MFDS 디지털의료품목법 2026: 한국 SaMD·AI 의료기기 기업이 알아야 할 분류·지정·승인 전략
디지털의료품목법 2단계 시행으로 건강관리기기까지 규제 대상에 편입됐다. PCCP, 사이버보안, KGMP 디지털 파트까지 2026년에 바뀐 것을 한국 AI·SaMD 기업이 놓치면 안 되는 이유를 정리한다.
왜 지금 이 법을 다시 봐야 하나
2026년 1월 24일, 디지털의료품목법(Digital Medical Products Act, DMPA)의 두 번째이자 마지막 단계가 시행됐다. 2025년 1월부터 이미 디지털의료기기와 디지털융합의약품이 이 법의 적용을 받고 있었지만, 이번 2단계에서 디지털의료·건강지원기기가 새로 규제 대상에 편입되면서 웨어러블, 건강관리 앱, 원격모니터링 기기까지 법적 테두리 안으로 들어왔다.
같은 시기에 MFDS는 고시 2026-4호로 디지털의료제품의 분류·지정 규정을 개정했고, MFDS 고시 2026-6호로 의료기기 허가·신고·심사 규칙을 전면 개정했다. 2월에는 KGMP(의료기기 품질관리기준)를 개정해 디지털·AI 의료기기 전용 GMP 파트를 신설했다. 게다가 한국 AI 기본법까지 2026년 1월 22일 시행되면서 의료 AI는 '고영향 AI'(high-impact AI)로 분류돼 추가 규제가 겹쳤다.
2025년 한 해 동안 MFDS가 승인한 AI 기반 소프트웨어의료기기는 157건으로, 2024년 108건, 2023년 62건에서 3년 만에 2.5배 증가했다. 2026년 1분기에만 이미 55건이 추가 승인됐다. 규제가 빠르게 정비되는 만큼, 대응이 늦으면 허가 자체가 지연될 수 있다.
이 글에서는 2026년 현재 DMPA와 관련 규제가 어떻게 바뀌었는지, 한국 SaMD·AI 의료기기 기업이 무엇을 준비해야 하는지를 정리한다.
DMPA가 만든 세 가지 제품 범주
DMPA 제2조는 디지털의료제품을 세 가지로 나눈다.
| 범주 | 정의 | 대표 사례 |
|---|---|---|
| 디지털의료기기 | 진단·치료 등 의료목적의 소프트웨어 기반 기기 | AI 영상진단 소프트웨어, 디지털치료기기(DTx) |
| 디지털융합의약품 | 의약품과 결합된 디지털 기술, 주기능은 의약품 | 복약순응도 모니터링 앱, 디지털 코칭 프로그램 |
| 디지털의료·건강지원기기 | 건강관리나 의료 지원 목적의 디지털 기기, 직접 치료 기능 없음 | 웨어러블, 건강관리 앱 |
1단계(2025년 1월)에서는 디지털의료기기와 디지털융합의약품이 규제 대상이 됐고, 2단계(2026년 1월)에서 디지털의료·건강지원기기가 추가됐다. 기존 의료기기법에서 다루지 않던 웰니스·건강관리 영역까지 규제가 확대된 것이다.
이 구분이 실무에서 중요한 이유는 허가 경로와 증거 요건이 범주마다 다르기 때문이다. 디지털의료기기는 기존 의료기기와 동일한 위험분류(Class I~IV)를 따르지만, 디지털융합의약품은 의약품 허가 절차를 따르고, 건강지원기기는 완화된 절차가 적용될 수 있다. 분류를 잘못 판단하면 허가 전략 전체가 틀어진다.
