ISO 14971:2019 리스크관리 파일 — 한국 의료기기가 EU MDR '조화표준이지만 충분하지 않다'는 한계와 FDA 사이버보안 리스크 정의 차이에서 막히는 것
ISO 14971:2019 리스크관리 파일(RMF) 구축 및 보완 실무 가이드. EU MDR에서 EN ISO 14971:2019+A11이 조화표준이지만 모든 GSPR을 커버하지 못하는 적합성 추정 한계 극복법과 FDA 사이버보안 가이던스 리스크 정의 차이 정합성 확보 방안.
의료기기 인허가의 아킬레스건, 리스크관리 파일(RMF)
한국의 의료기기 스타트업 및 전통적 하드웨어 기기 제조사들이 미국 FDA 510(k)/PMA 및 유럽 EU MDR(Medical Device Regulation) 인허가를 획득하려 할 때, Notified Body(인증기관) 심사나 FDA의 AI(Additional Information) 요청에서 가장 단골로 지적받는 항목이 바로 **ISO 14971:2019 기반의 리스크관리 파일(Risk Management File, RMF)**이다.
대부분의 기업은 ISO 14971:2019(의료기기 리스크 관리 적용에 관한 국제 표준) 인증을 획득했기 때문에 자사의 리스크관리 프로세스에 문제가 없을 것이라 여긴다. 하지만 실무적으로 규제 당국이 심사하는 리스크관리 파일은 단순히 '표준 인증서'를 보여주는 것으로 끝나지 않는다.
특히 다음 두 가지 차원에서 한국 기업들이 자주 막히게 된다.
- 유럽 MDR 적합성 추정의 한계: EN ISO 14971:2019(+A11:2021)는 2022년 5월 OJEU(유럽연합 공식저널)에 MDR 조화표준으로 등재(Commission Implementing Decision (EU) 2022/757)되어 적합성 추정(presumption of conformity)을 부여받는다. 그러나 Annex ZA가 MDR Annex I(GSPR) 전체를 커버하지는 않는다 — 예컨대 GSPR 1의 'state-of-the-art(최신기술수준)' 반영과 '가능한 한 리스크를 최소화' 요건은 ISO 14971만으로 입증되지 않는다. 즉 ISO 14971은 "필요하지만 충분하지 않다(necessary but not sufficient)".
- FDA 사이버보안 리스크의 수학적 모순: FDA의 Premarket Cybersecurity 가이던스(2026년 2월 최신판, 2023년 9월 최초 최종판을 대체)가 요구하는 위협 평가는 ISO 14971이 기본적으로 정의하는 '리스크 = 발생 가능성(Probability of Occurrence) × 심각도(Severity)' 공식과 상충한다. 소프트웨어 취약점을 이용한 해킹 위협은 발생 가능성($P_1$)을 통계적으로 계산할 수 없기 때문이다.
이 글에서는 ISO 14971:2019 표준의 본질을 꿰뚫고, 유럽 MDR 조화표준의 적합성 추정 한계와 FDA 사이버보안의 정의 차이라는 고난도 컴플라이언스 갭을 극복하는 구체적인 구축 방법을 다룬다.
ISO 14971:2019 리스크관리 파일의 핵심 구성요소와 ISO/TR 24971:2020 활용법은 무엇인가?
ISO 14971:2019(제3판)는 의료기기 라이프사이클 전체에 걸친 체계적인 리스크 관리 프로세스를 정의한다.
flowchart TD
A["리스크 관리 계획<br/>(Risk Management Plan)"] --> B["리스크 분석 및 평가<br/>(Risk Analysis & Evaluation)"]
B --> C["리스크 통제 및 완화<br/>(Risk Control Measures)"]
C --> D["잔여 리스크 평가 및 수용성<br/>(Overall Residual Risk Evaluation)"]
D --> E["리스크 관리 보고서 작성<br/>(Risk Management Report)"]
E --> F["생산 및 생산 후 정보 모니터링<br/>(Production & Post-Production)"]
F -->|피드백 루프| B
많은 기업이 이 단계를 문서 템플릿만 채우는 요식 행위로 처리하여 심사 결함을 받는다. 이를 방지하려면 공식 가이드라인 동반문서인 **ISO/TR 24971:2020(ISO 14971 적용 지침서)**을 반드시 함께 검토해야 한다.
리스크관리 파일(RMF)의 필수 컴포넌트
Notified Body 심사관이 RMF를 열었을 때 반드시 물리적으로 검증하는 항목들은 다음과 같다.
- Risk Management Plan (계획서): 리스크 수용 기준(Acceptability Criteria), 평가 방법론, 라이프사이클 단계별 검토 일정, 담당자 역량 매트릭스(Competence Matrix).
