사고/사건
CVE-2026-25262: Qualcomm BootROM Write-What-Where 취약점 — 자동차·IoT 칩셋 영향
보도일: 2026년 4월 20일|수집일: 2026년 5월 18일
요약
Kaspersky ICS CERT가 Qualcomm MDM9x07·MDM9x45·MSM8916 등 다수 칩셋 시리즈의 BootROM에서 Write-What-Where 취약점을 발견했다. 물리적 접근이 필요하지만 Secure Boot 체인을 우회하여 최대 권한으로 임의 코드 실행이 가능하다.
본문
CVE-2026-25262는 Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952, SDX50 칩셋 시리즈의 BootROM에 존재하는 CWE-123(Write-what-where Condition) 취약점이다. BootROM은 제조 시 하드웨어에 내장되는 펌웨어로 OS 로드 이전에 동작하며, 이 계층에서의 익스플로잇은 탐지와 제거가 극히 어렵다. Kaspersky 연구진은 Qualcomm의 Sahara 프로토콜(장치가 EDL 모드에 진입할 때 사용하는 저수준 통신 메커니즘)을 분석하는 과정에서 이 취약점을 발견했다. 공격자는 물리적 접근을 통해 기기의 카메라·마이크·저장 데이터에 접근하거나, 복잡한 공격 시나리오를 구현하여 기기를 완전히 장악할 수 있다. 특히 침해된 시스템은 재부팅을 시뮬레이션할 수 있어 배터리 완전 방전만이 클린 재시작을 보장한다. 이 취약점은 2025년 3월 Qualcomm에 비공개 보고됐고, 2025년 4월 공식 인정됐으며, Black Hat Asia 2026에서 연구 결과가 발표됐다. Qualcomm은 2026년 5월 보안 공지를 통해 패치를 배포했다.
시사점
해당 Qualcomm 칩셋은 스마트폰뿐 아니라 자동차 부품, IoT 기기에도 널리 사용되므로, 차량용 텔레매틱스·인포테인먼트 시스템에도 잠재적 영향이 있다. BootROM 수준의 취약점은 소프트웨어 패치로 완전히 해결하기 어려운 하드웨어 보안의 근본적 한계를 보여주며, OEM은 칩셋 선정 단계에서 하드웨어 보안 아키텍처 평가를 강화해야 한다.