[CSA 시리즈 #3] 미국 FDA 기준이라고요? 한국 식약처(MFDS) 실사 관점과 CSA의 교집합

지난 2편에서 CSV와 CSA의 차이점을 다루고 나니, 국내 제약·바이오 기업의 QA 담당자분들로부터 가장 많이 받는 현실적인 질문이 있습니다.

"CSA가 좋은 건 알겠는데, 그거 미국 FDA 이야기 아닌가요? 국내 식약처(MFDS) 실사 때 CSA 스타일로 화면 캡처 빼고 서류 줄여서 제출하면 보완 지적 나오는 거 아닙니까?"

결론부터 말씀드리면, 전혀 걱정하실 필요 없습니다. 오히려 식약처 실사를 영리하게 패스하기 위해서라도 이제는 CSA 마인드를 반드시 장착하셔야 합니다.

명칭만 'CSA'라고 따로 붙이지 않았을 뿐, 현재 한국 식약처의 GMP 심사 기준과 가이드라인은 이미 CSA의 핵심인 '위험 기반 접근(Risk-based Approach)'과 '데이터 완전성(Data Integrity)'으로 완벽하게 전환되었기 때문입니다. 국내 실사 관점과 CSA가 어떻게 맞물려 돌아가는지 시원하게 풀어드립니다.

1. 한국 식약처 규정의 뿌리는 'PIC/S'와 'GAMP 5'입니다

한국 식약처는 의약품실사상호협력기구(PIC/S)의 당당한 정회원국입니다. 국내 GMP 규정(의약품 제조 및 품질관리에 관한 규정 [별표 9] 컴퓨터화 시스템)은 PIC/S의 가이드라인을 기반으로 제정되었고, 이 PIC/S 가이드라인의 기술적 모태가 바로 GAMP 5입니다.

앞서 언급했듯이 최신 GAMP 5 개정판(Second Edition)은 미국 FDA의 CSA 개념(비판적 사고, 벤더 자산 활용, 차등 검증)을 적극적으로 수용하여 개정되었습니다. 즉, 식약처 규정의 뿌리 자체가 CSA와 같은 방향을 바라보고 있으므로 글로벌 트렌드와 국내 트렌드를 이분법적으로 나눌 필요가 없습니다.

2. 식약처 '데이터 완전성(DI) 평가지침'과의 소름 돋는 일치

최근 몇 년간 국내 제약 업계의 가장 큰 화두는 식약처의 '데이터 완전성(Data Integrity) 평가지침'이었습니다. 이 지침을 만족하기 위해 무조건 서류를 두껍게 만들어야 한다고 오해하시는 분들이 많지만, 지침서 본문을 들여다보면 핵심은 따로 있습니다.

"모든 컴퓨터화 시스템에 대해 동일한 수준의 검증을 적용하는 것이 아니라, 환자의 안전, 제품의 품질, 그리고 데이터 무결성에 미치는 위험도(Risk)를 평가하고 그 위험에 비례하여 검증의 범위와 깊이를 결정해야 한다."

어디서 많이 본 문구 아닌가요? 그렇습니다. 미국 FDA가 CSA를 통해 주창한 '비판적 사고(Critical Thinking)에 기반한 차등 검증'과 완벽하게 일치하는 내용입니다. 식약처 역시 기계적인 문서 노가다보다 "너희가 우리 시스템의 위험 요소를 제대로 알고 검증했느야"를 본다는 뜻입니다.

3. 요즘 식약처 실사관(Auditor)들이 던지는 질문

과거의 실사관들은 "테스트했다는 증빙 화면 캡처 다 가져와 보세요"라고 했습니다. 하지만 요즘 실사관들은 질문의 깊이가 다릅니다.

• 과거: "이 기능 테스트할 때 화면 캡처 왜 누락됐습니까?" (형식 주의)

• 현재: "이 기능이 왜 저위험(Low Risk)으로 분류되었는지, 위험 평가(Risk Assessment)의 논리적 근거를 설명해 보세요." (본질 중심)

즉, 무조건 화면 캡처가 많다고 칭찬받는 시대는 끝났습니다. 엉뚱한 기능에 힘 빼느라 정작 데이터 위·변조와 직결되는 핵심 기능(예: 감사추적, 결과값 수정 권한 등)의 테스트를 소홀히 했다면, 종이 서류가 수천 장이어도 여지없이 지적 사항(Observation)을 받게 됩니다.

🧪 Matrix Gemini LIMS로 식약처 DI와 CSA를 동시에 잡는 법

국내 식약처 실사를 완벽하게 방어하면서도 밸리데이션 업무를 획기적으로 줄이는 치트키는 바로 Matrix Gemini LIMS의 시스템적 특성(Category 4)을 활용하는 것입니다.

Matrix Gemini LIMS를 도입하시면 식약처 실사 대응이 한결 쉬워집니다.

• 위험 평가서(RA)의 단순화: 코어 소스코드를 건드리지 않는 '구성(Configuration)' 방식이기 때문에, 시스템 밸리데이션 위험 평가 시 '소프트웨어 자체 버그 위험성' 점수를 대폭 낮게 가져갈 수 있습니다. 식약처 실사관에게 "이 시스템은 안전한 기성 제품(COTS) 기반입니다"라고 당당하게 설명할 근거가 됩니다.

• 실제 업무(UAT) 중심의 실사 방어: 식약처 DI 지침이 가장 중요하게 보는 것은 "실제 실험실 연구원들이 데이터를 다룰 때 부정한 행위나 오류가 개입할 수 없는가"입니다. Matrix 본사의 OQ 데이터를 인용하여 기초 기능 검증은 가볍게 패스하고, 우리 실험실의 실제 Work-Flow를 검증하는 UAT(사용자 인수 테스트) 문서만 촘촘하게 구성해 두면 식약처 실사관들이 가장 좋아하는 '모범 답안'이 완성됩니다.

이제 "미국 기준이라 국내에선 안 통하면 어쩌지?"라는 걱정은 내려놓으셔도 좋습니다. CSA 방식으로 영리하게 준비하는 것이, 식약처의 데이터 완전성 지침을 가장 정확하고 빠르게 만족시키는 지름길입니다.