디지털의료기기의 승인 경로는 위험등급에 따라 다음과 같이 나뉜다.
| 등급 | 승인 경로 | 심사 주체 |
|---|---|---|
| Class I | 사전신고 | 제출 즉시 자동 승인 |
| Class II | 사전인증 | 등록인증기관(RCB) |
| Class III | 사전승인 | MFDS 직접 심사 |
| Class IV | 사전승인 | MFDS 직접 심사 |
분류 개정 핵심: 고시 2026-4호가 바꾼 것
2026년 1월 23일 시행된 고시 2026-4호는 디지털의료제품의 분류와 지정 기준을 명확히 했다. 주요 변화는 다음과 같다.
1. SaMD 공식 정의 도입
IMDRF SaMD 정의에 정렬하여 소프트웨어 단독으로 의료목적을 수행하는 제품을 명시적으로 분류 대상에 넣었다. 기존 의료기기법에서는 하드웨어 중심의 분류 체계였기 때문에, 소프트웨어 단독 제품이 분류 경계에서 불확실했다.
2. AI·ML 기능의 명시적 규제
AI가 의사결정에 관여하는 정도, 데이터 민감도, 사용자 의존도를 분류 요소로 명시했다. 분류 코드 체계도 세분화돼 예컨대 B1ABXA1 같은 코드로 진단용·AI 기반·SaMD를 식별할 수 있다.
3. 디지털 건강지원기기 분류 기준 신설
2단계 시행에 맞춰 건강지원기기의 분류 기준을 새로 만들었다. 다만 학계와 업계에서는 이 범주의 분류 기준이 아직 모호하다는 지적이 있다. JKMS(Journal of Korean Medical Science)에 게재된 정책 분석에서도 건강지원기기의 관리 메커니즘이 불명확하여 실무 적용에 한계가 있다고 평가했다.
4. 라벨링 요건 강화
DMPA 제22조에 따라 디지털의료기기 소프트웨어에 대한 라벨링 요건이 신설됐다. 제품 정체성, 사용목적, 사용자 지침, 안전정보, 의료·비의료 구분을 명확히 표시해야 한다.
AI 의료기기 승인 현황과 패스트트랙
MFDS가 2026년 4월 12일 발표한 통계에 따르면, 2025년 AI 기반 소프트웨어의료기기 승인은 157건이었다. 연도별 추이는 다음과 같다.
| 연도 | 승인 건수 | 전년 대비 |
|---|---|---|
| 2023 | 62건 | — |
| 2024 | 108건 | +74% |
| 2025 | 157건 | +45% |
| 2026 Q1 | 55건 | — |
2026년 1분기 속도를 연환산하면 연간 220건 수준으로, 가속도가 붙고 있다.
이와 함께 2026년 1월 26일, 보건복지부와 MFDS는 '신의료기술 즉시진입 의료기술' 제도를 신설했다. 혁신 의료기기가 MFDS 승인만 받으면 별도의 신의료기술평가(NMT) 없이 즉시 의료기관에서 사용할 수 있는 제도다. 기존에는 최대 490일이 걸리던 시장 진입이 80~140일로 단축된다. 대상은 199개 기기 품목이며, 그중 113개가 디지털 기기(AI 기반 SaMD 포함)다.
PCCP: AI·ML 의료기기의 변경관리 핵심
DMPA에서 AI·ML 기반 의료기기에게 가장 중요한 요건은 **사전결정변경관리계획(PCCP, Pre-Determined Change Control Plan)**이다.
PCCP는 알고리즘이 승인된 범위 안에서 학습·개선될 때마다 새로운 허가를 받지 않아도 되는 프레임워크다. 즉, PCCP에서 미리 정의한 파라미터·성능기준·재검증 방법 안에서 알고리즘이 업데이트되면 별도의 변경허가 절차를 밟지 않아도 된다.
