디지털의료제품법 AI 의료기기 허가
— 몰라서 제품 폐기 당하는 7가지 함정
2025년 1월 24일, 세계 최초로 디지털의료제품법이 시행됐습니다.
AI 영상진단 소프트웨어·디지털치료기기(DTx)·SaMD 개발자라면
지금 당장 허가 구조가 바뀐 것을 모르면 제품 등록 자체가 불가능합니다.
식약처 공식 가이드라인 기준
7가지 핵심 함정 정리
SaMD·DTx·AI의료기기
① 디지털의료제품법이란? 왜 지금 중요한가
디지털의료제품법은 2025년 1월 24일 세계 최초로 시행된 법률로, AI·소프트웨어에 특화된 의료제품을 기존 의료기기법과 별도로 규율하는 독립 법체계입니다. 기존 의료기기법은 청진기·X-ray 같은 물리적 하드웨어 중심으로 설계됐기 때문에, AI 영상진단 소프트웨어나 디지털 치료기기를 법적으로 정확히 분류하는 데 한계가 있었습니다.
2026년 1월 23일에는 시행규칙이 추가 개정되어 디지털의료기기 변경허가 절차와 소프트웨어 정보 표시 방법이 구체화됐습니다. 즉, 시행 첫해인 2025년에 허가를 받았다 해도 2026년 개정 내용을 놓치면 갱신 단계에서 거절될 수 있다는 의미입니다. 현재 국내 AI 기반 의료기기 허가 누적 건수는 약 600건이며, 이 중 상당수가 구법(의료기기법) 체계에서 허가받아 전환 절차를 밟아야 합니다.
② 3가지 제품 유형 — 내 제품은 어디에 속하는가
법의 적용 여부는 단순합니다. “디지털 기술이 적용됐는가?”가 출발점입니다. 적용되지 않았다면 기존 의료기기법 대상이고, 적용됐다면 디지털의료제품법 체계로 편입됩니다. 유형은 세 가지로 분류됩니다.
| 유형 | 정의 | 대표 사례 | 허가 트랙 |
|---|---|---|---|
| 디지털 의료기기 | AI·ICT 기반 의료기기 (독립형·내장형 소프트웨어 포함) | AI 영상진단 보조SW, 디지털치료기기(DTx) | 식약처 허가·인증·신고 |
| 디지털융합의약품 | 의약품+디지털 기기 결합 (주 기능이 의약품인 경우) | 스마트 흡입기, 디지털 알약(복약 감지) | 약사법 + 디지털의료제품법 이원 구조 |
| 디지털의료·건강지원기기 | 질병 진단·치료 목적이 아닌 건강 유지·향상 기기 | 스마트워치 건강측정 기능, 수면 관리 앱 | 자율신고·성능인증 (2026년 도입) |
분류 판단 시 주의점
주 기능이 의료기기인지 의약품인지에 따라 적용 법령이 달라집니다. 예를 들어 스마트 흡입기는 의약품(흡입제)이 주 기능이므로 약사법+디지털의료제품법 이원 구조가 적용됩니다. 반면 AI가 흡입 패턴을 분석해 처방을 권유하는 독립 앱이라면 디지털 의료기기로 분류됩니다. 이 경계선을 잘못 판단하면 허가 신청 자체를 잘못된 창구에 내는 사태가 벌어집니다.
③ AI 의료기기 허가 절차의 핵심 변화 4가지
변화 1 — 구성요소 사전성능평가 제도
완제품 단계에서만 허가받던 기존 방식과 달리, 이제는 AI 알고리즘·센서 등 개별 구성 요소를 사전에 평가받을 수 있습니다. 사전평가를 통과한 구성 요소로 제품을 구성하면 최종 허가 심사 기간이 단축되고 일부 자료 제출이 면제됩니다. 모듈식 개발이 일반화된 AI 스타트업에 가장 실익이 큰 제도입니다.
변화 2 — 소프트웨어 전용 GMP(우수관리체계) 인증
기존 GMP는 제조 공장 중심이었습니다. 새 법에서는 애자일·스크럼 같은 소프트웨어 개발 방식을 반영한 별도 GMP 인증 제도가 도입됐습니다. 인증을 취득하면 허가 심사 시 일부 서류 제출이 면제되는 우대 조치를 받습니다.
변화 3 — 실사용평가(RWE) 제도 도입
임상시험 외에 실제 진료 현장·일상생활에서 생성된 실사용 데이터(RWD)를 활용한 시판 후 안전성·유효성 평가가 가능해졌습니다. 또한 실사용평가를 위해 의료기관에 기기를 무상 제공하더라도 리베이트 규정 예외를 인정하는 특례가 포함됐습니다.
변화 4 — 사이버보안 의무화
제조·수입업자는 해킹·랜섬웨어 등 전자적 침해행위 대응 조치를 의무적으로 마련해야 하며, 허가 심사 시 보안 관련 자료를 제출해야 합니다. 이는 선택 사항이 아닌 허가 요건입니다.
