ISO 13485 의료기기 품질경영시스템 — 인증 준비 실무 가이드

ISO 13485:2016의 핵심 요구사항과 인증 준비를 위한 필수 문서, 현실적인 일정, 한국 KGMP 및 해외 규제와의 관계를 KAI인증원이 정리합니다.

1. ISO 13485가 다른 ISO 표준과 다른 점

ISO 13485:2016은 의료기기 산업에 특화된 품질경영시스템(QMS) 국제 표준입니다. 정식 명칭은 “의료기기 — 품질경영시스템 — 규제 목적을 위한 요구사항” 으로, 표준의 목적 자체에 규제(Regulatory) 적합성이 명시되어 있다는 점이 ISO 9001과의 결정적인 차이입니다.

ISO 9001:2015가 고객 만족과 지속적 개선에 중심을 둔다면, ISO 13485는 환자 안전과 규제 요구사항의 일관된 충족에 중심을 둡니다. 이 차이는 표준의 모든 조항에서 일관되게 드러납니다.

• ISO 9001은 Annex SL 기반의 10개 조항 구조를 따르지만, ISO 13485는 ISO 9001:2008과 유사한 8개 조항 구조를 의도적으로 유지합니다.
• “위험 기반 사고(Risk-based thinking)“가 아닌, ISO 14971과 연계된 위험 관리(Risk Management) 의무를 요구합니다.
• “유연한 적용”이 아닌, 의료기기 파일·설계기록·시정조치 등 명시적 문서 의무가 곳곳에 배치되어 있습니다.

ISO 13485가 적용되는 조직은 의료기기 제조업체에 국한되지 않습니다. 설계·개발, 생산, 보관, 유통, 설치, 서비스, 폐기까지 의료기기 수명주기 중 하나 이상의 단계에 관여하는 조직(체외진단의료기기 제조사, OEM·ODM, 부품 공급업체, 멸균·교정·유통 서비스 제공자, SaMD 개발사 등)이 모두 대상이 됩니다.

2. 인증 준비 시 반드시 갖춰야 할 핵심 요소

ISO 13485:2016 인증 준비의 70%는 다음 다섯 가지 영역에서 결정됩니다. ISO 9001만 운영해본 조직이 ISO 13485로 확장할 때 가장 자주 부딪히는 지점이기도 합니다.

위험 관리 시스템 (ISO 14971 연계)
제품 설계 단계만이 아니라 공급자 선정, 교육 훈련, 작업 환경, 시정조치 등 QMS 전반에 위험 분석을 적용해야 합니다. 위험 관리 파일(Risk Management File) 구축이 사실상 필수입니다.

의료기기 파일(Medical Device File)
의료기기 유형별로 제품 사양, 사용 목적, 라벨링, 포장, 보관·취급, 측정 및 모니터링 절차를 한곳에 모은 단일 자료원입니다. 규제당국 검사·인증심사에서 가장 먼저 확인되는 문서입니다.

설계 및 개발 관리(7.3)
설계 입력 → 설계 출력 간 추적성 확보, 설계 검증·유효성 확인 기록, 설계 변경 통제, 설계 이관(Design Transfer) 절차가 명시적으로 요구됩니다. 이 영역의 부적합이 가장 빈번하게 지적됩니다.

생산·서비스 제공(7.5) — 특히 멸균과 청결도
멸균 의료기기 제조사는 7.5.5(멸균 의료기기 특별 요구사항), 7.5.7(멸균 공정 유효성 확인) 조항을 충족해야 합니다. 미생물·미립자 오염 관리, 청결 환경 등급(Class), 환경 모니터링 기록이 핵심입니다.

시정조치·예방조치(CAPA)와 시판 후 감시
고객 불만 처리, 부적합 제품 관리, 규제당국 보고(MDR/Vigilance), 시정조치 효과성 검증이 연결된 하나의 흐름으로 운영되어야 합니다. 단편적인 양식 채우기로는 심사를 통과하기 어렵습니다.

3. 필수 문서 체크리스트

ISO 13485:2016이 명시적으로 요구하는 문서화된 정보는 다음과 같이 정리할 수 있습니다. 인증 신청 전에 본 체크리스트로 자체 점검하시기를 권장합니다.

