역과 4개 OAFR(Other Agency Functional Responsibilities)을 평가한다.
Model 2(기준 감시, PMA 사전 승인): 포괄적 접근. 비멸균 기기의 경우 6개 QMS 영역에서 최소 22개 요소, 멸균 기기의 경우 23개 요소를 모두 검사한다.
6개 QMS 영역과 4개 OAFR
| QMS 영역 | 주요 내용 |
|---|---|
| 조직과 리더십 | 품질정책, 관리책임, 경영검토 |
| 리스크 관리 | ISO 14971 기반 위험관리, 리스크 기반 의사결정의 증거 |
| 설계 개발 | 설계 입력·출력·검증·타당성확인, 설계 변경 관리 |
| 생산 및 공정 관리 | 공정 검증, 환경 관리, 장비 관리, 멸균 관리(해당 시) |
| 구매 및 공급자 관리 | 공급자 평가·선정·모니터링, 품질협정 |
| 모니터링, 측정, 분석 | 내부 감사, 불만 처리, CAPA, 시정·예방조치 |
| OAFR | 설명 |
|---|---|
| 의료기기 보고(MDR) | 21 CFR Part 803, 사건 보고 의무 |
| 시정·회수 보고 | 21 CFR Part 806, 자발적 시정 및 회수 보고 |
| 의료기기 추적 | 21 CFR Part 821, 추적 대상 기기 관리 |
| 고유 기기 식별(UDI) | 21 CFR Part 830, GUDID 등록 및 UDI 부착 |
FDA가 20년간 반복해서 지적하는 것
MD+DI(2026년 2월)가 FDA 경고서 자료를 분석한 결과, CAPA, 설계 관리, 불만 처리가 전체 지적의 3분의 1 이상을 차지했다. 20년 동안 같은 패턴이 반복되고 있다.
가장 빈번한 Form 483 지적 (2026년 기준)
| 순위 | 지적 영역 | 대표적 문제 |
|---|---|---|
| 1 | CAPA 시스템 | 근본원인 분석 누락("작업자 오류"로 끝남), 유효성 확인 미실시, CAPA가 모든 출처(불만, 감사, 불량)를 포괄하지 못함 |
| 2 | 불만 처리 | 구두 불만 미기록, 조사 지연, MDR 보고 대상 누락, 불만-CAPA 연계 없음 |
| 3 | 설계 관리 | 위험분석 미수행, 위험분석 결과 미문서화, 소프트웨어 검증 누락 |
| 4 | 공정 관리 | DMR이 실제와 불일치, 검증 누락·만료, 장비 교정 미이행 |
| 5 | 문서·기록 관리 | DHR 누락·불완전, 기록 판독 불가, 서비스 기록 미유지 |
| 6 | 공급자 관리 | 공급자 평가 절차 미비, 품질협정 누락, 공급자 변경관리 미흡 |
| 7 | 내부 감사 | 감사가 형식적, 시정조치 미이행, 경영검토에서 감사 결과 미반영 |
한국 제조사 특유의 리스크
한국 의료기기 제조사가 FDA 실사에서 겪는 추가 리스크는 다음과 같다.
- 언어 장벽: 실사관의 질문에 한국어로 준비한 절차서의 의미가 정확히 전달되지 않는 경우
- 문서 대 실무 불일치: 한국어 절차서는 완비되어 있으나 실제 작업자가 다르게 수행하는 경우
- 리스크 관리의 형식화: 위험관리 파일이 있으나 설계 변경이나 공정 변경 시 업데이트되지 않는 경우
- CAPA 루프 미작동: CAPA가 개설되지만 근본원인 분석 없이 "재교육 실시"로만 닫히는 경우
QMSR 실사 대비 체크리스트
한국 제조사가 다음 FDA 실사를 대비해 점검해야 할 항목을 단계별로 정리한다.