④ 함정 1~3: 분류 오인·사이버보안·RWE 오해
함정 1 — “우리 앱은 의료기기가 아니다”는 착각
건강 데이터를 수집하거나 수면 패턴을 분석해 ‘수면 질 개선을 돕는다’고 표현하는 앱이 자칫 디지털 의료기기로 분류될 수 있습니다. 법에서는 ‘질병 예방, 건강 유지, 향상’을 목적으로 한다면 ‘디지털의료·건강지원기기’로 분류하고, 신고·인증 대상이 될 수 있습니다. 특히 앱 내 마케팅 문구에 ‘혈당 관리’, ‘심방세동 감지’ 같은 표현이 있으면 자동으로 디지털 의료기기로 분류됩니다.
함정 2 — 사이버보안 자료를 ‘나중에 내면 된다’는 오해
사이버보안 관련 자료는 허가 신청 시점에 제출해야 하는 필수 요건입니다. 많은 스타트업이 허가 후 보완하면 된다고 생각하지만, 보안 자료 미제출 시 허가 심사 자체가 반려됩니다. 특히 환자 데이터를 처리하는 AI 모델은 데이터 암호화 방식, 접근 통제 정책, 침해 사고 대응 절차를 문서화한 보안 설계서가 필요합니다.
함정 3 — RWE를 임상시험 대체 수단으로 오해
실사용평가(RWE)는 임상시험을 완전히 대체하지 않습니다. 초기 허가 시에는 여전히 임상시험 또는 성능 평가 자료가 필요합니다. RWE는 주로 적응증 확대, 시판 후 안전성 모니터링, 업데이트된 알고리즘의 성능 검증에 활용됩니다. 이를 잘못 이해하고 임상 자료 없이 RWE만으로 허가를 신청하면 무조건 반려됩니다.
⑤ 함정 4~7: GMP·변경허가·건강지원기기·책임 구조
함정 4 — 기존 의료기기법 GMP 인증으로 충분하다는 착각
기존 의료기기법 체계에서 GMP 인증을 받은 기업도 디지털의료제품법 전환 신고를 별도로 해야 합니다. 디지털의료제품법 부칙 제4조에 따라 구법으로 허가받은 기업은 ‘전환 영업자’로 인정받을 수 있지만, 이는 자동 전환이 아닙니다. 전환 신고 기한을 놓치면 영업 허가 효력이 상실될 수 있습니다.
함정 5 — AI 알고리즘 업데이트 시 변경허가를 안 받아도 된다는 오해
2026년 1월 23일 개정된 시행규칙에 따라 디지털의료기기의 변경허가·변경신고 절차가 구체화됐습니다. 안전성·유효성에 영향을 주는 변경 사항은 그 사유가 발생한 날부터 30일 이내에 변경허가를 신청해야 합니다. AI 모델의 학습 데이터 교체, 알고리즘 구조 변경이 이에 해당합니다. 앱 업데이트를 허가 없이 배포하다 적발되면 판매 중지 처분을 받습니다.
함정 6 — 건강지원기기 자율신고를 ‘해도 그만 안 해도 그만’으로 보는 오해
2026년부터 시작되는 디지털의료·건강지원기기 자율신고·성능인증 제도는 임의 사항이지만, 인증을 받지 않으면 공공 조달·병원 납품에서 사실상 배제되는 구조입니다. 국공립 의료기관이나 지자체가 기기를 구매할 때 인증 여부를 구매 기준으로 삼기 시작했기 때문입니다. ‘법적으로 안 해도 된다’와 ‘시장에서 안 해도 된다’는 전혀 다른 이야기입니다.
함정 7 — 의료진 개입을 면책 논리로 활용하려는 구조 설계
의료 분쟁이 발생했을 때 법원은 ‘의료진이 최종 승인 버튼을 눌렀는가’가 아니라 AI가 의료진이 실질적으로 검토할 수 있는 임상 근거를 제공했는가를 봅니다. 형식적 개입 절차만 두고 실제로는 AI 판단을 그대로 따르게끔 UX를 설계한 경우, 법원은 이를 오히려 기업의 내부통제 부재로 역평가할 수 있습니다. 이는 경영진의 이사회 감독 의무 위반으로 확대되어 주주대표소송으로 이어질 수 있습니다.
⑥ AI 기본법과 디지털의료제품법의 교차점
2026년 현재, AI 기본법(인공지능 발전과 신뢰 기반 조성 등에 관한 기본법)이 시행되면서 디지털 헬스케어 기업은 두 개의 규제 축 위에 서게 됐습니다. 정부는 생명·건강과 직결된 고영향 AI의 적용 범위를 비교적 유연하게 해석하고 있으며, 진단 보조 솔루션처럼 의료 전문인의 개입이 전제된 경우에는 규제를 제한적으로 운용하고 있습니다.
