[A-3] Notified Body는 심판인가, 코치인가
— EU 인증 체계의 핵심 행위자를 해부한다
Series A. EU 제품안전 기초: NLF를 해부한다 | A-3 이전 글: [A-2] 인증 모듈(A~H)은 기업 맞춤 메뉴판이다 다음 글: [A-4] 제품이 팔린 뒤가 더 무섭다 보충편: [A-3-1] NB는 어떻게 탄생하는가 — Accreditation에서 NANDO까지
EU 인증 체계의 핵심 행위자 Notified Body의 역할과 구조적 한계를 실무자 시각으로 분석한다.
스포츠에는 두 종류의 전문가가 있다.
코치는 선수 편이다. 약점을 찾아주고, 전략을 함께 세우고, 더 잘할 수 있도록 돕는다. 심판은 어느 편도 아니다. 규칙을 적용하고, 위반을 판정하고, 점수를 매긴다. 코치에게 편파적 심판은 재앙이다. 심판이 코치처럼 굴면 경기는 무너진다.
EU 제품 인증 체계에서 Notified Body(NB, 지정 인증기관)는 어느 쪽인가.
실무자들은 종종 헷갈린다. NB가 심사를 도와주는 것처럼 느껴질 때도 있고, 냉정한 평가자처럼 느껴질 때도 있다. 그 경계가 어디인지, 그리고 왜 그 경계가 중요한지가 이 글의 핵심이다.
NB는 무엇인가
먼저 정의부터.
Notified Body는 특정 EU 법령 하에서 적합성 평가(Conformity Assessment)를 수행하도록 각 회원국 정부가 공식 지정하고, EU 집행위원회에 통보(Notify)한 제3자 기관이다.
세 단어가 중요하다.
“제3자” — NB는 제조사도 아니고 정부도 아니다. 독립적인 민간 또는 반관반민 기관이다.
“공식 지정” — 아무나 NB가 될 수 없다. 정부가 자격을 심사하고, EU에 통보하고, NANDO(EU 공식 인증기관 데이터베이스)에 등재되어야 비로소 NB다. 그전까지는 아무리 기술력이 뛰어나도 EU 법령상 NB가 아니다.
“특정 법령 하에서” — NB는 범용 인증기관이 아니다. 기계류 지침, 의료기기 규정, AI Act 등 각각의 법령에 따라 별도로 지정된다. 한 NB가 기계류 인증은 할 수 있어도, 의료기기 인증은 못 할 수 있다.¹
아래 그림은 NB가 EU 전체 적합성평가 생태계에서 어떤 위치를 차지하는지 보여준다.
EU 적합성평가 생태계. L0(정책·입법층)부터 L3(실무 CAB 기관)까지, 그리고 AI Act 레이어와 한국 대응 구조를 포함한다. NB(통보기관)는 L2 공적 평가·감독층에 위치한다.
그림을 보면 NB의 위치가 명확하다. EU Commission(L0)이 법령을 만들고, 각국 Notifying Authority(L1)가 NB를 지정한다. NB(L2)는 제조업체(L3 하단)의 기술 문서를 평가하고 CE 마크 발행을 가능하게 한다. MSA(시장감시 당국)는 이 체계와 별개로, 시장에 나온 제품을 사후 단속한다.
NB는 심판이다. 그리고 코치가 아니다.
그런데 현실은 조금 더 복잡하다.
심판의 역할: 독립성이 핵심이다
블루 가이드(Blue Guide, 2022)는 NB의 독립성 요건을 명확히 규정한다.
NB는 평가하는 기업이나 제품으로부터 독립적이어야 한다. 상업적, 재정적, 기타 어떠한 압력도 판단에 영향을 미쳐서는 안 된다. NB가 인증 외 다른 사업(컨설팅, 설계 지원 등)을 할 경우, 그 활동이 인증 판단에 영향을 주지 않도록 내부 절차로 분리해야 한다.²
이 독립성 요건이 NB를 코치와 구별하는 핵심이다. 코치는 선수와 같은 편이다. NB는 같은 편이 될 수 없다.
실무에서 이것이 구체적으로 의미하는 바가 있다. NB는 “이렇게 하면 통과할 수 있다”는 방법을 직접 알려주거나 설계해주어서는 안 된다. 기술 문서의 충족 여부를 판정하는 것이 역할이고, 그 문서를 어떻게 채울지는 제조사의 책임이다.
코치처럼 느껴지는 이유
그런데 현실에서 제조사들은 종종 NB를 코치처럼 경험한다.
