PRRC Korea

의료기기 분야에서 AI 기반 기술의 도입은 이미 필연적인 흐름이 되었습니다. 그러나 현장의 규제 담당자(RA) 입장에서 보면, 여전히 개발팀과의 언어적 간극이 큽니다. 특히 AI 모델 검증, 소프트웨어 툴 체인, Docker 등 기술적 개념은 단순히 ‘검토 대상 문서’로만 보기 어렵습니다. RA가 이해하지 못한 기술은 곧 ‘리스크’가 되기 때문입니다. 최근 AI 의료기기 허가를 추진하는 과정에서 느낀 점은, 개발팀이 사용하는 툴과 검증 방법론을 RA가 직접 이해해야 한다는 점입니다. 단순히 제출용 문서에 의존해서는 실제 구현 수준의 안전성과 성능을 제대로 설명할 수 없습니다. 예를 들어 Docker나 SaMD(SW as a Medical Device) 환경에서의 재현성, 검증 로그 관리, 버전 관리 체계..

1. 위협 모델에서 위험 및 통제 항목을 도출한다. 2. 완화 전/후 점수를 평가할 수 있는 방법을 제공한다. 3. 위험에 대한 수용 기준을 포함한다. 4. 안전 위험 평가로 이관하는 방법을 제공한다. 5. 발생 확률보다 공격 가능성(Exploitability) 에 초점을 맞춘다. 6. 알려진 취약점을 예견 가능한 위험으로 평가한다. 7. 취약점 평가 시 TPLC (Total Product Life Cycle) 를 고려한다. 8. 장치의 사이버 위험을 더 큰 시스템의 맥락에서 평가한다. 9. 주요 CISA KEV (Known Exploited Vulnerabilities) 취약점을 설계 단계에서 제거한다. 10. 최악의 상황을 가정하거나 공격 가능성에 대한 근거를 제시한다. 11. 보안 통제가 새로운 취..

MLMD(Machine Learning-based Medical Device)는 질병의 진단·예측과 같은 고도의 임상적 결정을 지원하기 위해 전자의무기록(Electronic Medical Record, EMR), 의료 문헌, 임상시험 데이터, 영상 데이터 등 다양한 출처의 훈련 데이터셋을 활용합니다. 이러한 데이터셋의 품질은 알고리즘의 성능뿐 아니라, 환자 안전과 직결되는 의료기기의 유효성 및 신뢰성에 직접적인 영향을 미칩니다. 따라서 제조자는 훈련 데이터셋의 수집, 관리, 검증, 갱신 등 전 과정에 걸쳐 체계적인 관리 절차를 갖추어야 합니다. 이는 단순한 연구 개발 관리가 아니라, 규제 준수(Regulatory Compliance)의 영역에 속합니다. 실제로 FDA(미국), EMA(유럽), MFDS(한..

최근 SaMD(Software as a Medical Device) 제품 가운데 ‘병원 내부에 워크스테이션을 설치하여 작동한다’는 요구사항을 명시하는 사례가 늘고 있습니다. 얼핏 보면 제조자가 장비까지 함께 공급한다는 의미로 읽히지만, 실제 규제 관점에서는 조금 더 신중한 해석이 필요합니다. SaMD는 본질적으로 ‘소프트웨어 그 자체’가 의료기기입니다. 다만 그 소프트웨어가 안정적으로 작동하기 위해서는 특정한 하드웨어 환경이 필요하며, 병원 내부 네트워크에서 운영되어야 하는 경우가 많습니다. 이는 의료정보보호, 데이터 접근성, 보안성 등의 이유로 외부 클라우드 환경을 제한하기 때문입니다. 따라서 ‘병원 내부 워크스테이션 설치’란 문구는 보통 해당 소프트웨어가 작동 가능한 환경의 위치와 형태를 명시한 것에..

의료기기 규제 분야에서 ‘파일의 무결성(integrity)’은 단순한 기술적 개념을 넘어, 환자의 안전과 직결되는 중요한 요소입니다. 개발자나 제조자가 배포하는 소프트웨어가 중간에 변조되지 않았음을 입증하는 것이 곧 ‘신뢰’의 기반이 되기 때문입니다. 이 신뢰를 지켜주는 핵심 도구가 바로 ‘해시(Hash)’입니다. 해시란, 특정 파일의 내용을 수학적으로 계산하여 얻은 고유한 값입니다. 파일 안의 단 한 글자, 한 비트만 달라져도 완전히 다른 해시 값이 생성됩니다. 이를 통해 우리는 파일이 원본 그대로인지, 혹은 누군가에 의해 변조되었는지를 손쉽게 구별할 수 있습니다. 의료기기 소프트웨어를 예로 들면, 제조자는 소프트웨어를 개발하고 검증한 뒤 그 버전에 대한 해시 값을 함께 제공합니다. 사용자는 이 해시를..