PCCP 작성 시 핵심 항목:
| 항목 | 내용 |
|---|---|
| 변경 범위 | 어떤 알고리즘 파라미터, 모델 아키텍처, 학습데이터 범위까지 변경 가능한지 정의 |
| 성능 기준 | 변경 후에도 유지해야 하는 정확도, 민감도, 특이도 수치 |
| 검증 방법 | 변경 후 재검증 절차, 데이터셋 분리 기준, 벤치마크 비교 |
| 모니터링 | 시판후 성능 모니터링 계획, 이상탐지 기준 |
| 투명성 | 모델 카드, 알고리즘 설명 자료, 한국어 설명 자료 제공 |
환자 안전에 영향을 미치는 중대한 변경은 여전히 별도의 규제 검토가 필요하다. PCCP가 모든 변경을 자유롭게 허용하는 것은 아니다.
사이버보안: 선택이 아닌 필수
DMPA는 통신 기능이 있는 모든 디지털의료기기에 사이버보안 평가를 의무화했다. 이는 전자침해보안(electronic infringement security) 규정으로, 무단 접근, 변조, 데이터 유출 방지를 요구한다.
고시 2026-6호에서도 유무선 통신을 사용하는 기기에 대해 사이버보안 제출 근거가 명확히 규정됐다.
한국 AI 기본법(2026년 1월 22일 시행)에서도 의료 AI를 '고영향 AI'로 분류해 추가 요건이 겹친다. 의료 AI 기기는 DMPA 요건과 AI 기본법 요건을 동시에 충족해야 한다. 단, DMPA를 준수한 경우 AI 기본법의 중복 요건은 이행한 것으로 간주된다(Deemed Compliance/Safe Harbor 규정). 즉, MFDS 품질관리·안전성 심사를 통과한 AI 의료기기는 AI 기본법의 위험관리계획, 사용자 보호, 책임자 지정 요건을 별도로 다시 증명할 필요가 없다.
AI 기본법이 요구하는 핵심 항목:
- 위험관리계획(Risk Management Plan) 수립
- 인간 감시(Human Oversight) 프로토콜 구축
- 한국어 설명 자료 제공 (AI가 어떻게 결론에 도달했는지 설명)
실무적으로 필요한 사이버보안 문서:
- 위협 모델링(Threat Modeling) 문서
- 취약점 평가 보고서
- SBOM(Software Bill of Materials)
- 침투테스트 결과
- 사건 대응 계획(Incident Response Plan)
KGMP 디지털 파트: 2026년 2월 개정
2026년 2월 개정된 의료기기 품질관리기준(KGMP)은 네 가지 GMP 파트를 구분했다.
| 파트 | 대상 | 핵심 내용 |
|---|---|---|
| Part 1 | 일반 의료기기 | 의료기기법 시행규칙의 절차와 요건 |
| Part 2 | 디지털의료기기 | ISO 13485 기반 + 소프트웨어 품질관리, AI 검증, 사이버보안 관리 추가 |
| Part 3 | 체외진단의약품 | IVD 제조·품질관리·성능검증 요건 |
| Part 4 | 디지털 건강 특화 | AI 기반 기기·커넥티드 헬스 제품 전용 기준 |
중요한 점은 ISO 13485 인증만으로 KGMP 인증을 대신할 수 없다는 것이다. 한국은 MFDS 감독하에 발급되는 KGMP 인증이 별도로 필요하다. 특히 Class III, IV 임플란트 기기는 리스크 관리 통합, 공정 검증, 시판후 감시(PMS) 데이터와 QMS의 연계까지 심사한다.
