1. 왜 지금 ISO 13485 인증인가
한국 의료기기 산업은 2025년 기준 매출 12조 원 규모로 매년 두 자릿수 성장 중이고, 정부도 K-바이오·디지털 헬스케어 육성을 위해 의료기기 수출을 적극 지원하고 있습니다. 그러나 글로벌 의료기기 시장 진입에는 ISO 13485가 사실상 필수이며, 미국 FDA·EU MDR·일본 PMDA·중국 NMPA의 모든 규제가 이 표준을 기반으로 합니다.
ISO 13485:2016(의료기기 품질경영시스템) 인증을 취득한 의료기기 제조업체의 정량 효과는 일관됩니다.
- 글로벌 진출 자격 확보 — EU CE·MDR, 미국 FDA 510(k), 일본 PMDA, 중국 NMPA 기반
- MFDS·KGMP 대응 — 한국 식품의약품안전처(MFDS) 의료기기 GMP와 통합 운영
- 부적합·리콜 50~80% 감소 — 설계·생산·서비스의 체계적 위험 관리
- 고객 신뢰·매출 효과 — 병원·OEM·외자 진입 자격
- 신제품 출시 기간 30% 단축 — 표준화된 설계·검증 프로세스
이 글은 ISO 13485 인증의 진단부터 취득·MFDS·MDR·FDA 연계까지의 5단계 로드맵을 정리합니다.
2. ISO 13485 인증 성숙도 5단계
본격 도입 전에 현재 위치를 객관적으로 진단해야 합니다. ISO 13485는 정답이 하나가 아니라 의료기기 등급·시장·규제에 따라 시작점이 다릅니다.
| 단계 | 명칭 | 특징 | 일반 비중 |
|---|---|---|---|
| Level 1 | No QMS | 의료기기 QMS 부재. 출시 어려움 | 중소 25% |
| Level 2 | MFDS KGMP | 한국 의료기기 GMP만 보유 | 중소·중견 30% |
| Level 3 | ISO 13485 Certified | ISO 13485 + KGMP 통합 운영 | 중견 30% |
| Level 4 | Multi-Region | ISO 13485 + MDR + FDA + PMDA 다지역 | 중견·대기업 12% |
| Level 5 | World-Class | 글로벌 통합 QMS + 디지털 의료기기 (SaMD·AI/ML) | 글로벌·외자 3% |
자가 진단을 빠르게 하시려면 다음 4가지 질문에 답해 보세요.
- 의료기기 **위험관리(ISO 14971)**가 제품별로 수행되는가
- 설계 입력·출력·검증·확인(Design Control)이 문서화되어 있는가
- 고객 불만·시장 사고를 CAPA 시스템으로 추적하는가
- 추적성(Traceability)이 원료·완제품·고객까지 가능한가
4개 모두 “아니오”면 Level 12, 23개 “예”면 Level 3(인증 가능), 4개 모두 “예”면 Level 4 진입 단계입니다.
Risk Matrix 5×5 · DFMEA · 8D 보고서로 베이스라인을 측정하면 진단의 기초 데이터가 됩니다.
3. 단계 1: 진단·규제 매핑 (1~3개월)
본 인증 추진 전 반드시 거쳐야 할 단계. 갭 분석 없이 인증을 추진하면 “ISO 13485 받았지만 MDR·FDA는 못 간” 시스템이 됩니다.
핵심 산출물
- 의료기기 등급 분류 — 한국 MFDS(1~4등급)·EU MDR(Class I, IIa, IIb, III)·FDA(Class I·II·III) 매핑
- 규제 매핑 — 진출 시장별 적용 규제(MFDS·MDR·FDA·PMDA·NMPA) 인벤토리
- 현재 시스템 갭 분석 — ISO 13485:2016 모든 절·기존 QMS 충족도
- 위험 평가 — ISO 14971 기반 제품·공정 위험 평가
- 이해관계자·요구사항 — 환자·의료진·규제기관·OEM 요구
- 변화관리 위험 평가 — R&D·임상·QA·생산팀 협조 수준
활용 도구
- Risk Matrix 5×5 — ISO 14971 위험 평가
- DFMEA — 설계 위험 분석
- PFMEA / RPN — 공정 위험 분석
- Bow-Tie 분석 — 사고 시나리오
- Pareto Chart — 우선순위
- Stage-Gate 체크리스트 — 단계별 게이트
이 단계의 목적은 “인증 시작 선언”이 아니라 “진출 시장의 모든 규제 + 인증 후 상시 운영 가능성”을 평가하는 것입니다. 의료기기는 ISO 13485뿐 아니라 시장별 규제가 핵심.