IEC 62304 5.7조항의 비고 1은 소프트웨어 의료기기(SaMD) 개발자에게 단순한 예외 조항이 아니라, 규제의 언어 속에 숨겨진 유연성의 신호로 읽힙니다. 이 문장은 전통적 개발 모델의 경직성을 완화하고, 현대적 개발 환경에 적합한 효율적 검증 체계를 인정하는 선언과도 같습니다. 비고 1이 허용하는 가장 핵심적인 변화는 두 가지입니다. 첫째, 통합 테스트와 시스템 테스트의 병합을 허용함으로써 실질적 개발 흐름과 문서화 요구 사이의 간극을 좁혔습니다. 실제 SaMD 프로젝트에서는 기능 단위의 검증과 전체 시스템 수준의 검증이 밀접하게 얽혀 진행됩니다. 이를 두 개의 독립된 절차로 강제하는 것은 불필요한 행정적 부담을 낳을 뿐 아니라, 반복적 테스트로 인한 비효율을 초래할 수 있습니다. 비고 1은 이..

최근 의료기기 사이버보안의 핵심 화두 중 하나로 떠오른 개념이 바로 SBOM(Software Bill of Materials)입니다. SBOM은 한마디로 소프트웨어의 ‘성분표’입니다. 제품에 어떤 오픈소스, 라이브러리, 프레임워크가 사용되었는지를 체계적으로 기록한 명세서로, 소프트웨어의 투명성을 확보하기 위한 필수 도구로 자리 잡고 있습니다. 의료기기 소프트웨어(SaMD)를 포함한 대부분의 현대 소프트웨어는 완전한 자체 개발보다는 다양한 외부 구성요소를 조합하여 만들어집니다. 이때 SBOM은 개발자와 규제기관 모두에게 다음과 같은 세 가지 측면에서 결정적인 역할을 합니다. 첫째, 보안 취약점 관리입니다. 각 구성요소의 버전과 출처를 명확히 기록함으로써, 특정 라이브러리에 취약점이 발견되었을 때 해당 문제..

의료기기 규제에서 PEMS(Programmable Electrical Medical System)는 단순한 약어 이상의 의미를 갖습니다. 이는 ‘프로그램으로 제어되는 전기 의료 시스템’ 전체를 가리키며, 오늘날 대부분의 디지털 의료기기가 이 범주에 속합니다. 즉, 하드웨어와 소프트웨어가 결합되어 환자에게 안전하고 효과적인 진단·치료를 수행하는 완전한 의료기기 시스템을 말합니다. 이를 이해하기 위해 스마트폰을 떠올려 봅시다. 스마트폰은 하드웨어와 운영체제, 그리고 다양한 애플리케이션이 유기적으로 작동하는 하나의 시스템입니다. 의료기기에서도 마찬가지로, 혈압계의 커프나 인공호흡기의 센서와 같은 하드웨어, 이를 제어하고 데이터를 분석하는 소프트웨어, 그리고 사용자에게 정보를 제공하는 인터페이스가 결합되어 전체..

AI/ML 기반 소프트웨어 의료기기(SaMD)는 물리적 부품이 존재하지 않음에도 불구하고, 그 품질은 매우 구체적이고 실체적인 요소에 의해 결정됩니다. 바로 의료데이터와 소프트웨어 도구입니다. 이 두 가지는 제품의 성능과 안전성을 좌우하는 핵심 원자재로, ISO 13485 및 GMP(의료기기 제조 및 품질관리기준)는 이를 관리하기 위한 공급업체 평가와 서면 합의 절차를 필수적으로 요구하고 있습니다. 의료데이터 공급자에 대한 평가는 단순한 형식 절차가 아닙니다. 데이터의 품질은 AI 모델의 정확도와 편향성에 직결되며, 나아가 환자 안전과 임상적 신뢰성을 결정짓습니다. 따라서 데이터가 법적·윤리적으로 수집되었는지, 비식별화가 적정하게 이루어졌는지, 데이터의 일관성과 완전성이 유지되고 있는지를 평가해야 합니다..

의료기기 산업, 특히 인공지능 기반 소프트웨어 의료기기(SaMD) 분야는 최근 몇 년간 폭발적인 성장을 이어가고 있습니다. 그러나 기술적 혁신의 속도와 달리, 그 기반이 되는 품질관리(QMS)와 문서화 체계의 성숙도는 여전히 걸음마 단계에 머물러 있습니다. 현장에서 혁신의 간판을 내건 기업조차, 국제 표준과 식약처 심사체계가 요구하는 수준의 프로세스를 제대로 이해하지 못하는 경우가 많습니다. 실제 심사 현장에서 자주 마주치는 문제는 단순합니다. 기업은 “ISO 62304를 준수한다”고 말하지만, 개발 문서에는 그 흔적이 없습니다. 요구사항 명세서에는 기능만 적혀 있고, 위험관리 문서에는 인공지능 모듈의 편향성이나 데이터 관리 절차가 빠져 있습니다. 개발자는 클래스 다이어그램 없이 ERD만 제출하고, RA..