한국 기업이 지금 해야 할 것
1단계: 분류 확인 (0~30일)
- 자사 제품이 DMPA 세 범주 중 어디에 해당하는지 확인
- AI 기능이 포함되면 고시 2026-4호의 분류 코드 체계로 코드 부여
- 분류가 불확실하면 MFDS 혁신제품 사전상담(제4차 개정 가이드라인에 디지털 의료기술 명시) 활용
2단계: 갭 분석 (30~90일)
| 확인 항목 | 기준 문서 | 소요 기간 |
|---|---|---|
| IMDRF STED 기술문서 갭 | 고시 2026-6호 | 2~3개월 |
| PCCP 초안 작성 | DMPA 시행령 | 1~3개월 |
| 사이버보안 위협 모델링 | DMPA 전자침해보안 규정 | 2~4개월 |
| 소프트웨어 사용성 평가 | MFDS 가이던스 | 2~4개월 |
| KGMP Part 2/4 갭 분석 | 2026년 2월 KGMP 개정안 | 1~2개월 |
3단계: 제출 준비 (90~180일)
- IMDRF STED 형식의 기술문서 작성 (한국어 필수)
- PCCP 최종화 및 검증 데이터 패키지 준비
- 사이버보안 평가 보고서 완성
- 한국어 라벨링(DMPA 제22조) 및 사용자 지침서
- 임상시험 설계(필요시) — 오프사이트 임상시험 허용, 실세계 데이터(RWD) 활용 가능
AI 의료기기 임상시험 예상 타임라인:
| 단계 | 소요 기간 |
|---|---|
| 프로토콜 개발 | 2~4주 |
| IRB 승인 | 4~8주 |
| MFDS 승인 | 4~12주 |
| 임상시험 실시 | 3~12개월 |
| 최종 보고서 | 4~6주 |
MFDS는 DMPA 시행에 맞춰 6개 가이드라인을 신설·개정했다. 주요 가이드라인:
- (신설) 디지털의료기기 소프트웨어 허가심사 가이드라인
- (개정) AI 기술 적용 디지털의료기기 임상시험 설계방법 가이드라인
- (개정) 의료기기 소프트웨어 허가심사 가이드라인
- (개정) AI 기술 적용 디지털의료기기 허가심사 가이드라인
- (개정) 가상융합기술 적용 디지털의료기기 허가심사 가이드라인
- (개정) 디지털치료기기 허가심사 가이드라인
4단계: 승인 후 (180일~)
- 시판후 성능 모니터링 계획 수립
- PCCP에 따른 알고리즘 업데이트 관리
- MFDS 시판후 조사 요건 충족
- 패스트트랙 대상이면 신의료기술 즉시진입 제도 활용 검토
실무에서 자주 생기는 오해
"FDA나 CE 승인이 있으면 한국에서도 쉽게 승인받을 수 있다"
아니다. MFDS는 해외 승인을 참고 자료로 활용하지만, DMPA의 분류·PCCP·사이버보안 요건은 한국 고유의 요구사항이다. 특히 PCCP와 전자침해보안 문서는 FDA나 CE 제출에서 다루지 않는 한국 전용 요건이다.
"ISO 13485 인증이 있으면 KGMP도 자동으로 통과된다"
아니다. KGMP는 ISO 13485를 기반으로 하지만 한국 고유 요건이 추가돼 있으며, 별도의 MFDS 인증 절차를 거쳐야 한다. 2026년 개정으로 디지털 기기에 대한 추가 요건(Part 2, Part 4)이 생겼으므로 기존 ISO 13485 인증만으로는 불충분하다.
"건강관리 앱은 규제 대상이 아니다"
2026년 1월 24일 이후로는 틀린 말이다. 디지털의료·건강지원기기가 DMPA 대상에 포함됐다. 물론 완화된 절차가 적용될 수 있지만, 의료 목적을 표방하는 앱은 분류 확인이 필수다.
참고 문서
- 디지털의료품목법(법률 제20057호), 2025년 1월 24일 시행, 2단계 2026년 1월 24일 시행
- MFDS 고시 2026-4호: 디지털의료제품 분류·지정 규정 개정, 2026년 1월 23일
- MFDS 고시 2026-6호: 의료기기 허가·신고·심사 규칙 개정, 2026년 1월 26일
- 의료기기 품질관리기준(KGMP) 개정, 2026년 2월
- 한국 AI 기본법, 2026년 1월 22일 시행
- MFDS AI 기반 의료기기 승인 통계, 2026년 4월 12일 발표
- 신의료기술 즉시진입 의료기술 제도, 2026년 1월 26일 시행