- Hazard Identification (위해요인 파악): 정상 동작 및 고장 상태, 오용(Use Error) 케이스를 포함한 모든 예측 가능한 위해 요인 목록.
- Risk Assessment Matrix (위험성 평가표 - FMEA 등): 완화 조치 전/후의 발생 가능성(P) 및 심각도(S) 지표 매핑.
- Risk Control Option Analysis (통제안 분석): 디자인 개선 -> 보호 장치 -> 안전 정보(라벨링)로 이어지는 리스크 통제 3단계 계층 구조의 반영 증적.
- Risk Management Report (보고서): 전체 잔여 리스크(Overall Residual Risk)가 수용 가능한 수준인지에 대한 총괄 서명 및 승인 문서.
왜 EN ISO 14971은 MDR 적합성 추정을 '완벽히' 주지 못하는가 (조화표준의 한계)?
한국 의료기기 제조사들이 가장 많이 겪는 유럽 CE MDR 심사 보완 요청 사유 중 하나는 바로 MDR General Safety and Performance Requirements (Annex I GSPR)와 ISO 14971 리스크 평가서의 단절이다. 흔히 "EN ISO 14971에 Annex Z가 없어서 MDR 적합성 추정을 못 받는다"는 설명이 돌지만, 이는 과거(2019~2020년) 이야기이며 2026년 7월 현재 기준으로는 정확하지 않다.
적합성 추정(Presumption of Conformity)의 현재 상태
MDR Article 8에 의하면 유럽 공식 저널(OJEU)에 등재된 조화표준(Harmonised Standard)을 준수하면 해당 표준이 커버하는 법적 요건을 만족한 것으로 추정해 준다. EN ISO 14971:2019는 개정판 A11:2021을 통해 MDR용 부속서 Annex ZA(및 IVDR용 Annex ZB)를 추가했고, 2022년 5월 17일 Commission Implementing Decision (EU) 2022/757에 의해 OJEU에 MDR 조화표준으로 등재되었다. 즉 현재 EN ISO 14971:2019+A11:2021은 MDR에 대해 적합성 추정을 부여한다.
그런데도 "충분하지 않다" — Annex ZA가 커버하지 못하는 GSPR
핵심 함정은 매핑의 범위에 있다. Annex ZA는 ISO 14971의 일부 절(리스크관리계획·분석·평가·통제·전체 잔여리스크 평가 등)을 특정 GSPR에 매핑하지만, MDR Annex I GSPR 전체를 커버하지는 않는다. 특히 다음 요건은 ISO 14971 준수만으로 추정되지 않는다.
- GSPR 1 'state-of-the-art(최신기술수준)' 반영: ISO 14971은 리스크관리 프로세스를 규정할 뿐, 개별 기기가 실제로 최신 기술수준을 반영했는지는 판단하지 않는다.
- GSPR 1 '가능한 한 리스크를 최소화(Reduce risks as far as possible)': ISO 14971은 제조자가 정한 '수용 기준(Acceptability Criteria)'을 전제로 리스크를 평가하지만, MDR은 비용과 무관하게 추가 완화 수단이 있으면 더 줄일 것을 요구한다. 두 접근 사이의 개념적 괴리가 Notified Body 지적의 단골 원인이다.
Notified Body 심사 보완을 피하기 위한 보완 전략
유럽 심사관들은 "ISO 14971에 따라 리스크가 자사 수용 기준 이하이므로 통제를 끝냈다"는 보고서만으로는 GSPR 1을 충족했다고 보지 않는다. MDR 하에서는 가능한 한 리스크를 더 줄일 수 있는 기술적 수단이 있다면 경제적 비용과 무관하게 추가로 완화해야 한다.
따라서 EU MDR 기술문서 작성 시 RMF 내에 다음 매핑 구조를 명시해야 한다.
| MDR Annex I GSPR 조항 | GSPR 요구사항 요약 | RMF (ISO 14971) 내 매핑 및 완화 증적 |
|---|---|---|
| GSPR 1 | 리스크 수준을 환자 및 사용자가 수용 가능한 안전 수준으로 최소화 | 전체 잔여 리스크 수용성 평가 기준(Benefit-Risk Analysis)과 연계 입증 |
| GSPR 2 | 의도된 사용 목적에 부합하는 안전성 및 성능 확보 | 제품 사양서(Product Spec) 및 디자인 통제 문서 번호 매핑 |
| GSPR 3 | 리스크 관리 시스템 구축 및 유지 관리 | 리스크 관리 계획서 및 라이프사이클 모니터링 SOP 연결 |
| GSPR 4 | 리스크 통제 조치 설정 (우선순위 준수) | 디자인 개선 -> 보호대책 -> 경고문 순서의 통제 옵션 분석서(ROA) 증빙 |
FDA 사이버보안 가이던스와 ISO 14971 리스크 정의의 모순은 어떻게 해결하는가?
