HAKSTUFF는 2026년 초 기준 글로벌 주요 OEM 40개사를 대상으로, 취약점 공개 프로그램(VDP)과 취약점 보상 프로그램(VRP)의 운영 여부를 전수 조사했다. 핵심 발견은 다음과 같다.

VDP 운영 현황을 보면, 평가 대상 40개 OEM 중 59%만이 어떤 형태로든 취약점 공개 프로그램을 운영하고 있었다. 이는 41%의 OEM에 대해 보안 연구자가 취약점을 발견하더라도 공식적으로 보고할 채널이 없음을 의미한다. 사이버보안팀 이메일을 공개하고 있는 OEM은 전체의 38.5%에 불과했다.

VRP(버그 바운티) 현황은 더욱 심각했다. 중국 OEM 6개사(XPeng, Li Auto 등)를 제외하면, 서방 OEM 중 차량 관련 버그 바운티를 운영하는 곳은 BMW(최대 €15,000 지급), Tesla(차량 취약점 최대 $100,000 지급), Rivian 3개사뿐이었다. 대부분의 서방 OEM은 "취약점 보고를 받겠다"는 공개 프로그램만 운영하며 금전적 보상은 제공하지 않았다.

특히 주목할 점은, 조사 대상 OEM의 56.4%가 공개된 CVE(공통 취약점 및 노출)가 단 한 건도 없었다는 사실이다. HAKSTUFF는 이를 "보안이 우수하다는 의미가 아니라 감시 및 투명성이 부족하다는 의미"로 해석했다. 또한 차량의 공격 표면을 구성하는 모듈 대부분이 OEM이 아닌 서드파티 부품사가 제조하기 때문에, 전통적인 버그 바운티 모델의 적용이 구조적으로 어렵다는 점도 지적되었다. Rivian과 Lucid 등 일부 OEM은 "차량 시스템은 버그 바운티 범위에서 제외"한다고 명시하고 있었다.