뉴스

최신 자동차 사이버보안 뉴스 및 분석

362건

정책동향2026.04.13

버지니아주, 정밀 위치정보 판매 금지 법안(SB 338) 의회 통과

버지니아주 Abigail Spanberger 주지사가 4월 13일 정밀 위치정보 데이터의 판매를 전면 금지하는 SB 338 법안에 서명하여 법률로 확정했다. 오리건, 메릴랜드에 이어 미국 세 번째로 정밀 위치정보 판매를 법적으로 금지한 주가 되었다.

버지니아SB 338위치정보 판매 금지VCDPA+1

사고/사건2026.04.13

Després Mécanique Mobile(프랑스 이동정비 서비스), Qilin 랜섬웨어 피해자 등재

Qilin 랜섬웨어 그룹이 2026-04-13자로 프랑스 소재 이동정비(모바일 메카닉) 서비스 제공업체 'Després Mécanique Mobile'을 피해자 리크사이트에 등재했다. 산업 분류는 "Business Services"로 표기되었으며, 현장 출장형 차량 정비 사업자가 랜섬웨어 타깃으로 공개된 점이 주목된다.

Qilin랜섬웨어이동정비프랑스+2

Dykema 2026 자동차 업계 트렌드 보고서: 랜섬웨어·AI 사이버공격 최대 우려, 커넥티드카 프라이버시 법적 과제 부상

미국 로펌 Dykema의 2026년 자동차 산업 트렌드 보고서에서 랜섬웨어·AI 기반 사이버공격이 최대 우려로 부상했으며, 커넥티드카 데이터 관련 주(州) 프라이버시법이 산업 핵심 법적 과제로 자리잡았다.

Dykema자동차 트렌드랜섬웨어AI 사이버공격+3

사고/사건2026.04.11

테슬라 FSD 지역제한 해제 해킹툴 논란 — 폴란드 개발자 USB 디바이스로 무허가 자율주행 활성화

테슬라가 CAN 버스에 무단 연결하는 약 500유로 상당의 USB형 해킹 장치를 통해 FSD를 비인가 지역에서 활성화한 차량을 원격 탐지하여 기능을 영구 차단하고 있다. 중국에서만 10만 대 이상이 해당 불법 개조를 설치한 것으로 보고되었으며, 유럽, 한국, 터키, 일본 등에서 광범위한 단속이 이루어지고 있다.

테슬라FSD해킹툴Tesla Android+4

사고/사건2026.04.11

[UPDATE] ChargePoint Home Flex EV 충전기, 3개 심각한 원격코드실행 취약점 공개 (ZDI-26-195/196/197 → CVE-2026-4155/4156/4157 NVD 등재, CVSS 7.5)

ChargePoint Home Flex EV 충전기에서 OCPP 버퍼 오버플로우, 명령 주입 등 3개 RCE 취약점 공개. CVSS 7.5.

ChargePointEV충전기취약점ZDI+3

사고/사건2026.04.11

Carwah(사우디 차량 렌탈 플랫폼), 고객 데이터 26,078건 및 운전면허 이미지 유출

사우디아라비아 차량 렌탈 플랫폼 Carwah에서 26,078건의 고객 프로필과 6,824건의 운전면허 이미지가 다크웹에 유출되었다.

CarwaheZhire사우디아라비아차량 렌탈+3

사고/사건2026.04.11

Amtrak(미국 국영 철도), ShinyHunters Salesforce 침해 캠페인 피해 — 940만 건 레코드 탈취 위협

ShinyHunters 해킹 그룹이 미국 국영 여객 철도 Amtrak(National Railroad Passenger Corporation)의 Salesforce 플랫폼에서 약 940만 건의 고객·내부 레코드를 탈취했다고 주장하며, 4월 14일을 데드라인으로 데이터 공개를 위협하고 있다. Amtrak은 ShinyHunters가 2026년 초부터 전개해온 Salesforce Experience Cloud 대규모 표적 캠페인의 최신 피해자로, McGraw Hill 등 다른 기업과 함께 동시에 리크사이트에 등재되었다.

AmtrakShinyHuntersSalesforceExperience Cloud+6

정책동향2026.04.10

네덜란드 RDW, Tesla FSD Supervised 유럽 최초 형식승인 — UN R155·R156 사이버보안 준수 확인

네덜란드 RDW가 Tesla FSD Supervised에 대해 유럽 최초로 형식승인을 발급했다. UN R-171 기반 400개 이상 적합성 요건을 충족했으며, UN R-155(CSMS)·R-156(SUMS) 준수가 확인되었다.

TeslaFSDRDW네덜란드+5

Cooley 법률사무소, OEM 대상 커넥티드카 데이터 프라이버시 컴플라이언스 가이던스 발표

Cooley 법률사무소가 OEM에게 커넥티드카 데이터 수집 시 명확한 사전 고지와 동의 확보를 권고하는 컴플라이언스 가이던스를 발표했다.

Cooley프라이버시컴플라이언스FTC+3

정책동향2026.04.10

중국 전국자동차표준화위원회, 자동차 정보보안 표준 작업조 제19차 회의 개최 (푸저우)

전국자동차표준화기술위원회 산하 지능형네트워크연결차 분기술위원회가 4월 7~10일 푸저우에서 자동차 정보보안 표준 관련 시리즈 회의 및 표준 작업조 제19차 회의를 개최했다.

중국CATARC자동차 정보보안표준 작업조+2

사고/사건2026.04.10

Autogalerie Heister(독일 자동차 딜러십), Qilin 랜섬웨어 피해자 등재

Qilin 랜섬웨어 그룹이 독일 자동차 딜러십 Autogalerie Heister를 공격하여 다크웹 리크사이트에 피해자로 등재했다. 같은 시기 7개 기업을 동시 등재하는 대규모 공격 캠페인의 일환이다.

