사고/사건
VicOne 연구팀, 애프터마켓 차량 디바이스 제로데이 5건 발견 — 85,000대 이상 위험
보도일: 2025년 12월 17일|수집일: 2026년 3월 13일
요약
VicOne CyberThreat Research Lab이 CarlinKit CPC200-CCPA(무선 CarPlay/Android Auto 동글)과 70mai A510(스마트 대시캠) 두 제품에서 5건의 제로데이 취약점(CVE-2025-2762~2766)을 발견했다. 전 세계 약 85,000대 이상의 디바이스가 영향권에 있다.
본문
VicOne CyberThreat Research Lab은 인기 애프터마켓 차량 액세서리 두 제품에서 5건의 제로데이 취약점을 식별했다. CarlinKit CPC200-CCPA 무선 CarPlay/Android Auto 동글에서는 하드코딩된 약한 Wi-Fi 인증정보 및 인증 우회(CVE-2025-2765, CVSS 8.8), 악성 펌웨어 업로드를 통한 원격 코드 실행(CVE-2025-2763, CVSS 6.8), USB 드라이브를 통한 임의 코드 실행(CVE-2025-2764, CVSS 8.0), 하드웨어 신뢰 루트 부재로 인한 영구 백도어 설치 가능(CVE-2025-2762, CVSS 7.8) 취약점이 발견되었다. 70mai A510 스마트 대시캠에서는 변경 불가능한 기본 Wi-Fi 비밀번호(CVE-2025-2766, CVSS 8.8) 취약점이 확인되었다. 이 취약점들을 악용하면 주차장에서 대시캠 영상·GPS 로그를 탈취하거나, 서명 검증이 없는 펌웨어 업데이트로 영구 백도어를 설치하거나, 침해된 애프터마켓 디바이스를 통해 차량 내 인포테인먼트 시스템으로 횡이동(lateral movement)하여 차량 기능을 조작할 수 있다. 연구팀은 자동차 사이버보안 노력이 차량 핵심 시스템에 집중되는 반면 애프터마켓 디바이스는 규제 사각지대에 있다고 지적했다.
시사점
차량 핵심 시스템 외에 애프터마켓 디바이스가 새로운 공격 진입점이 될 수 있음을 보여주는 연구로, OEM의 보안 설계만으로는 커버할 수 없는 생태계 전체의 보안 과제를 제기한다. 부품사 및 액세서리 제조사를 포함한 공급망 전반의 보안 수준 향상이 필요하다.