4. 단계 2: 문서화·시스템 구축 (4~9개월)
진단이 완료되면 ISO 13485:2016 요구사항에 맞춰 문서화·시스템 구축.
ISO 13485:2016 8개 절(Clause) 요구사항
| 절 | 한국명 | 핵심 요구 |
|---|---|---|
| 1 | 적용 범위 | 의료기기 제조·유통의 QMS |
| 2 | 인용 표준 | ISO 13485 |
| 3 | 용어 및 정의 | 의료기기 QMS 용어 |
| 4 | 품질경영시스템 | 일반 요구·문서화 |
| 5 | 경영책임 | 최고경영자·품질 방침·자원 |
| 6 | 자원 관리 | 인적자원·기반시설·환경 |
| 7 | 제품 실현 | 설계 관리·구매·생산·서비스·측정 |
| 8 | 측정·분석·개선 | 만족도·내부 심사·부적합·시정 |
ISO 9001:2015와의 차이:
- ISO 13485는 ISO 9001:2008 기반으로 8개 절 구조 (ISO 9001:2015는 10개 절)
- 설계 관리(절 7.3)·CAPA(절 8.5.2~3)·추적성(절 7.5.8) 강력 요구
- 위험 기반 사고 → 위험 관리(ISO 14971) 별도 표준
의료기기 핵심 추가 요구
1. 설계 관리(Design Control) — 절 7.3. 입력·출력·검증·확인·변경관리. 의료기기 핵심.
2. 위험 관리(ISO 14971) — 제품 생애주기 위험 관리. 별도 표준이지만 13485에서 요구.
3. CAPA(Corrective and Preventive Action) — 부적합·고객 불만의 근본 원인 분석·시정·예방.
4. 추적성(Traceability) — 원료부터 완제품·환자까지 양방향 추적. 임플란트 등 고위험은 필수.
5. 임상 평가 — EU MDR에서는 임상 평가 보고서(CER) 의무.
6. UDI(Unique Device Identification) — 미국 FDA·EU MDR에서 의료기기 고유 식별 의무.
활용 도구
- Risk Matrix 5×5 — ISO 14971 위험 관리
- DFMEA — 설계 잠재 고장
- PFMEA / RPN — 공정 잠재 고장
- 8D 보고서 — CAPA 시정조치
- Fishbone Diagram — 근본 원인
- Pareto Chart — 부적합 우선순위
- QFD — 고객 요구 → 설계
설계 관리·위험 관리 부실이 인증 실패의 60% 원인입니다. 인증 비용의 40~50%를 이 단계에 배정하는 것이 안전합니다.
5. 단계 3: 시스템 운영·검증 (3~6개월)
문서화 완료 후 본격 운영. 인증 심사 전 3~6개월 운영 이력 필요.
운영 핵심 활동
1. 설계 관리(DHF) — 설계 이력 파일(Design History File). 입력·출력·검증·확인·변경의 완전 기록.
2. 장치 마스터(DMR) — 장치 마스터 레코드(Device Master Record). 제품 사양·BOM·라우팅·검사.
3. 장치 이력(DHR) — 장치 이력 기록(Device History Record). 각 Lot·Serial의 생산·검사·출하 기록.
4. CAPA 운영 — 모든 부적합·고객 불만·시장 사고의 CAPA 워크플로우.
5. 공급사 관리 — 핵심 부품·서비스 공급사 평가·계약·감사.
6. 내부심사·경영검토 — 연 1회 이상 내부심사, 연 1회 경영검토.