시스템 운영 문서

• 품질 매뉴얼 (4.2.2)
• 품질 방침과 품질 목표 (5.3, 5.4.1)
• 조직의 책임과 권한 매트릭스 (5.5.1)
• 경영검토 절차 및 기록 (5.6)

의료기기별 문서

• 의료기기 파일 (4.2.3) — 제품 군별 1부
• 적용 법규·규제 요구사항 목록 (4.1.1)
• 위험 관리 계획서·위험 관리 파일 (7.1)
• 설계·개발 파일 (7.3) — 입력·출력·검증·유효성 확인 기록 포함
• 라벨링 및 사용 설명서 (7.5.1)

프로세스 절차서 (필수 6종 + 선택)

• 문서 관리 절차 (4.2.4)
• 기록 관리 절차 (4.2.5)
• 내부 심사 절차 (8.2.4)
• 부적합 제품 관리 절차 (8.3)
• 시정조치 절차 (8.5.2)
• 예방조치 절차 (8.5.3)
• (해당 시) 멸균 공정 유효성 확인 절차 (7.5.7)
• (해당 시) 설치 활동 절차 (7.5.3)
• (해당 시) 서비스 활동 절차 (7.5.4)

운영 기록

• 교육·훈련 기록 (6.2)
• 인프라·작업환경 모니터링 기록 (6.3, 6.4)
• 공급자 평가·재평가 기록 (7.4.1)
• 모니터링·측정 장비 교정 기록 (7.6)
• 고객 피드백·불만 처리 기록 (7.2.3, 8.2.2)
• 시판 후 감시 기록 (8.2.1)
• 내부 심사 기록 (8.2.4)

문서량이 부담스럽게 느껴질 수 있지만, 표준이 분량을 요구하는 것은 아닙니다. 추적성과 객관적 증거가 확보되는 형태이면 충분합니다. 1인 사업자도 인증 취득이 가능한 이유입니다.

4. 인증 준비 일정 — 6개월 로드맵

처음 ISO 13485를 도입하는 조직 기준으로 가장 현실적인 일정은 6개월입니다. 기존에 ISO 9001 또는 KGMP를 운영해온 조직은 3~4개월로 단축할 수 있습니다.

단계	기간	주요 활동
1. 갭 분석(Gap Analysis)	2~3주	현 시스템과 ISO 13485 요구사항 차이 진단, 우선순위 도출
2. 시스템 설계 및 문서화	6~8주	품질 매뉴얼·절차서·의료기기 파일·위험 관리 파일 작성
3. 시스템 운영 및 기록 축적	8~10주	절차에 따라 실제 운영, 최소 3개월 이상의 운영 기록 필요
4. 내부 심사 및 경영검토	2주	1회 이상의 내부 심사와 경영검토 실시 (인증 전 의무)
5. 인증기관 1단계 심사	1주	문서 심사 및 시스템 준비도 평가
6. 인증기관 2단계 심사	1~2주	현장 심사, 부적합 사항 발견 시 시정
7. 인증서 발급	4~6주	시정조치 검토, 인증위원회 결정, 인증서 발행

가장 단축이 어려운 구간은 3단계(시스템 운영 기록 축적) 입니다. 표준은 시스템이 일정 기간 실제로 운영되었음을 증명하는 기록을 요구하므로, 문서를 빨리 만든다고 일정이 줄어들지 않습니다.

5. 한국 KGMP와의 관계

한국의 「의료기기 제조 및 품질관리 기준」(식약처 고시, 통상 KGMP) 은 ISO 13485를 근간으로 제정되었습니다. 이 점이 한국 의료기기 제조사에게 중요한 실무적 의미를 갖습니다.

• ISO 13485 시스템을 구축하면 한국 의료기기 제조업 허가 및 품목허가 시 GMP 적합성 평가 준비 부담이 크게 줄어듭니다.
• KGMP 심사와 ISO 13485 인증심사는 요구사항 구조가 거의 동일하므로 두 시스템을 동시에 운영하는 것이 사실상 표준적인 접근입니다.
• 다만 두 인증은 별개의 절차입니다. ISO 13485 인증서가 자동으로 KGMP 적합 인정으로 이어지지 않으며, 식약처(또는 위탁심사기관)의 별도 심사가 필요합니다.

