SaMD 규제 원문 비교: 사우디 MDS-G23·브라질 RDC 657·나이지리아·케냐 MDSW가 한국 DTx에 요구하는 것
사우디 MDS-G23, 브라질 RDC 657/2022, 나이지리아 SaMD 가이드라인, 케냐 MDSW 2026은 모두 IMDRF SaMD 정의를 거의 그대로 옮겨 놓았다. 그러나 위험분류 구조와 임상근거 명문화 방식, 현지 대리인·라이프사이클 보고 의무는 원문마다 다르다. 한국 DTx·SaMD 팀이 4개국 + FDA·EU 참조 기준으로 설계해야 할 점을 비교했다.
왜 SaMD 정의 하나로 글로벌 DTx를 설계하는가
한국 DTx·SaMD 팀이 가장 많이 하는 질문은 "정의 문장을 나라마다 다시 써야 하나"다. 결론부터 말하면, 사우디(SFDA MDS-G23), 브라질(ANVISA RDC 657/2022), 나이지리아(NAFDAC SaMD guideline), 케냐(PPB MDSW 2026) 네 개국은 모두 IMDRF SaMD 핵심 정의(IMDRF/SaMD WG/N10)를 거의 글자 그대로 도입했다. 즉 SaMD 정의문 하나를 잘 쓰면 4개국 + IMDRF 정렬 국가에 재사용할 수 있다.
하지만 여기서 멈추면 안 된다. 4개국은 정의는 같아도 위험분류 시스템의 구조, 임상근거의 명문화 방식, 현지 대리인 의무, 라이프사이클 보고 요건이 다르다. 게다가 한국 팀이 기준으로 삼는 FDA와 EU MDR조차 SaMD를 다루는 방식이 다르다 — FDA는 IMDRF 범주를 미국 Class I/II/III 제품코드에 매핑하고, EU MDR Rule 11은 "정보 제공" 소프트웨어도 무조건 Class IIa 이상으로 올리는 가장 엄격한 구조다.
이 글에서는 4개국 SaMD 규제 원문을 IMDRF·FDA·EU 참조 기준과 비교해, 한국 DTx·SaMD 팀이 하나의 설계 패키지로 여러 시장에 대응하되 각국 차이를 놓치지 않도록 정리한다. 2026년 4월 발행된 케냐 MDSW와 2024년 7월 시행 나이지리아 SaMD 가이드라인까지 반영했다.
4개국 SaMD 정의: 모두 IMDRF 원문을 그대로 옮겼다
4개국 SaMD 정의의 공통점은, 각국 규제 원문이 IMDRF N10 정의(하드웨어 의료기기의 일부가 아닌, 하나 이상의 의학적 목적으로 사용되는 소프트웨어, IVD 포함, 범용 플랫폼 조항, "하드웨어를 구동하지 않는" 제외 포함)를 직접 인용한다는 것이다.
| 국가(규제기관) | SaMD 규제 원문 | 시행일 | 정의 도입 방식 |
|---|---|---|---|
| 사우디 SFDA | MDS-G23 Guidance on Software as a Medical Device(v1.0) | 2018-04-09 | IMDRF 도입, 걸프 지역 선도 |
| 브라질 ANVISA | RDC nº 657, de 24 de março de 2022 | 2022-07-01 시행 | IMDRF verbatim 정의 조항 |
| 나이지리아 NAFDAC | Guidelines for Registration of Software as a Medical Device (SaMD)(DR&R-GDL-036-00) | 2024-07-01 시행 | §2.3.1에 IMDRF N10 verbatim |
| 케냐 PPB | Guideline on Regulation of Medical Device Software (MDSW), 2026 | 2026-04-16 발행 | IMDRF·WHO 정렬 |
사우디 MDS-G23(2018) — 걸프 지역 선도, IMDRF SaMD 조기 도입
사우디는 2018년 4월 9일 MDS-G23으로 IMDRF SaMD 원칙을 도입한 걸프 지역에서 가장 앞선 규제기관이다. 위험분류는 IMDRF 4계층 매트릭스(Categories I–IV)를 그대로 쓰며, "건강상황의 심각도(critical/serious/non-serious) × 정보의 중요도(treat-diagnose/drive/inform)"를 교차한다. Category IV(위급 상황에서 치료·진단)가 최고 위험이다. 임상평가는 IMDRF 3단계(유효한 임상 연관·분석/기술 검증·임상 검증)를 요구하며, 이는 AI/ML 기기를 다루는 MDS-G010(2022)으로 이어진다. 사우디는 ISO 14971(위험관리)·ISO 13485(QMS)를 명시적으로 인정하고, IMDRF·FDA·한국 MFDS 정렬을 표방한다.
