사고/사건2026.02.27OCPP WebSocket 중요 취약점(CVE-2026-20781) 공개OCPP WebSocket 엔드포인트에서 CVSS 9.4점의 치명적 인증 우회 취약점이 발견되어, 충전소 가장 공격이 가능한 것으로 확인되었다.OCPPEV충전CVE-2026-20781취약점+1
사고/사건2026.02.26CISA, EV 충전 플랫폼 4개 제품에 심각한 보안 취약점 연쇄 경보 발령CISA가 ePower, ev.energy, Mobiliti e-Mobi, EV2GO 등 4개 EV 충전 관리 플랫폼에 대해 CVSS 9.4 등급의 치명적 인증 취약점을 포함한 다수의 보안 경보를 연쇄 발령했다. 모든 제품에서 OCPP WebSocket 엔드포인트의 인증 부재라는 동일한 구조적 취약점이 발견되었다.CISAEV 충전 취약점OCPPWebSocket+3
사고/사건2026.02.19노스이스턴대학교 연구팀, Tesla Model 3·Cybertruck LTE 연결성 취약점 발견 — IMSI 캐처로 차량 추적 가능노스이스턴대학교 쿠리(Khoury) 컴퓨터과학대학 연구팀이 Tesla Model 3와 Cybertruck의 LTE 연결 스택에서 다수의 보안 취약점을 발견했다. IMSI 캐처(가짜 기지국)를 이용해 차량 위치를 추적하고, 데이터 트래픽을 가로채며, 차량의 인터넷 연결을 차단할 수 있음을 입증했다.5G 전환DoS공격IMSI 캐처LTE 취약점+10
관련이슈2026.02.13중국산 커넥티드카 보안 우려: 전 세계로 번지는 '스파이카' 논란미국의 BIS 규칙, 영국·폴란드·이스라엘의 군사 제한 조치에 이어 중국산 커넥티드카에 대한 전 세계적인 경계 심리가 고조되고 있다. 커넥티드카의 카메라·마이크·GPS·텔레매틱스가 민감 정보 수집 수단으로 활용될 수 있다는 우려가 서방 국가를 중심으로 확산되고 있다.스파이카중국커넥티드카데이터주권지정학+1
사고/사건2026.02.01EV 충전 관리 시스템 96개 제로데이 취약점 발견16개 실제 운영 중인 EV 충전 관리 시스템에서 각 6개씩 총 96개의 제로데이 취약점이 발견되었다.EV충전제로데이CSMS인프라보안+1
관련이슈2026.01.30Subaru, 일본 IssueHunt 플랫폼과 제휴하여 자동차 취약점 공개 프로그램(VDP) 도입Subaru가 일본어 지원 버그바운티 플랫폼 IssueHunt와 제휴하여 자동차 취약점 공개 프로그램(VDP)을 도입했다. 글로벌 OEM 40곳 분석 결과, 59%만이 VDP를 운영하고 있어 업계 전반의 취약점 공개 체계 미흡이 드러났다.VDP버그바운티취약점 공개Subaru+3
관련이슈2026.01.30Stellantis, Bugcrowd 버그바운티 프로그램 공식 폐쇄 — 취약점 보고 채널 축소 우려Stellantis가 2016년부터 운영해온 Bugcrowd 기반 버그바운티 프로그램을 2025년 12월 10일 공식 폐쇄했다. 보안 연구자들의 차량 취약점 신고 경로가 사실상 차단된 상태이며, 대체 프로그램에 대한 공식 발표도 없는 상황이다.StellantisBugcrowdVDP버그바운티+1
관련이슈2026.01.30HAKSTUFF, 글로벌 OEM 40개사 취약점 공개 프로그램(VDP/VRP) 현황 분석 — 41% OEM이 보고 체계 부재자동차 보안 연구 매체 HAKSTUFF가 글로벌 40개 OEM의 취약점 공개 프로그램(VDP)과 취약점 보상 프로그램(VRP/버그바운티) 운영 현황을 전수 조사한 분석 보고서를 발표했다. 조사 결과, 41%의 OEM이 취약점 보고 체계조차 갖추지 않았으며, 중국 외 OEM 중 버그 바운티를 운영하는 곳은 BMW·Tesla·Rivian 3개사에 불과했다.BMWCVECoordinated DisclosureHAKSTUFF+9
관련이슈2026.01.26SK쉴더스 EQST, Pwn2Own Automotive 2026에서 EV 충전기 보안 취약점 제보SK쉴더스의 화이트해커 그룹 EQST가 Pwn2Own Automotive 2026에서 그리즐이(Grizzl-E) EV 충전기 '스마트 40A' 모델의 보안 취약점을 발견하여 제보했으며, 충전기 마비·결제 조작·배터리 과부하 위험을 입증했다.SK쉴더스EQSTPwn2OwnEV충전기+2
사고/사건2026.01.26페토웍스, Pwn2Own Automotive 2026 종합 4위 달성 — EV 충전기·IVI 제로데이 시연한국 보안기업 페토웍스가 Pwn2Own Automotive 2026에서 종합 4위를 기록하며, EV 충전 컨트롤러와 IVI 시스템에서 제로데이 취약점을 발견·시연했다.Pwn2Own AutomotiveEV충전기IVI제로데이+1
사고/사건2026.01.25[Pwn2Own Automotive 2026: 76개 제로데이 발견, 총 $1,047,000 지급]일본 도쿄 오토모티브 월드에서 개최된 Pwn2Own Automotive 2026에서 73회 시도 가운데 76개 미공개(제로데이) 취약점이 발견되며 역대 최다 기록을 세웠다. 3일간 총 보상금은 104만 7,000달러에 달했으며, Master of Pwn은 팀 Fuzzware.io(21만 5,000달러)가 차지했다.Pwn2Own제로데이EV 충전기IVI+6