소프트웨어 의료기기(SaMD) 또는 모바일 앱, 네트워크 연동 장비를 개발하는 한국 기업들은 미국 FDA 510(k) 심사 시 FDA 사이버보안 프리마켓 가이던스의 장벽에 부딪힌다.
ISO 14971 공식의 모순
ISO 14971에서는 리스크(R)를 다음과 같이 평가한다.
$$Risk = P(Harm) \times Severity$$
여기서 $P(Harm)$은 다시 위해 요인(Hazard)이 발생할 가능성($P_1$)과 위해 요인이 임상적 유해(Harm)로 이어질 가능성($P_2$)의 곱으로 표현된다.
$$P(Harm) = P_1 \times P_2$$
그러나 사이버보안 취약점(Vulnerability)의 경우, 해커가 해당 취약점을 찾아내 공격을 성공시킬 확률($P_1$)을 통계적 데이터나 시험을 통해 사전에 정량화하는 것은 근본적으로 불가능하다.
FDA 해결 프레임워크: 위협 모델(Threat Model) 중심 평가
FDA 사이버보안 가이던스는 AAMI TIR57의 보안 리스크 모델을 참조하여, 사이버 위협의 '발생 가능성'을 안전 리스크처럼 통계적으로 산정하지 않는다. 취약점이 존재하면 위협 주체(Threat actor)가 이를 악용할 수 있다고 전제(exploitability를 사실상 확정)하고, 대신 CVSS(Common Vulnerability Scoring System) 점수와 임상적 위해 심각도를 결합해 통제 수준을 결정하도록 유도한다. 즉 '공격 확률을 정량화하기 어려우므로, 취약점이 있으면 악용된다고 보고 설계로 완화하라'는 방향이다.
따라서 사이버보안 리스크 관리 시에는 기존의 확률 기반 P-S 매트릭스 대신 CVSS 및 Exploitability(공격 용이성) 매트릭스를 활용해야 한다.
[전통적 ISO 14971 RMF] ----> 확률(P1 x P2) x 심각도(S) ----> 수용 여부 결정 (사이버보안엔 적용 불가능)
[FDA 사이버보안 RMF] ----> 취약점 등급(CVSS) x 임상적 위해 심각도(S) ----> 완화 통제 대책(Secure Design)
한국 SaMD 개발팀은 이 차이를 인지하고, 사이버보안 리스크 관리 보고서를 전체 하드웨어 리스크 관리 파일과 이원화하거나 특수 부속서 형태로 결합하여 제출해야 FDA AI 지적을 피할 수 있다.
리스크관리 파일(RMF)과 IEC 60601-1 안전 표준의 정합성은 왜 중요한가?
전기·전자기계 의료기기의 안전 표준인 IEC 60601-1(제3.1판 및 3.2판)은 표준 구조 자체에 리스크 관리를 내재화하고 있다. 한국 제조사가 시험소에서 성적서를 받아 인허가를 준비할 때 흔히 저지르는 실수는 시험 결과와 리스크관리 파일의 연계가 유실되는 것이다.
- Particular Standards(개별 표준) 연계: 예를 들어 레이저 의료기기(IEC 60601-2-22)나 인공호흡기(ISO 80601-2-12) 등 특정 품목 표준들은 리스크 평가 시 반드시 특별히 다루어야 할 고유 위해 요인(Particular Hazards)을 지정하고 있다. 이 항목들이 RMF FMEA 테이블에 매핑되어 있지 않으면 심사는 통과할 수 없다.
- Essential Performance (필수성능): 기기의 오작동이 환자에게 수용 불가능한 위험을 초래하는 '필수성능' 기준이 RMF 상의 위해 요인 분석 결과와 일치해야 한다. 시험 성적서 상의 필수성능 정의와 RMF의 정의가 다르면 서류 정합성 오류로 보완 요청을 받게 된다.
RMF 라이프사이클 통합을 위해 CER, PMS, PMCF와 어떻게 연계할 것인가?