활용 도구
- DFMEA — 설계 위험 관리
- PFMEA / RPN — 공정 위험 관리
- 8D 보고서 — CAPA
- CAPA — 시정·예방조치 양식
- Supplier Scorecard — 공급사 평가
- SPC 차트 — 공정 모니터링
- Cp/Cpk 계산기 — 공정 능력
6. 단계 4: 인증 심사·취득 (1~3개월)
운영 이력이 쌓이면 본 인증 심사.
인증 심사 2단계
Stage 1 심사 (문서 심사)
- 문서·DHF·DMR·DHR·CAPA·위험 관리 검토
- 1~3일 소요
Stage 2 심사 (현장 심사)
- 모든 절·현장 심사, 설계·생산·서비스 검증
- 2~5일 소요
- 결과: Major NC 없으면 인증서 발급
ISO 13485 심사 특이 사항
- 설계 이력 검증 — DHF의 입력·출력·검증·확인 추적
- 위험 관리 검증 — ISO 14971 적용 결과
- 추적성 시연 — 임의 Lot의 원료~환자 양방향 추적
- CAPA 효과성 — 시정 후 재발 없음 검증
- 공급사 감사 — 핵심 공급사 감사 결과
인증기관 선정 (Notified Body·NB)
| 기관 | 특징 | 적용 시장 |
|---|---|---|
| 글로벌 NB (TÜV SÜD·TÜV Rheinland·BSI·DEKRA·SGS) | MDR·CE 마킹 가능, 글로벌 인정 | EU·글로벌 |
| 미국 인증기관 (UL·NSF·DNV·BSI Americas) | FDA QSR 친화 | 미국 |
| 국내 NB (KTL·KTR·KCL·KFQ·KAB 인정 기관) | MFDS KGMP 친화 | 한국·아시아 |
| 일본 인증기관 (PMDA 인정 기관) | PMDA 친화 | 일본 |
선택 가이드:
- 글로벌 진출 전체: TÜV SÜD·TÜV Rheinland·BSI (MDR 인증 가능 NB)
- 한국 시장 + 일부 글로벌: KTL·KTR + 글로벌 NB 별도
- 미국 시장 중심: 미국 인증기관
인증서 발급 후
- 인증서 유효기간: 3년
- Surveillance Audit(사후심사): 연 1회, 1~3일
- Special Audit(특별심사): MFDS·FDA·MDR 요구 시
- Unannounced Audit(불시 심사): EU MDR 요구
활용 도구
- Stage-Gate 체크리스트 — 심사 준비
- 8D 보고서 — Major NC 시정
- Risk Matrix 5×5 — 심사 위험
- DFMEA — 설계 위험
7. 단계 5: 운영·다지역 확장 (지속)
인증 후 3~6개월 안에 안정화, 그 후 다지역 확장.
운영 KPI 7가지
- CAPA 시정조치 완료율 — 발생 CAPA의 완료 비율 (목표 100%)
- CAPA 효과성 — 재발 없는 비율 (목표 95% 이상)
- 고객 불만·시장 사고 추세 — 정량 감소 추세
- 추적성 검증율 — 정기 추적성 테스트 통과율
- 공급사 평가율 — 핵심 공급사 정기 평가 (목표 100%)
- 교육·역량 충족율 — 직무별 역량 (목표 95%+)
- 내부심사 부적합 추세 — 매년 감소
다지역 확장 로드맵
- 한국 + ISO 13485 (기본)
- EU CE·MDR — Notified Body 통한 CE 마킹, 임상 평가, UDI, PMS
- 미국 FDA 510(k) — Predicate device 비교, 510(k) 신고, QSR 준수
- 일본 PMDA — 등록 신청, MAH(시판허가자) 지정
- 중국 NMPA — 등록 신청, 중국 임상 (일부 제품)
- 기타 — 브라질 ANVISA, 호주 TGA, 캐나다 MDSAP
디지털 의료기기·SaMD 추가 고려
- SaMD(Software as a Medical Device) — IEC 62304 소프트웨어 생애주기
- AI/ML 의료기기 — FDA GMLP, EU AI Act 추가 대응
- 사이버보안 — IEC 81001-5-1, FDA 사이버보안 가이던스
흔한 함정 10가지
- ISO 9001과 동일 취급 — 13485 특화 요구(설계 관리·위험 관리·CAPA·추적성) 미흡
- 설계 관리 부실 — DHF 미흡 → 심사 Major NC
- 위험 관리 형식 — ISO 14971 형식적 적용
- CAPA 효과성 미검증 — 시정 후 재발 발생
- 추적성 부실 — 양방향 추적 불가능
- 공급사 관리 미흡 — 핵심 공급사 평가·감사 부재
- MDR·FDA 요구 미반영 — 한국 시장만 고려한 시스템
- 임상 평가 부재 — EU MDR CER 누락
- UDI 미적용 — FDA·MDR 의무 미준수
- 불시 심사 대응 부재 — EU MDR 불시 심사 시 혼란
8. 비용·일정 가이드라인
규모별 표준 예산 (한국 시장 기준).