수출을 고려하지 않는 내수 전용 의료기기라면 KGMP만으로 충분할 수 있습니다. 하지만 OEM 공급망 진입, 협력업체 등록, 입찰 요건 충족 등 국내에서도 ISO 13485 인증서가 요구되는 사례가 늘어나고 있습니다.

6. 해외 규제(EU MDR, FDA QMSR, MDSAP)에서의 활용

ISO 13485는 글로벌 의료기기 규제의 공통 기반(common foundation) 역할을 합니다.

EU MDR / IVDR
의료기기지침을 대체한 EU 규정에서 QMS 의무 이행 시 ISO 13485를 핵심 기준으로 인정합니다. CE 인증 절차의 출발점입니다.

미국 FDA QMSR (2026년 2월 시행)
FDA는 기존 21 CFR Part 820(QSR)을 ISO 13485:2016을 직접 인용하는 QMSR(Quality Management System Regulation) 로 개정했고, 2026년 2월 2일 시행되었습니다. 이로써 미국 시장 진입 시 ISO 13485 시스템의 활용도가 크게 높아졌습니다. (다만 ISO 13485 인증서가 FDA 등록을 자동으로 대체하지는 않습니다.)

캐나다 보건부
의료기기 라이선스(MDL) 발급 시 ISO 13485 인증을 요구합니다.

MDSAP (Medical Device Single Audit Program)
미국·캐나다·브라질·호주·일본 5개국이 ISO 13485를 단일 심사 기준으로 채택하여 운영하고 있습니다.

요약하면, 글로벌 시장 진입을 고려한다면 ISO 13485는 선택이 아니라 기반입니다.

7. 인증 비용과 기간 가늠

ISO 13485 인증 비용은 조직 규모, 사업장 수, 의료기기 분류, 멸균·설계 활동 포함 여부에 따라 큰 폭으로 달라집니다. 일반화된 견적표를 제시하기는 어렵지만, 실무적인 가늠 기준은 다음과 같습니다.

• 인증 심사 비용: 인증기관에 직접 지급하는 비용으로, 1단계+2단계 심사 + 매년 사후심사 + 3년 후 갱신심사가 묶음으로 산정됩니다.
• 컨설팅 비용: 시스템 구축 컨설팅을 외부에 의뢰할 경우 발생합니다(자체 구축도 가능).
• 내부 비용: 품질책임자 인건비, 문서화·교육·검교정에 소요되는 내부 자원입니다. 실제로는 외부 비용보다 큰 경우가 많습니다.

심사 일수는 IAF MD5에 따라 조직 인원수와 위험도를 기준으로 산정됩니다. 의료기기는 일반 산업 대비 위험도 가중치가 높게 적용되므로, 같은 인원수의 ISO 9001 대비 심사 일수가 더 많아지는 경향이 있습니다.

정확한 견적은 조직 정보(인원수, 사업장, 제품군, 멸균 여부 등)를 바탕으로 산정해드릴 수 있습니다. 본문 하단의 무료 상담을 통해 견적 요청이 가능합니다.

8. KAI인증원의 인증 지원

KAI인증원은 미국 IAS로부터 ISO 9001, ISO 14001, ISO 45001 3개 표준에 대한 인정을 받은 인증기관입니다. ISO 13485는 현재 당사의 직접 발행 범위에는 포함되어 있지 않습니다.

다만 KAI인증원은 의료기기 제조사 고객을 위해 다음과 같이 지원하고 있습니다.

• ISO 13485 인증 견적 안내: 조직 정보(인원수, 사업장, 제품군, 멸균 여부 등)를 바탕으로 심사 일수와 비용을 가늠해드립니다.
• 제휴 인증기관 연계: 신뢰할 수 있는 IAS·UKAS·KAB 인정 인증기관을 통한 인증심사 진행을 안내해드립니다.
• 시스템 구축 단계의 표준 해설: 위험 관리 파일, 의료기기 파일, 설계·개발 기록 등 인증 준비 단계에서의 실무 가이드를 제공합니다.
• ISO 9001과의 통합 운영 자문: 당사가 직접 발행하는 ISO 9001과 ISO 13485를 통합 경영시스템으로 운영하시려는 조직에 적합한 구조를 설계해드립니다.

ISO 13485 인증을 검토 중이시거나 이미 시스템 구축을 시작하셨다면, 먼저 무료 상담을 통해 조직에 맞는 접근 방식을 정리하시기를 권장합니다.