브라질 RDC 657/2022 — SaMD 전용 최초 RDC, 그러나 별도 등급은 없다
ANVISA는 2022년 3월 RDC 657을 발표해(3월 23일 승인, 3월 30일 관보, 7월 1일 시행) SaMD를 독자적으로 규율하는 첫 RDC를 만들었다. 모바일 앱·SaaS/클라우드 호스팅 소프트웨어·의료기기 정의를 만족하는 앱을 포괄하고, 웰니스·행정·재무·역학 소프트웨어는 명시적으로 제외한다. 정의 조항은 IMDRF verbatim이다.
브라질만의 특징은 별도의 SaMD 등급 체계를 만들지 않는다는 점이다. SaMD는 일반 의료기기 규칙(과거 RDC 185/2001, 현재 RDC 751/2022)의 Class I–IV로 분류된다. Class I/II는 Notificação(신고, 회사 보관 서류), Class III/IV는 Registro(등록, ANVISA 심사)다. 소프트웨어 적합성 선언은 IEC 62304·IEC 62366-1·ISO 14971을 따른다(RDC 657 제13조). RDC 657은 기존 규정을 폐지하지 않고 RDC 185/2001·RDC 340/2020과 병행해 읽도록 설계되었다. 즉 브라질은 SaMD를 "새 카테고리"가 아니라 "기존 기기 분류 위의 소프트웨어 특례"로 다룬다.
나이지리아 SaMD 가이드라인(2024) — §4.1이 임상근거 패키지의 청사진
나이지리아 NAFDAC의 Guidelines for Registration of Software as a Medical Device (SaMD)(문서번호 DR&R-GDL-036-00, 2024년 7월 1일 시행, 검토일 2029년 6월 30일)는 §2.3.1에서 IMDRF N10 정의를 verbatim으로 옮기고, §2.6.1에 IMDRF 4×3 위험 매트릭스를 verbatim으로 둔다. 다중 적응증 SaMD는 해당하는 최고 등급으로 분류하라고 명시한다.
이 가이드라인에서 한국 DTx 팀이 가장 먼저 읽어야 할 곳은 §4.1이다. 임상근거를 3단계로 명문화한다: (1) valid clinical association(과학적 타당성), (2) analytical/technical validation(정확도·신뢰성·정밀도), (3) clinical validation(대상 인구에서 민감도·특이도·교차비). 타 SRA(인정 규제기관) 승인 증거가 있으면 의존(reliance) 근거로 받아들인다. 현지 대리인 의무(위임장 공증·NAPAMS 포털 제출·5년 허가증·120영업일 목표)도 같은 가이드라인에 있다. §4.1을 한국 내부 임상근거 패키지의 목차로 그대로 쓸 수 있다.
케냐 MDSW(2026) — SaMD·SiMD·AI/ML을 한데 묶은 최신 가이드라인
케냐 PPB는 2026년 4월 16일 *Guideline on Regulation of Medical Device Software in Kenya (MDSW)*를 발행했다. SaMD와 SiMD, AI/ML, 사이버보안, 상호운용성을 모두 다루며, IMDRF·WHO에 정렬한 위험분류를 쓴다. 고위험 소프트웨어(위급 상황에서 치료·진단)는 더 엄격한 심사를 받는다. PPB는 IMDRF 가맹 회원이며, 케냐의 일반 의료기기 프레임이 이미 IMDRF Class A–D를 쓰므로 MDSW도 같은 축 위에 놓인다.
