사고/사건
BYD 폐차 TCU에서 전체 주행 이력 복원 — Quarkslab, 암호화 없는 텔레매틱스 데이터 잔존 위험 경고
보도일: 2026년 5월 4일|수집일: 2026년 5월 20일
요약
프랑스 보안 컨설팅 기업 Quarkslab의 연구원이 폴란드 폐차장에서 구입한 BYD Seal의 텔레매틱스 제어 유닛(TCU)에서 공장 출고부터 폐차까지 전체 GPS 이동 경로를 복원하는 데 성공했다. 데이터가 완전히 비암호화 상태로 저장되어 있어, 오픈소스 도구만으로 추출이 가능했다.
본문
Quarkslab의 Romain Marchand 연구원은 영국 캠브리지에서 사고 후 폴란드에서 폐차된 BYD Seal의 TCU를 입수하여 분석했다. 커스텀 어댑터를 제작하여 TCU 메모리 칩의 전체 내용을 덤프한 결과, 모든 GPS 좌표가 암호화 없이 평문으로 저장되어 있었다. 중국 공장에서의 출고, 영국 도로 주행, 폴란드 폐차장까지의 전체 이동 경로가 밀리미터 단위로 기록되어 있었으며, 특정 위치에서 장시간 정차한 기록은 Facebook에 게시된 실제 교통사고와 정확히 일치했다. 연구진은 유사한 아키텍처가 다른 자동차 브랜드에서도 사용되고 있어, 이 프라이버시 문제가 BYD에 국한되지 않는다고 경고했다. 폐차, 중고차 거래, 렌터카 반납 후에도 이전 운전자의 전체 이동 기록이 하드웨어에 잔존하여 제3자에게 노출될 수 있다.
시사점
차량 폐차/중고 거래 시 텔레매틱스 데이터 소거가 이루어지지 않는 현실은 심각한 프라이버시 위험을 제기한다. UN R155 CSMS 인증 심사에서 데이터 생명주기 관리(폐기 시 데이터 소거 포함)를 구체적으로 검증할 필요가 있으며, ISO 21434의 위협 분석 시 차량 폐기 단계의 데이터 잔존 위협을 시나리오에 포함해야 한다.