리스크관리 파일은 제품 출시 승인과 함께 서랍 속에 넣어두는 고정 문서가 아니다. 라이프사이클 전체에 걸쳐 동적으로 변해야 한다.
graph LR
RMF["리스크관리 파일<br/>(RMF)"] -->|유효성 검증| CER["임상평가보고서<br/>(CER)"]
CER -->|임상적 잔여 리스크 피드백| RMF
RMF -->|모니터링 지표 설정| PMS["시후시장감시<br/>(PMS/PSUR)"]
PMS -->|실제 필드 위해성 정보 피드백| RMF
PMS -->|추가 임상 근거| PMCF["시후임상추적조사<br/>(PMCF)"]
PMCF -->|새로운 위험성 데이터| RMF
1. RMF와 CER(임상평가보고서)의 동기화
- RMF 상에서 정의된 제품의 '임상적 잔여 리스크(Clinical Residual Risks)'와 이상반응(Adverse Events) 발생 가능성은 CER 본문 내의 안전성 데이터 분석 및 문헌 조사 결과와 완벽하게 일치해야 한다.
- ISO 10993-1 생물학적 안전성 평가 자료에서 도출된 독성학적 잔여 위험 요인 역시 RMF의 생체적합성 위해 요인 항목으로 수렴되어야 한다.
2. RMF와 PMS(사후시장감시) 및 PMCF(시후임상추적조사)의 피드백 루프
- 제품 출시 전 RMF에서 예측했던 특정 위해 요인의 발생 빈도가 실제 시장 유통 후(PMS 데이터) 높게 나타난다면, 스폰서는 RMF FMEA 테이블의 발생 가능성(P) 값을 업데이트하고 추가적인 완화 조치(디자인 변경 또는 Field Safety Corrective Action)를 시행해야 한다.
- 신규 유입되는 시장 데이터와 PMCF 보고서는 RMF를 주기적으로 업데이트하는 핵심 입력(Input) 정보가 된다.
결론 및 다음 90일 실행 순서는 어떻게 되는가?
ISO 14971:2019 리스크관리 파일은 인허가 통과를 위한 최종 관문이다. 한국 의료기기 제조사들은 규제 표준의 문구에만 얽매이지 말고, 유럽 MDR Annex Z와 FDA 사이버보안의 독자적 성격을 반영한 실질적인 문서를 구축해야 한다. 이를 위해 다음 90일 동안 아래의 우선순위 실행 과제를 이행할 것을 권장한다.
- 초기 30일: 기존 RMF 및 규제 갭 분석
- 현재 보유한 RMF가 ISO 14971:2019 및 ISO/TR 24971:2020 가이드라인의 구성 요소를 누락 없이 반영하고 있는지 체크리스트를 통해 검증한다.
- 자사 기기가 사이버보안 대상 기기(네트워크 연동 등)인 경우, 리스크 관리 계획에 CVSS 및 Exploitability 기반 평가 프로세스가 추가되어 있는지 확인한다.
- 중기 60일: GSPR 매핑 표 구축 및 품질 시스템(QMS) 연계
- RMF의 FMEA 테이블 위해 요인들을 EU MDR Annex I GSPR 개별 조항들과 1:1로 직접 매핑하는 GSPR 정합성 매핑 매트릭스를 작성한다.
- 필수성능(Essential Performance) 정의를 재검증하고, IEC 60601-1 시험 규격과의 정합성을 일치시킨다.
- 후기 90일: RMF - CER - PMS 사후 모니터링 연계 프로세스 실행
- 사후 시장 감시(PMS/PMCF) 부서와 QA 부서 간의 연간 피드백 미팅 일정을 수립한다.
- 시장 불만 사항(Complaints) 및 이상반응 트렌드가 발생할 때 RMF FMEA 데이터가 자동으로 업데이트되고 유관 문서(CER 등)로 연동되는 변경 관리 SOP를 수립한다.
참고 출처
- 국제표준화기구 (ISO) — ISO 14971:2019 공식 안내 페이지
ISO 14971:2019 - Medical devices — Application of risk management - 미국 식품의약국 (FDA) — 의료기기 리스크 기초 가이드라인 PDF
FDA - Risk Basics for Medical Devices Guidance Document - ISO TC 210 — EN ISO 14971:2019+A11:2021의 MDR/IVDR 조화표준 OJEU 등재 (Commission Implementing Decision (EU) 2022/757, 2022년 5월 17일) 및 Annex ZA/ZB 현황
ISO TC 210 - Recognition of EN ISO 14971 as a harmonized standard - 미국 식품의약국 (FDA) — 의료기기 프리마켓 사이버보안 가이던스 (2026년 2월 최종, 2023년 9월 최초 최종판을 대체)
FDA - Cybersecurity in Medical Devices Premarket Guidance - Johner Institute — 의료기기 리스크관리 파일(RMF) 구축 및 심사 가이드
Johner Institute - Risk Management File Compliance - Greenlight Guru — 의료기기 ISO 14971 실무 가이드라인
Greenlight Guru - ISO 14971 Risk Management Guide