Phase 1: CP 7382.850 이해 (1–2주)
- CP 7382.850 전문 읽기 (78페이지, FDA 웹사이트에서 다운로드 가능)
- 실사 유형별 모델(Model 1 vs Model 2) 확인
- MDSAP 인증 상태와 FDA 실사 이력 확인 → 해당 모델 파악
- QMSR과 기존 QSR의 차이점 교육 (ISO 13485:2016 통합, 리스크 기반 의사결정 강화)
Phase 2: 6개 QMS 영역 갭 분석 (3–6주)
- 조직과 리더십: 품질정책, 관리책임, 경영검토 기록의 완전성
- 리스크 관리: 위험관리가 설계·생산·구매·사후관리 전반에 통합되어 있는지의 증거
- 설계 개발: 설계 입력→출력→검증→타당성확인→설계 이전의 추적성, 위험관리 파일과의 연계
- 생산 및 공정 관리: 공정 검증, 환경 모니터링, 장비 IQ/OQ/PQ, 멸균 검증(해당 시)
- 구매 및 공급자 관리: 공급자 분류, 평가, 모니터링, 품질협정, 공급자 변경 통지 절차
- 모니터링, 측정, 분석: 내부 감사 계획·보고서, CAPA 시스템, 불만 처리, 데이터 분석
Phase 3: 4개 OAFR 점검 (2–3주)
- MDR(21 CFR 803): 보고 기준, 30일/5일 보고 프로세스, 최근 2년 보고 이력 검토
- 시정·회수 보고(21 CFR 806): 자발적 시정·회수 절차, 보고 체크리스트
- 기기 추적(21 CFR 821): 추적 대상 기기 여부, 추적 프로세스
- UDI(21 CFR 830): GUDID 등록 상태, UDI 부착·기록 관리
Phase 4: 모의 실사(Mock Inspection) (2–3주)
- Model 1 또는 Model 2에 따른 모의 실사 시나리오 작성
- 외부 전문가(전직 FDA investigator 또는 GMP 감사 기관) 참여 모의 실사 실시
- 모의 실사 결과로 식별된 갭에 대한 CAPA 개설
- CAPA 완료 후 증거 패키지 준비
Phase 5: 실사 대응 준비 (지속)
- 실사 대응 매뉴얼(실사관 요청 문서 목록, 담당자 연락처, 회의실 준비 등) 업데이트
- 영문 절차서·기록의 최신 버전 확인 (한국어 원본과 일치 여부)
- Form 483 대응 프로세스 사전 수립 (15일 이내 응답, 근본원인 분석, 증거 제출)
- 2026년 3월 FDA 드래프트 가이던스 "Responding to Form 483 Observations" 검토
Form 483 응답 — 2026년 새로운 가이던스
2026년 3월 6일, FDA는 Form 483 관찰사항에 대한 응답 방법에 대한 드래프트 가이던스를 발표했다. 주요 내용은 다음과 같다.
- 구조적이고 증거 기반의 응답: "관련 데이터의 누락, 과도한 데이터 제출, 관찰사항의 근본원인 미다루기"를 부적절한 응답의 예로 들었다
- 범위 확장: 특정 관찰사항이 다른 의약품·배치·공정·시설·위탁제조사에도 영향을 미치는지 평가해야 한다
- 추세 분석: 과거 실사 결과, 내부 감사 결과를 포함한 경향성 평가 필요
- 근본원인 식별: "가장 명백한 원인"만 다루는 것으로는 불충분하며, 재발 방지가 되어야 한다
한국 제조사는 실사 후 15영업일 이내에 응답해야 한다. 이 기간 동안 근본원인 분석, 영향 범위 평가, CAPA 계획, 증거 문서를 준비해야 하므로, 사전에 응답 템플릿과 프로세스를 갖추는 것이 필수적이다.
한국 제조사 실사 대비 우선순위
한국 제조사의 제한된 자원을 고려할 때, 다음 순서로 준비하는 것이 효율적이다.