사고/사건2026.01.22700Credit 자동차 딜러 신용조회 플랫폼 대규모 데이터 침해 — 580만 명 SSN 유출북미 최대 자동차 딜러 신용조회 서비스 700Credit이 대규모 데이터 침해를 공개했다. 580만 명의 이름, 주소, 생년월일, 사회보장번호(SSN)가 유출되었으며, 약 18,000개 딜러십이 영향을 받았다.데이터 침해API 보안딜러십SSN 유출+1
사고/사건2026.01.15奇安信(Qi'anxin), 중국 30개 자동차 OEM 클라우드 플랫폼 93.3% 보안 취약점 발견 보고서 발표중국 보안기업 奇安信이 30개 주요 자동차 OEM 클라우드 플랫폼을 분석한 결과, 93.3%에서 보안 취약점이 발견되었으며 76.7%가 초고위험·고위험 취약점을 보유하고 있는 것으로 나타났다.奇安信클라우드 취약점중국 OEM텔레매틱스+2
사고/사건2026-05-08VicOne: Copy Fail(CVE-2026-31431) & DirtyFrag — Linux 커널 결함이 자동차 사이버보안에 미치는 위험 분석VicOne CyberThreat Research Lab이 Linux 커널의 Copy Fail(CVE-2026-31431, CVSS 7.8) 및 DirtyFrag 취약점이 차량 임베디드 Linux 환경(IVI, ADAS, 게이트웨이, TCU)에 미치는 위험을 분석하고, MITRE ATT&CK 및 Automotive Threat Matrix에 매핑한 기술 보고서를 발표했다.CVE-2026-31431Copy FailDirtyFragLinux 커널+4
사고/사건2026-04-10Turbo International(미국 터보차저 애프터마켓 부품사), Akira 랜섬웨어 리크사이트 등재 — 자동차 부품 공급망 확대 피해Akira 랜섬웨어 그룹이 2026-04-10 리크사이트에 1989년 설립 미국 Turbo International을 피해자로 등재했다. 피해자는 애프터마켓 터보차저·CHRA·서비스 키트·터보차저 재제조 부품 공급사로, 다수 정비 네트워크와 OEM 애프터마켓 공급망에 연쇄 영향이 우려된다. 공격자는 데이터 유출을 주장하는 더블 익스토션 패턴을 보인다.Akira랜섬웨어터보차저자동차 부품+3
정책동향2026-04-01Auto-ISAC 4월 커뮤니티 콜: "AI 시대의 자동차 사이버보안 각성" — Upstream, 위협 동향 분석 발표Auto-ISAC가 4월 커뮤니티 콜을 개최하여 Pwn2Own Automotive 2026 대회 결과를 공유했다. 이번 대회에서 발견된 차량 관련 제로데이 취약점과 EV 충전 인프라 취약점에 대한 상세 분석이 이루어졌으며, OEM 및 Tier1 업체들의 패치 대응 현황도 논의되었다.Auto-ISACPwn2Own Automotive제로데이커뮤니티 콜+1
사고/사건2025.12.17VicOne 연구팀, 애프터마켓 차량 디바이스 제로데이 5건 발견 — 85,000대 이상 위험VicOne CyberThreat Research Lab이 CarlinKit CPC200-CCPA(무선 CarPlay/Android Auto 동글)과 70mai A510(스마트 대시캠) 두 제품에서 5건의 제로데이 취약점(CVE-2025-2762~2766)을 발견했다. 전 세계 약 85,000대 이상의 디바이스가 영향권에 있다.제로데이애프터마켓CarlinKit70mai+2
사고/사건2025.12.05스페인 긴급 V16 비콘(Help Flash IoT) 심각한 보안 취약점 발견스페인에서 2026년 1월부터 삼각대를 대체하여 의무화되는 IoT 긴급 비콘(Help Flash IoT V16)에서 암호화 미적용, 인증 없는 OTA 업데이트 등 심각한 보안 결함이 발견되었다.V16비콘IoT취약점OTA스페인+2
사고/사건2025.11.20Kaspersky: 중국산 차량 헤드유닛 모뎀 원격 해킹 가능 취약점 발견Kaspersky 연구팀이 중국 차량의 헤드유닛에 탑재된 Unisoc UIS7862A 모뎀에서 3G RLC 프로토콜의 스택 버퍼 오버플로우 취약점(CVE-2024-39431, CVE-2024-39432)을 발견했다. 기지국을 통한 원격 신호 조작만으로 차량 대시보드 전체를 장악할 수 있다.Unisoc차량모뎀헤드유닛원격해킹+1
사고/사건2025.10.07Clop, Oracle EBS 제로데이 공격 — Mazda 등 자동차 공급망 100여 개 기업 침해Clop 랜섬웨어 그룹이 Oracle E-Business Suite(EBS)의 2건의 제로데이 취약점(CVSS 9.8, 7.5)을 악용하여 Mazda를 포함한 100여 개 기업을 침해하고 데이터를 탈취했다.ClopOracle제로데이Mazda+2