사고/사건사고/사건
VicOne, CarlinKit CPC200 및 70mai 대시캠에서 제로데이 취약점 5건 발견 — 8.5만대 이상 노출
보도일: 2026년-05-12|수집일: 2026년 5월 18일
요약
VicOne 연구팀이 CarlinKit CPC200-CCPA(무선 CarPlay/Android Auto 동글)과 70mai A510 대시캠에서 5건의 제로데이 취약점을 발견, 전 세계 약 85,000대가 노출된 것으로 확인되었다.
본문
VicOne 위협 연구팀이 두 종류의 인기 애프터마켓 차량 주변기기에서 5건의 제로데이 취약점을 발견했다. CarlinKit CPC200-CCPA(무선 CarPlay/Android Auto 동글)에서는 CVE-2025-2765(하드코딩된 Wi-Fi 인증정보로 근거리 무단 접속), CVE-2025-2763(웹 기반 파일 업로드를 통한 원격 코드 실행), CVE-2025-2764(USB를 통한 임의 코드 실행)가 발견되었다. 70mai A510 스마트 대시캠에서는 CVE-2025-2766(WiFi Direct를 통한 원격 악용 가능), CVE-2025-2767(특수 USB 페이로드를 통한 완전한 시스템 제어)이 확인되었다. 이 동글은 차량 인포테인먼트 시스템에 직접 연결되어 CAN 버스까지 접근 가능한 경로를 제공할 수 있으며, 전 세계 약 85,000대 이상의 장치가 노출 상태다. VicOne은 이를 OEM과 Tier1이 관리하지 못하는 '사각지대(blind spot)'라고 경고했다.
시사점
애프터마켓 동글·대시캠 같은 서드파티 주변기기는 OEM의 위협 분석(TARA) 범위 밖에 있으나, 차량 네트워크에 물리적으로 연결되어 공격 경로가 될 수 있다. 국내 OEM은 애프터마켓 기기 연결 시의 위험을 CSMS 범위에 포함할지 검토가 필요하다.