GMP 감사 기관 선택 가이드 — 한국 제조사가 글로벌 컴플라이언스를 위해 감사 회사를 평가하는 기준

왜 GMP 감사 기관 선택이 전략적 판단인가

한국 제약·바이오텍·의료기기 회사가 글로벌 시장에 진출할 때, GMP 감사는 규제기관 실사 전 가장 중요한 관문이다. 하지만 감사를 누구에게 맡기느냐에 따라 리포트의 신뢰도, 해외 고객·규제기관의 수용 여부, 그리고 사후 조치의 방향이 크게 달라진다.

한국은 2014년 PIC/S 회원국이 되었고, 2019년에는 Swissmedic과 상호 GMP 신뢰 협정을 체결했다. EU 역시 한국에 whitelist 지위를 부여해, 한국 GMP 증명서만으로 EU 수출 시 별도 서면 확인을 면제받는다. 이런 위치에서 한국 제조사는 내부 자체 감사만으로는 부족하고, 외부 GMP 감사 기관의 독립적인 평가가 필요한 시점이다.

문제는 "어떤 감사 기관을 선택해야 하는가"다. SGS, BSI, TÜV SÜD, DNV, Intertek, NSF, 전문 컨설팅 회사까지 선택지가 많고, 각 기관의 강점과 약점이 제품 유형·규제 체계·지역에 따라 다르다.

감사 기관 유형별 역할과 한계

GMP 감사를 수행하는 기관은 크게 세 유형으로 나뉜다.

유형	예시	강점	한계
글로벌 인증 기관	SGS, BSI, TÜV SÜD, DNV, Intertek	다국적 네트워크, ISO 13485/ISO 9001 인증 동시 수행, 글로벌 인지도	감사자 수준 편차 큼, 대형 고객 위주 운영, 비용 상승 추세
GMP 전문 서비스	NSF, The FDA Group, Lachman, Parexel	전직 규제기관 출신 감사자, mock inspection, 규제 기관 관점 반영	인증 발급 불가, 컨설팅 중심이라 독립성 이슈 가능
규제기관 지정 기관(AO/NB)	BSI, TÜV SÜD, DNV(MDSAP AO)	MDSAP 인증, EU MDR CE 인증, 규제기관 공식 인정	대기 시간 길음(MDR NB 18–24개월), 비용 높음, 제품 심사와 감사 분리 어려움

핵심 구분: 인증(certification) 감사와 컴플라이언스(compliance) 감사는 목적이 다르다. 인증 감사는 ISO 13485나 MDSAP 인증서를 발급받기 위한 것이고, 컴플라이언스 감사는 내부 준비 상태를 점검하고 갭을 식별하는 것이다. 두 가지가 모두 필요할 수 있지만, 같은 기관에서 동시에 수행하면 독립성 문제가 생길 수 있다.

감사 기관 평가 체크리스트

한국 제조사가 GMP 감사 기관을 선택할 때 확인해야 할 10가지 기준이다.

1. 규제기관 인정 범위

감사 기관이 어느 규제기관의 요구사항까지 커버하는지 확인한다.

• FDA: 21 CFR Part 210/211(의약품), 21 CFR Part 820/QMSR(의료기기) 감사 역량
• EMA: EU GMP Part I/II 감사 역량, PIC/S 가이드라인 준수
• PMDA: 일본 GMP 요구사항 이해도
• MFDS: 한국 KGMP 기준과의 비교 역량
• WHO: WHO GMP 기준 감사 역량(공공 조달 시장 진출 시 필요)

EMA는 감사자가 "충분한 과학적·기술적 경험"을 갖추도록 요구하며, 감사자 자격요건과 훈련 이력을 문서화하도록 규정하고 있다.

2. 감사자 전문성과 자격

감사를 실제로 수행하는 개인의 역량이 기관의 브랜드보다 중요하다.