개발사 요건이 이 4개국 중 가장 '살아 있는' 라이프사이클 규제에 가깝다. 데이터셋·소프트웨어 버전·임상 산출물 간 추적성(traceability) 유지, 실사용 성능 모니터링, 연례 라이프사이클 보고가 요구된다. 정적 MFDS 제출에 익숙한 한국 DTx 팀은 이 라이프사이클 보고·추적성 요건에 맞춘 change-control 시스템을 별도로 세워야 한다. PPB가 이스트아프리카共同体(EAC-MRH)를 주도하므로, 케냐 MDSW 프레임은 EAC 7개국으로 확산할 가능성이 있다.
위험분류 매트릭스: 겉은 같아도 구조가 다르다
4개국이 IMDRF 위험 매트릭스를 받아들이지만, 그것을 어떻게 규제 등급으로 옮기는지는 다르다. 참조로 FDA·EU MDR도 같이 놓는다.
| 체계 | 위험분류 방식 | 특징 |
|---|---|---|
| IMDRF(공통 분모) | 4계층 매트릭스(Cat I–IV), 행 = 건강상황 심각도, 열 = 정보 중요도 | 4개국 + FDA가 모두 이 매트릭스에서 출발 |
| 사우디 MDS-G23 | IMDRF Category I–IV 매트릭스 직접 사용 | 가장 IMDRF 충실 |
| 나이지리아 NAFDAC | §2.6.1에 IMDRF 4×3 매트릭스 verbatim | 다중 적응증은 최고 등급 |
| 케냐 PPB MDSW | IMDRF·WHO 정렬 Class A–D 축 | 고위험 = 엄격 심사 |
| 브라질 ANVISA | 별도 SaMD 등급 없음. 일반 RDC 751/2022 Class I–IV로 분류 | I/II=Notificação, III/IV=Registro |
| FDA(참조) | IMDRF 범주를 미국 Class I/II/III 제품코드에 매핑 | 1:1 아님, 증거 엄격도 가이드로 사용 |
| EU MDR Rule 11(참조) | 진단·치료 결정 정보 = Class IIa 기본, IIb·III로 상향 | "정보 제공"도 무조건 ≥ IIa, 가장 엄격 |
한국 DTx 팀이 이 표에서 읽어야 할 두 가지. 첫째, EU가 가장 엄격하다. MDR Rule 11은 확률이 아닌 심각도만 가늠해 많은 앱을 Class III로 끌어올린다. CE를 먼저 받으면 임상근거 패키지가 다른 3개국을 덮는 데 유리하지만, 비용·시간이 가장 크다. 둘째, 브라질은 별도 SaMD 등급이 없다. RDC 657이 SaMD를 규율하지만 분류는 RDC 751/2022 일반 규칙을 쓰므로, "SaMD라서 특별한 심사 트랙"이 아니라 "Class III SaMD = 일반 Class III 기기와 동일 심사"로 접근해야 한다.
임상근과 3단 모델: 원문이 명문화한 것
4개국의 임상근거 요건은 IMDRF 3단계 모델(valid clinical association + analytical/technical validation + clinical validation)로 수렴한다. 명문화 정도가 다를 뿐이다.
- 나이지리아 — §4.1에 3단계 모델을 가장 명시적으로 명문화. 즉시 설계 목차로 사용 가능.
- 사우디 — MDS-G010(AI/ML, 2022)과 MDS-G23에서 3단계를 요구. ISO 14971 위험관리 통합.
- 브라질 — RDC 657(제12–17조)이 사용설명서·위험분석·임상검증 문서를 요구. 분류는 RDC 657이 정하고, 증거 깊이는 일반 기기 심사에 맡긴다.
- 케냐 — 임상 검증과 더불어 실사용 성능 모니터링·추적성을 라이프사이클로 요구.