Qilin랜섬웨어Autogalerie Heister독일+2

Bitsight 2026년 1분기 자동차 산업 랜섬웨어 동향 — 북미 81%·제조 29%·Qilin/Akira/Sinobi Top 3

외부 보안 평가 플랫폼 Bitsight가 2026년 1분기 전역 랜섬웨어 동향 분석을 공개하며, 자동차·운송 산업에 주목했다. 지역별로는 북미 집중도가 81%에 달하고, 업종별로는 제조업이 전체 피해의 29%를 차지해 랜섬웨어 생태계가 북미 제조업 중심으로 재편되고 있음을 보여줬다. Top 3 공격 그룹은 Qilin·Akira·Sinobi로 집계되었다.

Bitsight1분기랜섬웨어Qilin+8

사고/사건2026.04.08

Thai Rung Union Car(태국 자동차 제조사), TheGentlemen 랜섬웨어 피해자 등재

태국 최초의 자국 자동차 제조사 Thai Rung Union Car Public Company Limited가 TheGentlemen 랜섬웨어 그룹의 리크사이트에 피해자로 등재되었다.

Thai Rung Union CarTheGentlemen랜섬웨어태국+2

사고/사건2026.04.08

Mandiant M-Trends 2026 보고서: APT41, 자동차·운송 산업 포함 글로벌 장기 침투 캠페인 공개

Google/Mandiant가 M-Trends 2026 보고서를 발표하여 중국 연계 APT41 그룹이 자동차·운송·물류 산업을 포함한 글로벌 산업에 장기 침투하고 있음을 공개했다. 초기 접근에서 핸드오프까지 22초로 단축되어 공격 속도가 극적으로 빨라졌다.

APT41M-Trends 2026Mandiant국가 배후 위협+3

사고/사건2026.04.07

VicOne, "EV 충전 보안은 이제 인프라 단위 사고를 요구한다" — 전력망·결제·모빌리티 생태계 통합 위협모델링 제시

트렌드마이크로 계열 자동차 사이버보안 전문기업 VicOne이 2026년 4월 7일 공개한 분석 보고서에서, EV 충전 인프라(EVSE)는 단일 충전기·단일 제품 단위의 보안을 넘어 전력망·결제 네트워크·차량 간 통신·클라우드 백엔드까지 포함하는 복합 인프라 단위(infrastructure-level)로 위협 모델링해야 한다고 제안했다. 최근 CISA EV 충전 경보(OCPP WebSocket 인증 부재, 2026.02.26/03.19) 및 ISO 15118 SLAC 취약점 사례를 종합하여, 단일 프로토콜·단일 벤더 접근으로는 공격 표면을 실효적으로 축소할 수 없다는 결론을 제시했다.

VicOneEV 충전인프라 위협모델링OCPP+7

사고/사건2026.04.07

CISA·FBI·NSA 합동 경보: 이란 IRGC 산하 CyberAv3ngers, ICS/PLC 대상 사이버 공격 캠페인 — 교통 인프라 영향 우려

CISA·FBI·NSA·EPA·DOE·미 사이버사령부가 이란 혁명수비대(IRGC) 산하 CyberAv3ngers의 ICS/PLC 대상 공격 캠페인에 대한 합동 경보(AA26-097A)를 발표했다.

CyberAv3ngersIRGCICSPLC+3

정책동향2026.04.07

BizzyCar Q1 2026 리콜 보고서: OTA 리콜 47%, 역대 최고 — 1,210만 대 리콜, 570만 대 OTA 수리 가능

2026년 1분기(Q1) 미국 자동차 리콜이 총 1,210만 대, 103건으로 최근 수 년 내 단일 분기 최다를 기록했다. OTA 소프트웨어 업데이트로 수리 가능한 리콜 차량이 570만 대(47%)에 달해 역대 최고치를 기록했으며, 이는 과거 4년 평균 15%의 3배 이상이다.

NHTSAOTA리콜Ford+5

사고/사건2026.04.06

Douglas Truck Bodies(미국 트럭 차체 제조업체), LockBit5 랜섬웨어 공격

미국 상용 트럭 및 픽업 트럭용 차체·상체 제조 회사 Douglas Truck Bodies가 LockBit5 랜섬웨어 그룹에 의해 공격받아 유출 사이트에 등록되었다.

LockBit5랜섬웨어트럭 제조상용차+1

사고/사건2026.04.04

Advanced Vehicle Assemblies(미국 차량 조립업체), Nightspire 랜섬웨어 공격 — 약 350GB 데이터 탈취

미국 차량 조립 전문 제조업체 Advanced Vehicle Assemblies가 Nightspire 랜섬웨어 그룹에 의해 공격받아 약 350GB의 민감 데이터가 탈취되었다.

Nightspire랜섬웨어제조업IP 탈취+1

정책동향2026.04.03

ICR, KOLAS 평가 통해 사이버보안 분야 시험 인정범위 확대 — ISO/SAE 21434(자동차), IEC 62443, EN 18031 포함

국제공인시험기관 ICR이 한국인정기구(KOLAS) 평가를 통해 사이버보안 분야 시험 인정범위를 대폭 확대했다. 자동차 분야 ISO/SAE 21434, 산업제어시스템 IEC 62443 시리즈, 무선기기 EN 18031 시리즈·EN 303 645, 의료기기 IEC 60601-4-5 등이 새로 포함되었으며, EU 사이버복원력법(CRA) 2027년 12월 의무화를 앞두고 국내 시험·인증 인프라의 중요한 확충이다.

ICRKOLASISO/SAE 21434IEC 62443+6