그러나 이러한 유연성이 법적 리스크 해소를 의미하지는 않습니다. 오히려 글로벌 시장 진출 시 EU AI Act가 적용되며, 글로벌 빅파마나 대형 의료기관은 파트너십 협상 테이블에서 학습 데이터의 적법성, 알고리즘 투명성, 전사적 생명윤리 통제 체계를 입증할 구체적 자료를 요구합니다. 국내 식약처 허가만으로는 FDA·EMA의 기준을 충족하지 못합니다.
⑦ 실전 대응 로드맵 — 단계별 체크리스트
제품 개발·허가·사후 관리 각 단계에서 반드시 확인해야 할 항목을 정리했습니다.
제품 분류 확정 (개발 착수 전) — 디지털 의료기기 / 디지털융합의약품 / 건강지원기기 중 어디에 해당하는지 식약처 가이드라인 및 법무 검토를 통해 확정합니다. 마케팅 문구도 이 시점에 함께 정비해야 합니다.
구성요소 사전성능평가 신청 (개발 중간) — AI 알고리즘 구성 요소의 사전 평가를 받아 놓으면 최종 허가 심사 기간이 단축됩니다. 특히 딥러닝 기반 영상진단 SW는 이 단계가 매우 효율적입니다.
사이버보안 설계서 작성 (개발 완료 전) — 보안 자료는 허가 신청 시 필수 제출 서류입니다. 데이터 암호화 방식, 접근 통제 정책, 침해 사고 대응 절차를 코드와 함께 문서화합니다.
소프트웨어 GMP 인증 취득 검토 (출시 전) — 인증 취득 시 허가 심사 일부 면제 혜택이 있습니다. 애자일 개발 팀이라면 스프린트 단위 품질 기록을 GMP 인증 요건에 맞게 정비하면 됩니다.
변경허가 관리 프로세스 내재화 (운영 단계) — AI 모델 업데이트, 학습 데이터 교체 시 30일 이내 변경허가 신청이 필요한지 여부를 판단하는 내부 의사결정 프로세스를 개발 사이클에 통합합니다.
실사용평가(RWE) 계획 수립 (시판 후) — 적응증 확대나 알고리즘 성능 개선 근거 축적을 위해 임상 파트너와 협력한 RWD 수집 체계를 갖춥니다. 무상 제공 특례를 리베이트 위반 없이 활용하려면 연구 목적 여부 서류를 반드시 준비해야 합니다.
감사 로그 구축 (시스템 설계 단계) — 의료진이 AI 판단을 검토하고 수정·거부한 과정을 EMR·임상 시스템에 기록하는 감사 로그는 향후 의료 분쟁 시 가장 강력한 방어 수단입니다. 이를 처음부터 시스템에 내장하지 않으면 사후 구축이 거의 불가능합니다.
💬 자주 묻는 질문 (Q&A)
디지털의료제품법 이전에 허가받은 AI 의료기기는 어떻게 되나요?
AI 앱이 건강지원기기인지 의료기기인지 판단 기준이 뭔가요?
소프트웨어 GMP 인증은 어떻게 신청하나요?
디지털융합의약품은 약사법과 디지털의료제품법 중 어디에 신청해야 하나요?
AI 알고리즘을 소폭 업데이트해도 변경허가를 받아야 하나요?
✍️ 마치며 — 규제는 가장 빨리 읽는 자의 무기다
디지털의료제품법은 지금까지 AI 의료기기 시장의 가장 큰 장벽이었던 ‘법적 불확실성’을 공식 제도권 안으로 끌어들인 법입니다. 역설적으로, 이 법이 생긴 덕분에 명확한 허가 경로가 생겼고 패스트트랙도 마련됐습니다. 문제는 이 기회를 먼저 읽는 기업과 뒤늦게 따라가는 기업의 격차가 향후 3년 안에 돌이킬 수 없는 수준으로 벌어진다는 점입니다.
특히 7가지 함정 중 함정 7(형식적 의료진 개입 설계)은 단순한 법적 리스크가 아니라 제품의 존재 의미와 연결됩니다. AI가 의료 현장에서 실질적인 파트너가 되려면 알고리즘 투명성과 감사 로그, 그리고 의료진이 실제로 검토하고 판단을 바꿀 수 있는 UX 설계가 처음부터 내재화되어야 합니다. 규제를 피하기 위해서가 아니라, 환자에게 제대로 된 의료 AI를 제공하기 위해서 말입니다.
2026년은 디지털의료제품법 시행 2년차이자 AI 기본법 시행 첫해입니다. 지금이 바로 내부 컴플라이언스 체계를 다시 한번 점검해야 할 최적의 시점입니다.
※ 본 콘텐츠는 디지털의료제품법·관련 시행규칙 및 공개된 공식 자료를 바탕으로 작성된 일반적 정보입니다.
개별 제품의 분류·허가 요건은 식품의약품안전처 또는 전문 법무·인허가 컨설턴트와 반드시 확인하시기 바랍니다.
본 정보는 법적 조언을 구성하지 않으며, 내용 변경 시 별도 안내 없이 수정될 수 있습니다.
댓글 남기기