즉 한국 DTx 팀이 (1) scientific validity, (2) analytical validation, (3) clinical validation 3단 패키지를 만들면, 깊이는 위험등급에 비례하지만 4개국 모두에 기본 뼈대로 제출할 수 있다. 의존(reliance) 경로를 쓰면 FDA/CE 승인 증거가 이 3단계를 상당 부분 대체한다.
원문에서 직접 확인할 조항·문구
① IMDRF N10 정의 조항 — 4개국 공통 verbatim 사우디 MDS-G23, 브라질 RDC 657 Art. 3, 나이지리아 §2.3.1, 케냐 MDSW(IMDRF 정렬)가 모두 IMDRF SaMD 정의를 verbatim 도입한다. 한국 DTx의 SaMD 정의문(의학적 목적·하드웨어 독립성·IVD 포함)을 한 번 영문으로 정교하게 작성하면 4개국 + IMDRF 정렬 국가에 재사용한다.
② 나이지리아 §4.1 임상근거 3단계 DR&R-GDL-036-00 §4.1은 (1) valid clinical association, (2) analytical/technical validation, (3) clinical validation을 명문화한다. 이 조항을 내부 임상근거 패키지의 목차로 직접 매핑한다.
③ 브라질 RDC 657 "기존 규정 폐지 아님" RDC 657은 RDC 185/2001(현 RDC 751/2022)·RDC 340/2020과 병행해 읽도록 되어 있다. 즉 SaMD를 브라질에 제출할 때 RDC 657만 보면 안 되고, 일반 기기 분류(RDC 751/2022)를 함께 적용해야 Class I–IV를 정한다.
④ EU MDR Rule 11 "정보 제공 ≥ IIa" EU MDR Annex VIII Rule 11은 "임상 관리에 정보를 제공(inform)"하는 소프트웨어도 Class IIa 이상으로 분류한다. MDCG 2019-11 Rev.1(2025년 6월)이 자격·분류 가이드를 준다. EU 용어는 "Medical Device Software(MDSW)"이며 MDR 본문에 "SaMD"라는 글자가 등장하지 않는다는 점도 확인한다.
⑤ IMDRF 위험 매트릭스(IMDRF/SaMD WG/N12:2014) 행 = Critical/Serious/Non-serious, 열 = Treat-Diagnose/Drive/Inform, 셀 = IV–I. 이 매트릭스가 4개국 + FDA가 공유하는 분류 분모다.
한국 DTx 팀이 4개국에 제출할 때 다르게 준비할 것
| 항목 | 사우디 | 브라질 | 나이지리아 | 케냐 |
|---|---|---|---|---|
| SaMD 정의 | IMDRF(MDS-G23) | IMDRF(RDC 657 Art.3) | IMDRF(§2.3.1) | IMDRF/WHO(MDSW) |
| 위험분류 | IMDRF Cat I–IV | 일반 Class I–IV(RDC 751) | IMDRF 4×3(§2.6.1) | IMDRF Class A–D |
| 임상근거 명문화 | MDS-G010 3단계 | RDC 657(제12–17조) | §4.1 3단계(가장 명시적) | 라이프사이클+검증 |
| 현지 대리인 | Authorized Representative | BRH(등록증 보유) | 공증 위임장 법인 대리인 | Local Authorized Rep |
| 라이프사이클 보고 | MDS-REQ 11(PSUR·FSCA) | RDC 751 vigilance | 5년 허가증 + 의존 | 연례 라이프사이클 보고 |
| 의존(reliance) 가속 | GCC·IMDRF 인정 | RDC 751 외국 허가 인정 | 타 SRA 승인 증거 인정 | FDA/EU/WHO-ML3 인정 |
한국 DTx 팀의 실행적 시사점: FDA 510(k) 또는 CE를 먼저 확보한 상태라면 4개국 모두 의존(reliance) 경로로 타임라인을 압축할 수 있다. 사우디는 MDS-G23이 MFDS를 참조 규제기관으로 명시하므로 한국 MFDS SaMD 허가도 참고 자료로 활용할 여지가 있다. 단 MFDS 허가가 사우디에서 단독 의존 근거로 충분한지는 사전에 SFDA에 확인해야 한다.