• 해당 제품 유형(무균제제, 바이오의약품, 의료기기, 세포·유전자치료제)에 대한 직접 감사 경험
• 전직 규제기관 출신 여부(FDA investigator, EMA/GMP inspector 등)
• ISO 19011 감사자 자격, CQI & IRCA 인증 Lead Auditor 여부
• 한국어 소통 가능 여부(또는 통역 지원 체계)

3. 리포트 품질과 활용도

감사 리포트는 규제기관 제출, 해외 고객 실사 대응, 내부 개선에 모두 쓰인다.

• 리포트가 관찰사항(observation)만 나열하는지, 근거와 위험도를 함께 설명하는지
• CAPA 권고사항이 실행 가능한지
• 규제기관이 해당 기관의 리포트를 신뢰하는지(과거 제출 경험)
• 샘플 리포트 제공 가능 여부

4. 이해상충(Conflict of Interest) 관리

EMA는 "감사 결과가 EU GMP 요구사항에 대한 충분하고 공정한 평가를 제공하지 못할 수 있는 모든 영향 요소"를 이해상충으로 간주한다. 동일 기관이 컨설팅과 감사를 동시에 수행하거나, 감사 대상 기관과 밀접한 비즈니스 관계가 있는 경우 독립성이 훼손될 수 있다.

• 컨설팅과 감사 서비스 분리 정책
• 감사 대상 기관과의 독립성 선언(Declaration of Independence)
• 이해상충 식별 및 관리 절차

5. 감사 범위 커스터마이징

표준 체크리스트 감사는 실질적 가치가 낮다.

• 제품별·공정별 맞춤 감사 계획 수립 가능 여부
• 한국 제조사의 주요 수출 시장 요구사항을 동시에 반영 가능 여부
• mock inspection(모의 실사) 서비스 제공 여부
• 사전 설문·문서 리뷰를 통한 risk-based scope 결정

6. 비용 구조의 투명성

2026년 기준, EU MDR Notified Body 감사 비용은 시간당 €250–420, QMS 감사는 €4,000–8,400 수준이다. MDSAP 감사는 전체 비용이 $35,000–80,000에 달한다. 하지만 비용은 기관 간 차이가 크고, 연례 인상률도 다르다.

• 감사 일수, 감사자 수, 여비, 리포트 작성비 등 세부 항목별 견적
• 연례 감사(surveillance audit) 비용 포함 여부
• 추가 비용 발생 조건(범위 확장, 재감사, 긴급 일정 변경 등)

7. 일정 가용성

EU MDR Notified Body의 경우 신규 고객 온보딩에 12–18개월이 소요될 수 있다. MDSAP AO도 연중 예약이 몰리는 시즌이 있다.

• 최초 감사 가능 일정
• 연례 감사 일정 확보 가능성
• 긴급 감사(규제기관 실사 전, 고객 요청 등) 대응 가능 여부

8. 사후 지원

감사는 끝나야 시작이다.

• CAPA 지원 및 교정조치 검토(review of corrective actions)
• 재감사(follow-up audit) 조건과 비용
• 규제기관 질의에 대한 대응 지원
• 지속적인 규제 업데이트 제공

9. 글로벌 네트워크 활용

다국적 제조사나 다지역 수출 기업에게 중요하다.

• 한국, 미국, 유럽, 일본 등 주요 시장 현지 감사자 보유
• 원격 감사(remote audit) 역량
• 다국어 리포트 발급

10. 참조 확인(Reference Check)

가장 확실한 검증 방법이다.

• 동종 업계 한국 고객사 참조 제공 가능 여부
• 규제기관(식약처, FDA, EMA)과의 직접 상호작용 경험
• 고객 만족도 지표(NPS, 재계약율)

주요 GMP 감사 기관 비교

아래 표는 2026년 기준 한국 제조사가 가장 많이 검토하는 기관들의 특징을 정리한 것이다.

