사고/사건
Qualcomm 칩셋 제로데이 CVE-2026-21385 실제 악용 — 자동차 시스템 포함 영향
보도일: 2026년 3월 3일|수집일: 2026년 3월 9일
요약
Google이 2026년 3월 Android 보안 업데이트에서 Qualcomm 그래픽 컴포넌트의 버퍼 오버리드 취약점(CVE-2026-21385, CVSS 7.8)을 패치했으며, 이 취약점이 제한적 표적 공격에 실제 악용되고 있음을 확인했다. Qualcomm Snapdragon SoC 기반의 스마트폰, IoT, 자동차 시스템이 모두 영향권에 있다.
본문
Google은 2026년 3월 Android 보안 게시판을 통해 총 129개 취약점을 패치했으며, 이 중 Qualcomm 오픈소스 컴포넌트의 CVE-2026-21385가 가장 주목받고 있다. 이 취약점은 그래픽 컴포넌트에서 사용자 제공 데이터를 추가할 때 가용 버퍼 크기를 확인하지 않아 발생하는 메모리 손상(정수 오버플로우) 문제이다.
CISA는 3월 3일 이 취약점을 Known Exploited Vulnerabilities(KEV) 카탈로그에 추가했으며, 연방 기관은 3월 24일까지 패치를 적용해야 한다. Qualcomm Snapdragon SoC는 스마트폰뿐만 아니라 차량 인포테인먼트 시스템, 텔레매틱스 유닛, IoT 센서 등에도 광범위하게 사용되고 있어 자동차 산업에도 잠재적 영향이 있다.
다만, Google은 이번 Android Automotive OS 및 Android XR 업데이트에는 별도의 플랫폼 특화 패치가 포함되지 않았다고 밝혔다. 이는 자동차 OEM이 별도로 해당 칩셋의 보안 패치를 적용해야 함을 의미한다.
시사점
Qualcomm 칩셋이 자동차 인포테인먼트 및 텔레매틱스 시스템에 광범위하게 사용되는 만큼, 자동차 OEM은 모바일 플랫폼의 제로데이 취약점이 차량 시스템에 미치는 영향을 지속적으로 모니터링하고 패치 적용 체계를 강화해야 한다.