| 우선순위 | 항목 | 이유 |
|---|---|---|
| 1 | CAPA 시스템 정비 | 전체 지적 중 가장 빈도 높음, 근본원인 분석·유효성 확인 프로세스 확립 |
| 2 | 리스크 관리 통합 증거 | QMSR의 가장 큰 변화, 실사관이 "리스크가 어떻게 의사결정에 반영되는가"를 묻는다 |
| 3 | 불만-MDR-CAPA 연계 | 불만 처리에서 MDR 보고, CAPA 개설까지의 추적성 확보 |
| 4 | 공급자 품질협정 | FDA가 공급자 관리를 강화하고 있으며, 한국 제조사는 해외 공급자 관리에 취약 |
| 5 | 내부 감사의 실질화 | 형식적 감사가 아닌, 시스템적 갭을 식별하는 감사로 전환 |
QMSR이 바꾼 또 하나의 중요한 변화 — 내부 감사·경영검토 공개
QMSR 이전에는 FDA 실사관이 기업의 내부 감사(internal audit) 보고서와 경영검토(management review) 기록을 열람할 수 없었다. CPG Sec. 130.300(1998)이 이를 보호했기 때문이다.
QMSR이 시행되면서 이 보호가 사라졌다. CP 7382.850은 내부 감사와 경영검토를 6개 QMS 영역의 검사 요소로 명시적으로 포함했다. FDA의 QMSR FAQ 웹페이지에서도 공급자 감사 보고서가 실사 중 열람 대상이라고 명시했다.
한국 제조사는 이 변화에 특히 주의해야 한다. 기존에는 내부 감사에서 발견한 문제를 외부에 공개할 필요가 없었지만, 이제는 FDA가 이를 직접 요청할 수 있다. 내부 감사가 형식적이거나, 발견된 갭에 대한 시정조치가 미흡하면, 그 자체가 지적사항이 될 수 있다.
대응: 내부 감사 보고서와 경영검토 기록을 실사 대비 문서 패키지에 포함시켜야 한다. 감사가 실질적인 시스템 평가를 수행하고, 발견사항에 대한 CAPA가 제대로 실행되고 있음을 증명해야 한다.
원격 규제 평가(Remote Regulatory Assessment)
FDA는 현장 실사 외에도 원격 규제 평가(RRA)를 수행할 수 있다. RRA는 화상 회의, 문서 요청, 전자 기록 검토를 통해 이루어지며, 현장 실사를 대체하는 것은 아니지만 규제 판단의 근거가 될 수 있다.
한국 제조사는 RRA에도 대비해야 한다:
- 실사관이 화상으로 제조 현장을 볼 수 있도록 웹캠·태블릿 준비
- 전자 문서 접근 체계(EDMS) 구축으로 요청 문서를 신속하게 제공
- 영문 버전의 절차서·기록을 항상 접근 가능한 상태로 유지
다음 90일 실행 순서
| 주차 | 실행 항목 |
|---|---|
| 1–2주 | CP 7382.850 전문 독해, 내부 QMSR 갭 분석 착수 |
| 3–4주 | 6개 QMS 영역별 갭 식별, CAPA 시스템 진단 |
| 5–6주 | 리스크 관리 통합 증거 점검, 설계 관리 파일 업데이트 |
| 7–8주 | OAFR 4개 항목 점검, MDR 보고 이력 검토 |
| 9–10주 | 외부 모의 실사 실시, 관찰사항에 대한 CAPA 개설 |
| 11–12주 | CAPA 완료, 실사 대응 매뉴얼 업데이트, 전 부서 교육 |
참고 출처
- FDA, "Inspection of Medical Device Manufacturers — Compliance Program 7382.850" (January 30, 2026)
- FDA, "Flexible Requirements for Cell and Gene Therapies to Advance Innovation" (January 11, 2026)
- FDA, "Center for Devices and Radiological Health (CDRH) Compliance Programs" (updated February 2, 2026)
- FDA, "Draft Guidance: Responding to Form 483 Observations After Drug CGMP Inspections" (March 6, 2026)
- King & Spalding, "The QMSR Goes Live and FDA Implements a New Medical Device Inspection Technique" (February 2026)
- Hogan Lovells, "FDA Updates Compliance Program Inspection Manual for the QMSR Age" (February 2026)
- MD+DI, "Inside the Most Common FDA Inspection Issues" (February 5, 2026)
- Emergo by UL, "QMSR: What the U.S. FDA's New Inspection Manual Really Means for Device Manufacturers" (2026)
- QMS.Coach, "FDA Compliance Program 7382.850: The Definitive Guide" (2026)
- FDA, "Medical Device Risk-Based Inspections" 테크니컬 토크 (April 1, 2026)
