Vehicle Cybersecurity News

뉴스

최신 자동차 사이버보안 뉴스 및 분석

362

정책동향2026.04.03

ICR, KOLAS 평가 통해 사이버보안 분야 시험 인정범위 확대 — ISO/SAE 21434(자동차), IEC 62443, EN 18031 포함

국제공인시험기관 ICR이 한국인정기구(KOLAS) 평가를 통해 사이버보안 분야 시험 인정범위를 대폭 확대했다. 자동차 분야 ISO/SAE 21434, 산업제어시스템 IEC 62443 시리즈, 무선기기 EN 18031 시리즈·EN 303 645, 의료기기 IEC 60601-4-5 등이 새로 포함되었으며, EU 사이버복원력법(CRA) 2027년 12월 의무화를 앞두고 국내 시험·인증 인프라의 중요한 확충이다.

ICRKOLASISO/SAE 21434IEC 62443+6
사고/사건2026.04.02

GM, Chevrolet Corvette 약 33,000대 OTA 소프트웨어 리콜 — 공급업체 업데이트 부작용

GM이 2025~2026년형 Corvette 32,988대를 리콜했다. Valeo가 2024년 10월 배포한 TPMS 소프트웨어 업데이트가 후방 방향지시등 고장 감지 기능을 의도치 않게 비활성화한 것이 원인이다.

GMCorvetteOTAValeo+3
사고/사건2026.04.02

Katcon Global(멕시코 자동차 배기 시스템 공급업체), Crypto24 랜섬웨어 공격

멕시코 소재 자동차 배기 시스템 전문 공급업체 Katcon Global이 Crypto24 랜섬웨어 그룹의 공격 대상이 되었으며, 데이터 유출 협박이 진행 중이다.

Katcon GlobalCrypto24랜섬웨어자동차 공급망+2
관련이슈2026.04.02

BlackFog "The State of Ransomware March 2026" 월간 보고서 공개

사이버보안 기업 BlackFog가 2026년 4월 2일 "The State of Ransomware March 2026" 월간 리포트를 공개했다. 3월 한 달간의 공개·비공개 랜섬웨어 공격 통계를 집계한 본 보고서는 자동차·운송 산업이 제조업 중 가장 집중적으로 타격받는 업종으로 지속 확인된다는 트렌드를 정리했으며, Qilin·LockBit·Everest·Nightspire 등 자동차 산업을 표적으로 한 주요 그룹들의 3월 활동 지표를 제시했다.

BlackFogState of Ransomware2026년 3월월간 보고서+7
관련이슈2026.04.02

Qilin 랜섬웨어 그룹, 2026년 3월 역대 최다 131명 피해자 기록 — 자동차 제조업 포함 주요 표적

Qilin 랜섬웨어 그룹이 2026년 3월 역대 최고 131명의 피해자를 기록하며, 제조업(자동차 포함)이 76건으로 가장 많이 표적이 된 분야로 나타났다.

Qilin랜섬웨어제조업자동차 공급망+2
사고/사건2026.04.02

GlassWorm 공급망 웜 공격 — 자동차 소프트웨어 개발 파이프라인 직접 위협

GlassWorm이라 명명된 정교한 소프트웨어 공급망 웜이 자동차 소프트웨어 개발 환경을 직접 위협하고 있다. VS Code 확장 프로그램과 npm 패키지를 통해 전파되며, 솔라나 블록체인과 Google Calendar를 C2로 활용한다.

공급망 공격GlassWormSDVCI/CD 보안+3
사고/사건2026.04.01

[UPDATE] Everest 랜섬웨어, Nissan 910GB 데이터 유출 실행 — 1,710만 VIN·265만 전화번호 포함, MFA 부재 지적

Everest 랜섬웨어가 닛산 딜러 네트워크 서드파티 벤더 경유로 910GB 데이터 탈취 주장. Nissan은 서드파티 벤더 침해를 공식 확인하되 자체 시스템 침해는 부인. 침해 원인은 미교체 공개 자격증명과 MFA 미적용.

NissanEverest랜섬웨어데이터유출+4
관련이슈2026.04.01

Upstream × AWS, "SDV 시대의 지능형 품질" 공동 블로그 공개 — 차량 데이터 클라우드 기반 CSMS/SUMS 운영 모델 제시

자동차 사이버보안·데이터 분석 플랫폼 기업 Upstream Security와 아마존웹서비스(AWS)가 공동 기술 블로그 "Driving Intelligent Quality in the SDV Era"를 2026년 4월 1일 공개하며, SDV(소프트웨어 정의 차량) 시대의 품질·보안·OTA 운영을 클라우드 기반 차량 데이터 분석으로 통합 관리하는 참조 아키텍처를 제시했다. 차량에서 발생하는 로그·텔레메트리를 AWS IoT·Security Data Lake로 집약하고, 이를 CSMS(ISO/SAE 21434) 모니터링과 SUMS(ISO 24089) OTA 영향분석에 활용하는 구조다.

UpstreamAWSSDVIntelligent Quality+7
정책동향2026.04.01

EU 집행위원회, 차량 OBD 데이터 접근·사이버보안 조화 위임규정 공개

EU 집행위원회가 2026년 3월 23일 채택, 4월 1일 EU 이사회에 전달한 위임규정으로, 차량 OBD 정보 접근 요건과 UN R155 사이버보안 요건 간의 충돌을 해소하는 내용을 담고 있다.