다음 90일 실행 순서
1단계 — SaMD 정의문 + 임상근거 3단계 패키지 작성
- IMDRF N10 정의를 충실히 반영한 SaMD 정의문(영문)을 하나로 만든다.
- 나이지리아 §4.1을 목차로 삼아 valid clinical association·analytical/technical validation·clinical validation 3단 패키지를 영문으로 정리한다.
2단계 — 각국 위험분류 매핑
- 동일 제품을 사우디(IMDRF Cat I–IV)·브라질(일반 Class I–IV)·나이지리아(4×3)·케냐(Class A–D) 각 등급으로 매핑한다.
- EU Rule 11과 FDA 제품코드 매핑도 같이 두어 의존 근거를 만든다.
3단계 — 의존(reliance) 우선 순서
- FDA 510(k) 또는 CE를 선점한 뒤, 사우디·나이지리아·케냐 의존 경로로 확장한다.
- 브라질은 SaMD 별도 등급이 없으므로 일반 Class III/IV Registro 절차(RDC 751/2022)를 따른다.
4단계 — 라이프사이클 보고 시스템
- 케냐 연례 라이프사이클 보고·추적성 요건에 맞춘 change-control·버전 이력 시스템을 구축한다.
- 이 시스템은 사우디 MDS-REQ 11 PSUR·FSCA 보고에도 재사용한다.
5단계 — 현지 대리인 계약
- 4개국 각각 현지 대리인(사우디 AR·브라질 BRH·나이지리아 공증 위임장 대리인·케냐 LAR)을 선정하고, 등록증 명의·IP·리콜 권한을 계약에 명문화한다.
- 브라질 BRH는 등록증을 소유하므로 유통사 겸임 시 lock-in 리스크를 별도 평가한다.
참고 출처
- 사우디 SFDA — MDS-G23 Guidance on Software as a Medical Device: https://www.sfda.gov.sa/sites/default/files/2020-03/MDS_G23.pdf
- 사우디 SFDA — Implementing Regulation of the Law of Medical Devices: https://www.sfda.gov.sa/sites/default/files/2023-10/MDSysExcE.pdf
- 브라질 ANVISA — RDC nº 657, de 24 de março de 2022(DOU): https://www.in.gov.br/en/web/dou/-/resolucao-de-diretoria-colegiada-rdc-n-657-de-24-de-marco-de-2022-389603457
- 브라질 ANVISA — RDC nº 751/2022(기기 등록): https://www.in.gov.br/en/web/dou/-/resolucao-rdc-n-751-de-15-de-setembro-de-2022-430797145
- 나이지리아 NAFDAC — Guidelines for Registration of Software as a Medical Device (SaMD): https://nafdac.gov.ng/wp-content/uploads/Files/Resources/Guidelines/DR_And_R_Guidelines/Guidelines-for-Registration-of-Software-as-a-Medical-Device-SaMD-in-Nigeria.pdf
- 케냐 PPB — Guideline on Regulation of Medical Device Software in Kenya (MDSW), 2026: https://web.pharmacyboardkenya.org/download/guideline-on-regulation-of-medical-device-software-in-kenya-mdsw/
- Health Business Kenya — 케냐 MDSW 감독 강화: https://healthbusiness.co.ke/10137/kenya-tightens-oversight-of-medical-device-software
- IMDRF — SaMD: Key Definitions(N10) 및 Framework for Risk Categorization(N12): https://www.imdrf.org/documents/software-medical-device
- EU MDR(Regulation (EU) 2017/745) Annex VIII Rule 11 및 MDCG 2019-11 Rev.1(2025-06): https://health.ec.europa.eu/latest-updates/update-mdcg-2019-11-rev1-qualification-and-classification-software-regulation-eu-2017745-and-2025-06-17_en
- FDA — Software as a Medical Device(글로벌 접근): https://www.fda.gov/medical-devices/digital-health-center-excellence/software-medical-device-samd
