관련이슈
Stellantis, Bugcrowd 버그바운티 프로그램 공식 폐쇄 — 취약점 보고 채널 축소 우려
보도일: 2026년 1월 30일|수집일: 2026년 3월 14일
요약
Stellantis가 2016년부터 운영해온 Bugcrowd 기반 버그바운티 프로그램을 2025년 12월 10일 공식 폐쇄했다. 보안 연구자들의 차량 취약점 신고 경로가 사실상 차단된 상태이며, 대체 프로그램에 대한 공식 발표도 없는 상황이다.
본문
HAKSTUFF의 2026년 자동차 취약점 보고 현황 조사에 따르면, Stellantis의 Bugcrowd 버그바운티 프로그램이 2025년 5월 30일 일시 중단된 후 2025년 12월 10일 공식 폐쇄되었다. Stellantis 측은 폐쇄 사유를 공개하지 않았으며, Bugcrowd 측도 "재개 시점에 대한 내부 공지를 받지 못했다"고 밝혔다. 이 조사에서는 글로벌 40개 주요 OEM의 취약점 공개 프로그램(VDP) 운영 현황도 분석했는데, 약 59%만이 어떤 형태의 VDP를 운영하고 있었으며, 금전적 보상이 제공되는 VRP(취약점 보상 프로그램)를 운영하는 비중국 기업은 BMW, Tesla, Rivian 3곳에 불과했다. 반면 중국 OEM은 6곳이 VRP를 운영하여 서양 기업들을 크게 앞섰다. 또한 평가 대상 OEM의 40% 미만만이 사이버보안 팀에 대한 공개 연락처 이메일을 제공하고 있어, 연구자들의 취약점 신고를 저해하는 구조적 장벽이 존재하는 것으로 나타났다. 전체 평가 대상 OEM의 절반 이상이 공개된 CVE가 0건으로, 이는 보안 테스트 부족 또는 취약점 공개 실패를 시사한다.
시사점
글로벌 주요 OEM의 취약점 공개 프로그램 운영 실태가 여전히 미흡한 가운데, Stellantis의 프로그램 폐쇄는 보안 연구 커뮤니티와 OEM 간 협력 축소 신호로 해석된다. 취약점 보고 채널이 축소되면 제로데이 위협 대응력이 저하될 수 있어 업계 전반에 우려를 낳고 있다.