EU 위임규정OBD 데이터 접근UN R155형식승인+2
정책동향2026.04 (복수 분석 기사 게재)

EU Data Act 차량 데이터 가이던스 — 2026년 9월 '설계 의무'(Article 3) 시행까지 5개월, OEM 데이터 공유 대비 본격화

EU 집행위원회가 2025년 9월 발표한 차량 데이터 가이던스(Data Act Chapter II 이행 지침)의 핵심 시한인 Article 3(설계 의무)이 2026년 9월 12일 시행을 앞두고, 자동차 업계의 대비가 본격화되고 있다.

EU Data Act차량 데이터설계 의무Article 3+5
관련이슈2026.04 (Q1 2026 보고서 발간)

VicOne Q1 2026 상황인식 보고서 — 자동차 생태계 사이버 사건 405건, EV 충전 사고 3배 급증

VicOne이 2026년 1분기 자동차·운송·물류 전반에서 405건의 사이버보안 사건을 기록. EV 충전 인프라 사건이 전분기 대비 3배 이상 급증(7건→26건). The Gentlemen(19건), Akira(18건) 등 신흥 그룹 부상.

VicOneQ1 2026상황인식 보고서405건+3
정책동향2026.04 (4월 게재)

Bird & Bird, "중국산 배제(China-free) 자동차는 신화" — EU 법이 실제로 요구하는 것에 대한 법률 분석

국제 로펌 Bird & Bird가 EU 법상 '중국산 자동차 부품·기술 배제(China-free)'가 법적 요건이 아닌 신화(myth)라는 분석 기사를 게재했다. EU에는 자동차 분야에서 중국산 부품을 명시적으로 금지하는 법규가 존재하지 않으며, 현재의 규제 프레임워크는 위험 기반(risk-based) 보안 접근법이라고 설명했다.

Bird & BirdEUChina-freeUN R155+4
관련이슈2026.04

RSAC 2026, 자동차 해킹 10주년 회고 특별 세션 — "지프 체로키 해킹 이후 위협은 기하급수적 증가"

RSAC 2026에서 2015년 지프 체로키 해킹 10주년을 기념하는 특별 세션이 열려 자동차 사이버보안의 10년간 변화와 현재 위협 수준을 점검했다.

RSAC지프 해킹Car Hacking Village10주년+3
관련이슈2026.04

S&P Global, "자동차 산업 사이버 위험이 신용등급 위험으로 직결" 경고 보고서 발표

S&P Global Ratings가 자동차 산업의 사이버 위험이 생산 중단, 재정 피해, 규제 벌금을 통해 신용등급 하향 위험으로 직결된다는 분석 보고서를 발표했다.

S&P Global신용위험사이버 위험JLR+4
정책동향2026.04

[UPDATE] EU CRA 초안 가이던스 의견수렴 4/13 마감 — 자동차 적용범위 제외 기준 구체화

유럽집행위가 3월 3일 발행한 CRA 적용 지침 초안에 대한 의견수렴이 4월 13일 마감되었다. 자동차 분야 적용범위 제외 기준이 핵심 쟁점이다.

EU CRA적용범위sectoral exclusion의견수렴+1
관련이슈2026.04

[UPDATE] 현대차그룹 '그룹사이버위협대응팀' 신설 — 분산형에서 통합형 보안 거버넌스로 전환

현대차그룹이 '그룹사이버위협대응팀'을 신설하여 현대차·기아의 분산 보안 조직을 통합했다.

현대차그룹사이버위협대응팀통합보안SDV+1
관련이슈2026.04

호주 OAIC, 커넥티드카 제조사 2곳에 대한 프라이버시 공식 조사 착수 — 차량 데이터 과잉 수집 우려

호주 개인정보보호위원회(OAIC)가 아시아 기반 스마트카 제조사 2곳에 대해 과도한 개인정보 수집 여부를 공식 조사 중이며, 추가 2곳도 예비 조사 진행 중이다.

OAIC호주프라이버시커넥티드카+4
정책동향2026.04

EU NIS2·PLD·CRA, 자동차 산업에 다층적 사이버보안 규제 부담 가중 — Reed Smith 종합 분석

Reed Smith가 EU의 CRA·NIS2·PLD(제조물책임지침) 3대 규제가 자동차 산업에 미치는 복합적 영향을 종합 분석한 보고서를 발표했다.

EU CRANIS2PLD제조물책임+4
관련이슈2026.04

Deloitte India: "모든 새로운 커넥티드 기능이 사이버 공격 표면을 확대한다"

Deloitte India의 사이버 파트너가 차량의 모든 새로운 커넥티드 기능이 잠재적 사이버 진입점을 증가시킨다고 경고했다.

Deloitte커넥티드 기능공격 표면Security by Design+2
관련이슈2026.04

Progressive·Toyota 상대 텔레매틱스 데이터 무단 공유 집단소송 — 데이터 브로커 관행 정조준

텍사스에서 Progressive 보험사와 Toyota를 상대로 고객 운전 데이터를 동의 없이 공유한 혐의로 집단소송이 제기되었다.

ProgressiveToyota텔레매틱스데이터 브로커+4