2025년부터 FDA 인허가의 기준이 바뀝니다.
eSTAR 5.6은 더 이상 선택이 아닌, 미국 FDA 제출의 기본 형식이 되었습니다.
와이즈컴퍼니(주)는 급변하는 의료기기 규제 환경에 맞춰 eSTAR 5.6 준비와 사이버 보안 체계 구축을 통합적으로 지원합니다.
이번 글에서는 2025 FDA eSTAR 5.6의 핵심 변경 사항과 사이버 보안 요구사항, 그리고 승인 준비를 위해 반드시 준비해야 할 항목을 정리합니다.
eSTAR 5.6 의무화, 무엇이 달라졌을까?
[ FDA eSTAR 5.6 Guidance ]
2025년 7월 FDA는 최신 eSTAR 5.6을 공식 공개했습니다. 기존 510(k)에 이어 De Novo 제출도 2025년 10월부터 의무화됩니다.
- 510(k): 2023년 10월 1일부터 eSTAR 제출 의무화
- De Novo: 2025년 10월 1일부터 eSTAR 5.6 제출 의무화
eSTAR는 자동 검증 기능을 통해 제출 오류(RTA)를 사전에 줄이고, 심사관과의 커뮤니케이션 효율을 크게 향상시킵니다.
사이버 보안 요구사항, 문서가 아닌 체계를 요구
[ Cybersecurity in Medical Devices Final Guidance (2025-06-27) ]
FDA는 의료기기 사이버 보안을 제품 생애 주기 전체(Lifecycle)에서 관리할 것을 요구합니다.
즉, eSTAR 5.6 제출 시 단순히 문서를 나열하는 것이 아니라 실제로 운영되는 보안 체계를 증명해야 합니다.
eSTAR 5.6 핵심 제출 문서
- Cybersecurity Management Plan: 제품 생애 주기 전반의 보안 관리 전략과 운영 정책
- SPDF: 보안 통제가 설계 및 개발 프로세스에 어떻게 반영되는지에 대한 증빙
- SBOM: 모든 소프트웨어 구성 요소, 버전, EOL 및 취약점 대응 계획
- Threat Modeling: 잠재적 공격 시나리오와 위험 분석 결과
- Cybersecurity Risk Management: ISO 14971 기반 위험 평가 및 완화 기록
- 사이버 보안 시험 자료: VA, PT, 위협 완화 시험 결과 및 제3자 독립성 증빙
- Postmarket 관리 계획: 패치 주기, 취약점 모니터링, 환자 안전 대응 절차
이제는 “보안 문서가 있다”는 사실보다 지속적으로 관리되고 있다는 증거가 승인 여부를 좌우합니다.
준비하지 않으면 발생하는 리스크
eSTAR 5.6과 사이버 보안 요구사항을 충분히 준비하지 못할 경우 다음과 같은 문제가 발생할 수 있습니다.
- RTA(Refuse to Accept)로 인한 제출 거절
- 사이버 보안 항목 반복 보완 요청으로 심사 기간 장기화
- Postmarket 대응 미흡으로 승인 이후 리콜·시정조치 리스크
와이즈컴퍼니(주)의 FDA eSTAR 5.6 대응 전략
와이즈컴퍼니(주)는 단순 문서 작성이 아닌 FDA 승인 성공을 목표로 한 실무 중심의 지원 전략을 제공합니다.
지원 범위
eSTAR 5.6 기반 문서화
최신 템플릿 기준에 맞춘 구조 설계 및 제출 적합성 검토
사이버 보안 체계 구축
SBOM 관리, 위협 모델링, Risk Management를 하나의 체계로 정렬
독립적 보안 시험
FDA 요구사항을 충족하는 제3자 시험 설계 및 결과 정리
Postmarket 전략 포함
승인 이후까지 고려한 패치·취약점 대응 프로세스 수립