| 규모 | 매출·제품 | 인증 조합 | 컨설팅 | 인증 비용 | 일정 |
|---|---|---|---|---|---|
| 소형 | 매출 30 | ISO 13485 + KGMP | 5천만~1.5억 | 2~5천만 | 9~14개월 |
| 중형 | 매출 100~500억 / 다제품 | ISO 13485 + KGMP + CE | 1~3억 | 5천만~2억 | 12~18개월 |
| 중견 | 매출 500~3,000억 | ISO 13485 + MDR + FDA + MFDS | 3~10억 | 1~5억 | 18~30개월 |
| 대기업·외자 | 매출 3,000억 이상 / 다국가 | 글로벌 통합 (MDR·FDA·PMDA·NMPA) | 10억~ | 5억~ | 24~48개월 |
연간 유지 비용 — Surveillance Audit 25천만/연, 사내 QA·RA 인력 315명.
정부 지원 사업 — 한국보건산업진흥원(KHIDI) 의료기기 글로벌 진출 지원, MFDS 의료기기 컨설팅, 중소벤처기업부 인증 지원. 일반적으로 인증 비용의 30~70% 매칭.
ROI 회수 기간 — 일반적으로 18~36개월. 글로벌 진출 매출 효과·신규 시장 진입이 주 동력.
9. ISO 13485 vs MDR vs FDA QSR vs KGMP — 무엇이 다른가
의료기기 규제는 자주 혼동됩니다.
| 영역 | ISO 13485 | EU MDR | FDA QSR (21 CFR 820) | MFDS KGMP |
|---|---|---|---|---|
| 유형 | 국제 QMS 표준 | EU 규제 | 미국 규제 | 한국 규제 |
| 시장 | 글로벌 (기반) | EU | 미국 | 한국 |
| 공통 기반 | — | ISO 13485 기반 + MDR 추가 | ISO 13485와 일부 차이 | ISO 13485 + 한국 추가 |
| 임상 평가 | — | 임상 평가 보고서(CER) 의무 | 510(k) 또는 PMA | 임상시험 일부 |
| PMS(시판 후 감시) | 일부 | 강력 요구 | 강력 요구 | 요구 |
| UDI | — | 의무 | 의무 | 도입 중 |
| 불시 심사 | — | 의무 | 일부 | — |
선택 가이드:
- ISO 13485는 모든 글로벌 진출의 기초
- MDR + ISO 13485 — EU 진출
- FDA QSR + ISO 13485 — 미국 진출
- KGMP는 한국 MFDS 의무 (ISO 13485로 일부 대체 가능)
- MDSAP — 5개국(미국·캐나다·호주·브라질·일본) 통합 심사
자세한 ISO 9001은 ISO 9001 인증 가이드, QMS 시스템은 QMS 구축 로드맵, LIMS는 LIMS 구축 가이드 참고.
