사고/사건
카스퍼스키, Black Hat Asia 2026에서 Qualcomm Snapdragon 칩 BootROM 취약점 공개 (CVE-2026-25262)
보도일: 2026년 4월 23일|수집일: 2026년 4월 28일
요약
카스퍼스키 ICS CERT가 Qualcomm Snapdragon 칩셋의 BootROM 수준 하드웨어 취약점을 Black Hat Asia 2026에서 발표했다. 자동차 부품에도 사용되는 칩셋이 영향을 받는다.
본문
카스퍼스키 ICS CERT 연구팀이 Black Hat Asia 2026(싱가포르, 4월 23일)에서 Qualcomm Snapdragon 칩셋의 BootROM에 존재하는 하드웨어 취약점(CVE-2026-25262)을 공개했다. 영향을 받는 칩셋에는 MDM9x07, MDM9x45, MSM8909, MSM8916, SDX50 등 자동차 부품, 스마트폰, IoT 기기에 광범위하게 사용되는 모델이 포함된다. 해당 취약점은 BootROM(마스크 ROM)에 존재하여 소프트웨어 패치만으로는 완전한 수정이 불가능하며, 공격자가 기기를 완전히 장악하고 암호화된 데이터를 탈취할 수 있다. 카스퍼스키는 2025년 3월에 Qualcomm에 해당 취약점을 보고했으며, Qualcomm은 펌웨어 수준의 완화 조치를 배포한 것으로 알려졌다.
시사점
BootROM 수준의 하드웨어 취약점은 소프트웨어 업데이트로 완전히 해결할 수 없어 자동차 부품의 생애주기 전반에 걸친 잔존 리스크가 된다. 국내 OEM과 부품사는 차량용 칩셋 선정 시 하드웨어 보안 아키텍처를 평가하고, 공급업체에 보안 패치 지원 기간과 하드웨어 보안 설계를 요구해야 한다.