사고/사건
CISA ICS 경보: Yadea T5 전기자전거 키 폽 신호 위조 취약점 (CVE-2025-70994)
보도일: 2026년 4월 23일|수집일: 2026년 4월 28일
요약
CISA가 Yadea T5 전기자전거의 키 폽 인증 메커니즘 취약점에 대한 ICS 권고문(ICSA-26-113-01)을 발표했다. 공격자가 정당한 키 폽 신호를 가로챈 후 리플레이 공격으로 차량을 무단 잠금 해제·시동할 수 있다.
본문
미국 CISA가 2026년 4월 23일 Yadea T5 전기자전거의 키 폽 인증 메커니즘에 존재하는 취약점(CVE-2025-70994)에 대한 ICS 권고문을 발표했다. 해당 취약점은 약한 인증 메커니즘(Weak Authentication)에 해당하며, 키 폽이 롤링 코드(rolling code)를 사용하지 않아 공격자가 30~50미터 근접 범위 내에서 정당한 키 폽 전송 신호를 가로챈 후 신호를 위조하여 차량을 무단으로 잠금 해제하고 시동을 걸 수 있다. 이를 통한 차량 절도가 가능하며, 공격에는 별도의 인증 정보나 사전 접근 권한이 필요하지 않다. CISA는 이 취약점에 대해 제조사 Yadea와의 조율을 시도했으나, Yadea가 어떠한 응답도 하지 않았다고 밝혔다. 현재 펌웨어 패치가 제공되지 않으며, CISA는 사용자에게 외부 물리적 잠금장치를 병행 사용할 것을 권고했다.
시사점
전기자전거·전기오토바이 등 경량 전기 이동수단(LEV)에서도 키 폽 리플레이 공격 취약점이 확인됨에 따라, 자동차에서 오랫동안 문제가 되어 온 무선 잠금장치 보안 이슈가 마이크로모빌리티 영역으로 확산되고 있음이 재확인되었다. 특히 제조사가 CISA의 취약점 조율 요청에 응답하지 않아 패치가 부재한 상황은, 저가형 전기 이동수단 제조사의 보안 대응 역량과 책임 체계에 대한 우려를 증폭시킨다. UN R155가 적용되지 않는 L-카테고리 이동수단의 사이버보안 규제 공백에 대한 논의가 필요하다. 국내에서도 전기자전거·전동킥보드 등 개인형 이동장치(PM)에 대한 사이버보안 가이드라인 마련을 검토할 시점이다.