Module B(EU 형식 검사) 과정에서 NB는 기술 문서의 결함을 지적하고, 추가 시험을 요청하고, 개선 방향을 언급하기도 한다. 이것이 코칭인가?
아니다. 이것은 판정 과정의 일부다. NB는 “이 제품은 기준 미달”이라는 판정을 내리면서 그 근거를 설명한다. 제조사가 어떻게 개선할지는 제조사가 결정한다. NB가 해결책을 설계해주는 것이 아니다.
그러나 이 경계가 현실에서 항상 선명하지는 않다. 특히 작은 NB와 오랜 고객 관계를 유지하다 보면, 심판과 코치의 역할이 흐릿해지는 위험이 있다.
이것이 EU가 독립성 요건을 법령에 명시한 이유다.
NB가 실제로 하는 일
모듈에 따라 NB의 역할은 다르다.
설계 단계(Module B)에서: 제조사가 제출한 기술 문서와 대표 시제품을 심사한다. 필수 요구사항을 충족하는지 판정하고, 통과하면 EU 형식 검사 인증서를 발급한다. 이 인증서에는 NB 고유 번호가 찍힌다. CE 마크 옆의 4자리 숫자가 바로 이것이다.
생산 단계(Module D)에서: 제조사의 품질경영시스템(QMS, 보통 ISO 9001 기반)을 심사하고, 이후 정기적으로 감사한다. 시스템이 유지되고 있는지, 실제 생산이 승인된 설계와 일치하는지를 확인한다.
Module G(단위 검증)에서: 제품 하나하나를 NB가 직접 검사한다.
공통적으로, NB가 발급한 인증서는 EU 27개 회원국 전체에서 법적 효력을 갖는다. 독일의 NB가 발급한 인증서가 프랑스에서도, 폴란드에서도 유효하다. 단일 시장의 신뢰 인프라가 작동하는 방식이다.
NB의 한계: PIP 스캔들이 드러낸 것
NB 체계의 구조적 한계를 이야기할 때, 가장 자주 인용되는 사례가 있다.
PIP 유방 보형물 스캔들 (2010년)이다.
프랑스 회사 Poly Implant Prothèse(PIP)는 1991년 설립된 의료기기 제조사다. 2000년, 독일 인증기관 TÜV Rheinland로부터 유방 보형물에 대한 CE 마크를 취득했다. 이후 약 10년간 약 400,000명의 여성에게, 65개국에 제품을 판매했다.³
2010년 3월, 프랑스 의약품 안전청(AFSSAPS)이 충격적인 사실을 발표했다.
PIP가 의료용 실리콘 대신 산업용 실리콘을 유방 보형물에 몰래 사용해왔다는 것이다. 의료용 생체적합성 인증을 통과하지 못한 재료였다. 이 제품을 삽입한 여성들은 정상 제품보다 훨씬 높은 파열 위험에 노출되었다.
TÜV Rheinland는 1998년부터 2008년까지 PIP 공장을 총 8차례 방문해 감사를 실시했다. 그러나 모든 방문이 사전 공지된 방문이었고, 사업 기록이나 원자재를 직접 검사하지 않았다.⁴
이것이 TÜV의 실수였는가? EU 사법재판소는 2017년 명확히 판단했다.
NB는 예고 없는 방문, 제품 직접 검사, 사업 기록 열람에 대한 일반적 의무가 없다.⁵
다시 말해, TÜV는 당시 법령이 요구하는 모든 것을 했다. 문제는 TÜV가 아니라 체계(System) 설계에 있었다.
PIP는 감사관이 오기 전에 의심스러운 재료를 숨기고, 정상 재료와 그에 맞는 문서를 준비해두었다. 형사재판에서 TÜV Rheinland는 사기의 피해자로 인정받았다.⁶
그렇다면 진짜 교훈은 무엇인가.
사전 고지 방문만으로는 고의적 사기를 막을 수 없다. NB는 법령이 요구하는 것을 했지만, 법령 자체가 충분하지 않았다.
EU는 이 사건 이후 2017년 새 의료기기 규정(MDR)을 제정해 NB에 대한 요건을 대폭 강화했다. 예고 없는 방문, 더 광범위한 문서 접근권이 추가되었다. PIP 스캔들이 EU 의료기기 규제 역사상 가장 큰 변화의 직접 계기가 된 것이다.⁷
[필자 분석] 민간기관이 공적 역할을 수행하는 구조의 긴장
PIP 사건의 더 깊은 교훈이 있다.