10. 한국 ISO 13485 인증 사례 3가지
사례 1: 진단의료기기 중소 (매출 80억)
- 문제: 글로벌 진출 계획, EU CE 마킹 필요, ISO 13485 부재
- 선택: 컨설팅 + TÜV SÜD 인증기관 + KGMP 통합 추진
- 일정: 갭 분석 2개월 → 문서화 6개월 → 운영 4개월 → 인증 2개월 (총 14개월)
- 비용: 컨설팅 1.2억, 인증 4천만 (정부 지원 50%)
- 효과: ISO 13485 + CE 취득, EU 신규 시장 진입, 매출 2배 성장
사례 2: 임플란트 중견 (매출 500억)
- 문제: 글로벌 OEM 공급, EU MDR·FDA 510(k) 동시 추진
- 선택: BSI·TÜV SÜD 인증기관 + MDR·FDA 통합 추진
- 일정: 진단 3개월 → 문서·임상 평가 9개월 → 운영 6개월 → 인증·신고 6개월 (총 24개월)
- 비용: 컨설팅 3억, 인증 1.5억, 임상 평가 1억
- 효과: ISO 13485 + MDR + FDA 510(k) 동시 취득, 글로벌 진출 매출 50% 비중
사례 3: 디지털 헬스케어 중견 (매출 1,200억, SaMD)
- 문제: AI·SaMD 의료기기 출시, EU MDR·FDA·MFDS 동시 대응
- 선택: ISO 13485 + IEC 62304 + ISO 14971 + 사이버보안 통합
- 일정: 진단 3개월 → 통합 시스템 12개월 → 운영 6개월 → 다지역 인증 (총 27개월)
- 비용: 컨설팅 5억, 인증 3억, 임상·소프트웨어 검증 2억
- 효과: 4개 지역 동시 진입, AI 의료기기 신시장 개척
11. 도입 전 자가진단 10문항
본격 검토 전 다음 10개 질문에 답해 보세요. **6개 이상 “예”**면 즉시 추진, 3~5개면 갭 분석부터, 2개 이하면 KGMP 기본부터.
- 의료기기를 제조·유통하거나 출시 계획이 있는가
- 글로벌 진출(EU·미국·일본·중국 등) 계획이 있는가
- 한국 MFDS KGMP 보유 중이고 글로벌 확장이 필요한가
- 의료기기 설계 변경·신제품이 매년 발생하는가
- CAPA·고객 불만·시장 사고 시스템이 부재하거나 부실한가
- 글로벌 OEM·외자 고객의 ISO 13485 요구를 받는가
- SaMD·AI 의료기기 등 디지털 의료기기 출시 계획이 있는가
- 매출 30~10,000억대이고 의료기기 산업 운영 중인가
- 정부 의료기기 글로벌 진출 지원 사업 대상인가
- 임원이 글로벌 인증 추진을 후원할 의지가 있는가
마치며
ISO 13485 인증은 9~30개월의 중·장기 프로젝트입니다. 인증서 취득이 아닌 설계 관리 + 위험 관리(ISO 14971) + CAPA + 추적성 + 다지역 규제 대응의 결합이 본질입니다. 가장 자주 실패하는 사례는 ISO 9001과 동일하게 접근하거나, EU MDR·FDA 추가 요구를 사전 반영하지 않는 경우입니다.
본문의 5단계 로드맵에서 단계 2(문서화·설계·위험 관리)가 전체 비용의 40~50%를 차지하는 이유입니다. ISO 13485의 가치는 인증서에 있지 않고 글로벌 의료기기 시장 진출 + 환자 안전 확보에 있습니다.
ISO 9001·QMS·LIMS와의 관계는 ISO 9001 인증 가이드 · QMS 구축 로드맵 · LIMS 구축 가이드 · PLM 구축 로드맵에서 다룹니다.
NEXTON GLOBAL은 ISO 13485·MDR·FDA·MFDS·MDSAP 통합 컨설팅과 의료기기 글로벌 진출을 제공합니다. 진단·설계 관리부터 다지역 인증·임상 평가까지 전 단계 동행이 필요하시면 솔루션 페이지에서 상담을 요청해 주세요.