사고/사건
CVE-2026-25254: Qualcomm Snapdragon Auto 5G 모뎀 인증우회 취약점 — CVSS 9.8
보도일: 2026년 3월 (Qualcomm Security Bulletin), 2026년 5월 추가 분석|수집일: 2026년 5월 7일
요약
Qualcomm Software Center의 SocketIO 인터페이스를 통한 비인증 원격코드실행 취약점. Snapdragon Auto 5G 모뎀 포함 다수 Qualcomm 제품 영향.
본문
Qualcomm이 2026년 3월 Security Bulletin에서 공개한 CVE-2026-25254는 Qualcomm Software Center의 부적절한 인가(Improper Authorization) 취약점으로, CVSS 9.8(치명적)로 평가되었다. SocketIO 인터페이스를 통해 인증 없이 원격에서 코드를 실행할 수 있으며, Snapdragon Auto 5G 모뎀을 포함한 다수의 Qualcomm 칩셋 제품에 영향을 미친다. Qualcomm은 OEM에 패치를 배포했으나, 최종 차량 적용은 각 OEM의 통합 테스트 및 OTA 배포 일정에 따라 지연될 수 있다. 2026년 5월 현재 보안 연구자들의 추가 분석이 진행 중이며, 자동차 텔레매틱스 유닛(TCU)을 통한 공격 경로가 실질적 위험으로 지목되고 있다.
시사점
Qualcomm Snapdragon Auto 플랫폼은 글로벌 다수 OEM의 텔레매틱스·V2X·IVI 시스템에 탑재되어 있어 영향 범위가 광범위하다. 칩셋 벤더의 패치 발표와 차량 OTA 적용 사이의 시간차(patch gap)를 줄이기 위한 OEM-칩셋 벤더 간 신속 대응 체계가 필요하다.