NB는 민간기업이다. TÜV Rheinland, Bureau Veritas, SGS 같은 기관들이다. 그런데 이들은 공적 역할을 수행한다. EU 법령에 의해 지정되고, 그들의 판정이 법적 효력을 갖는다.
민간기업이 공공 안전을 판정한다. 이것이 NLF 체계의 핵심 설계이자, 동시에 구조적 긴장의 원천이다.
NB는 기업으로서 수익을 내야 한다. 심사를 의뢰하는 제조사로부터 수수료를 받는다. 독립성을 법으로 요구하지만, 경제적 이해관계는 분리되지 않는다. EU는 이 긴장을 Accreditation(인정) 체계로 관리한다. 인정기구(예: 독일의 DAkkS)가 NB의 기술 역량과 독립성을 주기적으로 검증한다.
그러나 PIP 사건이 보여준 것처럼, 고의적 사기 앞에서 심판도, 감사도 완전하지 않을 수 있다.
그래서 EU AI Act는 한 단계를 더 추가했다. 고위험 AI 시스템에 대해서는 NB 위에 AI Office(Commission 직속)가 추가 감독 레이어를 가진다. 위 그림의 하단 “AI Act 레이어”가 이것을 보여준다.
심판이 공정하려면, 심판을 심판하는 체계가 있어야 한다. 그리고 그 체계도 다시 검증받아야 한다.
마무리
Notified Body는 심판이다.
그러나 그 심판은 한 번의 경기만 판정하지 않는다. 제품의 생애주기 내내, 정기 감사를 통해 지속적으로 관여한다. 그리고 그 심판 자체가 Accreditation 체계에 의해 감시받는다.
신뢰의 사슬은 이렇게 작동한다. 제조사를 NB가 검증하고, NB를 인정기구가 검증하고, 인정기구를 정부가 감독한다.
그 어떤 고리도 혼자 서 있지 않는다.
→ 다음 글: [A-4] 제품이 팔린 뒤가 더 무섭다 → 보충편: [A-3-1] NB는 어떻게 탄생하는가 — Accreditation에서 NANDO까지 ← 이전 글: [A-2] 인증 모듈(A~H)은 기업 맞춤 메뉴판이다
주석 ¹ Blue Guide 2022, Section 5.2.1. Notified bodies carry out tasks when a third party is required under applicable technical harmonisation legislation. ² Blue Guide 2022, Section 5.2.2. “Notified bodies are and must remain third parties independent of their clients and other interested parties.” ³ PIP 스캔들 개요: EU PIP breast implant withdrawal, Regulatory Rapporteur (2023). https://www.regulatoryrapporteur.org/cpd-supplements/eu-pip-breast-implant-withdrawal/111.article / 타임라인: MassDevice, “PIP breast implant scandal: A story that triggered change” (2018). https://www.massdevice.com/pip-breast-implant-scandal-story-triggered-change/ ⁴ TÜV Rheinland vs. PIP 사건 경위: “EU Court decides TÜV Rheinland / PIP breast implants case,” medicaldeviceslegal.com (2017). https://medicaldeviceslegal.com/2017/02/20/eu-court-decides-tuv-rheinland-pip-breast-implants-case/ / TÜV Rheinland 공식 입장: https://www.tuv.com/press/en/press-releases/press-release-decision-of-the-paris-court-of-appeal-in-the-scope-of-the-pip-breast-implants-case.html ⁵ EU 사법재판소 판결 (2017년 2월 16일): NB는 예고 없는 방문, 제품 직접 검사, 사업 기록 열람에 대한 일반적 법적 의무가 없다고 판시. 출처: ⁴와 동일. ⁶ 형사재판 결과: 마르세유 형사법원(2013), 엑상프로방스 항소법원(2016), 프랑스 대법원(2018) 모두 TÜV를 PIP 사기의 피해자로 인정. 출처: TÜV Rheinland 공식 보도자료 (2023). https://www.tuv.com/press/en/press-releases/tuev-rheinland-pip-implant-case-decisions-french-supreme-court.html ⁷ EU 의료기기 규정(MDR) Regulation (EU) 2017/745, OJ L 117, 5.5.2017. PIP 스캔들이 MDR 전면 개정의 주요 계기가 되었음. 출처: MassDevice, ibid.
태그: #EU규제 #제품안전 #NLF #NotifiedBody #인증기관 #CE마킹 #PIP스캔들