기관	주요 강점	주요 고려사항	적합한 대상
SGS	100개국 이상 네트워크, 의약품·의료기기 모두 커버, 디지털 감사 플랫폼	대형 고객 위주, 감사자 수준 편차, 비용 상승 추세	다지역 수출, ISO 인증 동시 필요
BSI	EU MDR Notified Body, MDSAP AO, ISO 13485 인증 선도	해석이 엄격·때로 비합리적이라는 평가 존재, 비용 상위권	EU MDR CE 인증 필요, 영미권 중심
TÜV SÜD	기술 역량 우수, 소프트웨어 의료기기 이해도 높음	가장 비싼 축에 속함, 해석이 엄격하지만 합리적	고위험 의료기기, 디지털 헬스
DNV	리스크 관리 접근, 컨설팅적 관점, MDSAP AO	의료기기 분야 상대적으로 덜 집중	ISO 인증과 품질시스템 개선 동시 목표
Intertek	공급망 감사 경험 풍부, 유연한 일정	제약 GMP 깊이는 상대적으로 얕음	원료·공급망 감사 중심
NSF	전직 규제기관 출신 다수, mock inspection 강점	인증 발급 불가, 컨설팅 중심	FDA 실사 대비, 내부 갭 분석
The FDA Group	전직 FDA investigator, FDA 관점 감사	FDA 외 다른 규제기관 커버리지 제한	미국 시장 집중, FDA 실사 대비

한국 제조사가 자주 하는 5가지 실수

1. 브랜드만 보고 선택한다

SGS나 BSI가 "유명하다"는 이유만으로 선택하면 안 된다. 실제 감사를 수행하는 개인의 역량이 훨씬 중요하다. 계약 전 담당 감사자 이력을 반드시 확인해야 한다.

2. 인증 감사만 하고 컴플라이언스 감사를 놓친다

ISO 13485 인증서가 있어도 FDA 실사에서 지적받는 경우가 많다. 규제기관은 인증서보다 실제 운영 실태를 본다. FDA는 ISO 13485 인증서가 QMSR 준수를 대체하지 않는다고 명시했다.

3. 비용만 비교한다

가장 저렴한 견적이 가장 나쁜 선택일 수 있다. 감사 리포트가 규제기관과 해외 고객에게 수용되지 않으면, 재감사 비용이 훨씬 더 크다.

4. 한국어 소통을 고려하지 않는다

감사 중 통역 없이 진행되면, 한국 실무자의 설명이 충분히 전달되지 않아 과도한 지적이 나올 수 있다. 반대로 한국 실무자가 관찰사항의 뉘앙스를 오해할 위험도 있다.

5. 사후 관리를 계약에 포함하지 않는다

감사 리포트만 받고 끝나면, CAPA를 어떻게 실행할지 막막해진다. 재감사, CAPA 리뷰, 규제기관 질의 대응까지 계약 범위에 포함해야 한다.

감사 기관 선택 90일 실행 계획

기간	실행 항목	담당
1–2주	내부 요구사항 정의: 수출 대상국, 제품 유형, 규제 요구사항, 예산 범위	RA/QA 팀
3–4주	3–5개 기관 RFI(정보요청) 발송: 감사자 이력, 샘플 리포트, 참조 고객, 견적 요청	구매 + QA
5–6주	제안서 비교 평가: 위 10가지 기준 체크리스트 활용	QA + 경영진
7–8주	상위 2개 기관과 미팅: 감사 방법론, 일정, 계약 조건 협의	QA + 법무
9–10주	계약 체결 및 감사 계획 수립: 범위, 일정, 담당자, 사전 문서 목록 합의	QA
11–12주	사전 문서 준비 및 내부 모의 감사(mock audit) 실시	전 부서

참고 출처

• EMA, "Guidance on good manufacturing practice and good distribution practice: Questions and Answers", Chapter 5 — Auditor qualification and third-party audits
• PIC/S, "Guide to Good Manufacturing Practice for Medicinal Products" (PE 009-16)
• FDA, "Inspection of Medical Device Manufacturers — Compliance Program 7382.850" (January 2026)
• ISPE, "GMP Audit Checklist for Drug Manufacturers"
• KoreaBIO, "Korea Biotech & Pharma Industry Report 2025"
• MFDS, "KGMP Regulations for Medical Devices" (February 2026 update)
• NSF, "The Importance of GMP Auditing Services" (2026)
• Qualitiso, "Notified Body Fee Comparison" (2026)