뉴스

최신 자동차 사이버보안 뉴스 및 분석

"자동차 제조사" · 18건

정책동향2026.04.22

중국 자동차 제조사, 글로벌 사이버보안 규제 강화로 해외 진출 차질 — UN R155·EU CRA 대응 과제 부각

중국 자동차 제조사들이 해외 시장 진출을 적극 추진하고 있으나, UN R155, EU CRA 등 점점 강화되는 글로벌 사이버보안 규제에 대한 대응 미비로 인해 진출이 지연되고 있다는 분석이 보도되었다.

TheGentlemen 랜섬웨어 그룹, 모빌리티 밸류체인 집중 공격 패턴 — 자동차 제조·항만·물류 4곳 연쇄 피해

TheGentlemen 랜섬웨어 그룹이 4월 한 달간 자동차 제조사(Thai Rung)에서 항만·물류(BMTP, Jumbo Transport, CH Express)까지 모빌리티 밸류체인 전반을 표적으로 삼아 4곳을 연쇄 공격했다.

TheGentlemen랜섬웨어모빌리티 밸류체인공급망+3

정책동향2026.04.16

JAMA/JAPIA, 자동차산업 사이버보안 가이드라인 '공장영역판 v1.0' 공개 — OT 환경 특화 자가평가 기준 최초 수립

일본자동차공업회(JAMA)와 일본자동차부품공업회(JAPIA)가 공장 OT 환경에 특화된 사이버보안 자가평가 가이드라인 공장영역판 v1.0을 공개했다.

JAMAJAPIAOT 보안공장 사이버보안+4

사고/사건2026.04.16

Infosecurity Magazine: 자동차 산업 랜섬웨어 공격 1년 만에 2배 증가 — JLR 주당 £1억 800만 손실, 영국 경제 £19억 충격

Halcyon 보고서를 인용한 Infosecurity Magazine의 심층 분석에 따르면, 자동차 제조사 대상 랜섬웨어 공격이 전년 대비 2배 이상 증가하여 전체의 44%를 차지했으며, JLR 사건은 주당 £1억 800만 손실과 영국 경제 £19억 충격을 초래했다.

랜섬웨어JLRHalcyonInfosecurity Magazine+2

사고/사건2026.04.08

Thai Rung Union Car(태국 자동차 제조사), TheGentlemen 랜섬웨어 피해자 등재

태국 최초의 자국 자동차 제조사 Thai Rung Union Car Public Company Limited가 TheGentlemen 랜섬웨어 그룹의 리크사이트에 피해자로 등재되었다.

Thai Rung Union CarTheGentlemen랜섬웨어태국+2

정책동향2026.04

[UPDATE] Dragos 2026 OT/ICS 보고서 — AZURITE·PYROXENE 위협 그룹, 자동차 제조업 직접 표적

Dragos가 자동차·운송 부문을 직접 표적으로 하는 OT 위협 그룹 AZURITE와 PYROXENE을 추적하고 있다고 보고했다. OT 랜섬웨어 49% 증가.

DragosAZURITEPYROXENEOT+5

볼보, S&P 글로벌 모빌리티 SDV 역량 평가에서 전 세계 유일 레벨 5 최고 등급 획득

S&P 글로벌 모빌리티가 실시한 자동차 제조사 소프트웨어 정의 차량(SDV) 역량 평가에서 볼보가 전 세계 완성차 제조사 중 유일하게 최고 등급인 레벨 5 SDV를 획득했다. OTA 업데이트를 통한 차량 수명주기 전반의 기능 개선 역량이 핵심 평가 기준이었다.

볼보SDVS&P 글로벌 모빌리티OTA+2

사고/사건2026.03.24

주요 자동차 제조사 딜러십 시스템 결함 — 1,000개 이상 미국 딜러십에서 차량 해킹·개인정보 탈취 가능

보안 연구원이 주요 자동차 제조사의 딜러십 관리 플랫폼에서 심각한 보안 결함을 발견했다. 미국 내 1,000개 이상 딜러십에서 사용되는 이 시스템의 취약점을 통해 차량 원격 제어와 고객 개인정보 탈취가 가능했다.

딜러십API 취약점차량 해킹개인정보+1

사고/사건2026.03.24

$100B+ 대형 자동차 제조사 전자상거래 사이트, WebRTC 스키머로 고객 결제정보 탈취

시가총액 1,000억 달러 이상 대형 자동차 제조사의 전자상거래 사이트에서 WebRTC 기반 결제정보 스키머가 발견되었다. Magento/Adobe Commerce의 PolyShell 취약점(APSB25-94)을 통해 침투한 공격자가 CSP(콘텐츠 보안 정책)를 우회하는 신종 스키밍 기법으로 고객 결제 데이터를 탈취했다.

WebRTC 스키머PolyShellMagento전자상거래 해킹+2

닛산 북미법인(NNA), 2023년 데이터 침해 사건 150만 달러 클래스액션 합의 도달

닛산 북미법인이 2023년 11월 데이터 침해 사건에 대해 150만 달러 규모의 클래스액션 합의에 도달했다. 53,000명 이상의 현·전직 직원의 개인정보가 유출되었으며, 피해자는 최대 4,500달러까지 보상받을 수 있다.

닛산NissanNNA데이터 침해+6

사고/사건2026.03.10

Bitsight, 자동차 산업 표적 5대 멀웨어 패밀리 위협 분석 보고서 발표

Bitsight이 자동차 산업을 반복적으로 표적으로 삼는 5대 멀웨어 패밀리를 식별한 위협 분석 보고서를 발표했다. Philadelphia, Conti, Rogue, BiBi, Briar 등 5개 멀웨어가 자동차 제조사, 부품 공급업체, 커넥티드 차량 생태계 전반을 위협하고 있다.

멀웨어랜섬웨어Bitsight공급망+3

전 세계 자동차 제조사 95%, 사이버보안을 '최우선 과제'로 선정 — CMU Safety21 분석

글로벌 자동차 제조사를 대상으로 한 설문조사에서 응답자의 95%가 사이버보안을 생산 전반에 걸친 '최우선 과제(significant focus)'로 꼽았다. 북미, 유럽, 아시아태평양 전 지역에서 동일한 우려가 확인되었다.

95%ABB RoboticsOEM 설문조사SDV+4

정책동향2026.02.26

미국 의회, Auto Data Privacy and Autonomy Act 재발의 — 커넥티드카 데이터 수집·판매 포괄 규제 추진

미국 하원 Eric Burlison 의원(R-MO)과 상원 Mike Lee 의원(R-UT)이 Auto Data Privacy and Autonomy Act를 119대 의회에 초당파적으로 재발의했다. 이 법안은 자동차 제조사의 운전자 데이터 무단 수집·판매를 포괄적으로 규제한다.

Auto Data Privacy ActBurlisonMike Lee옵트인+3

커넥티드카 운전 데이터 수익화 논란 — 차량 1대당 연간 $100 데이터 판매

호주 OAIC의 커넥티드카 프라이버시 조사를 계기로, 전 세계적으로 자동차 제조사의 운전 데이터 수집·판매 관행에 대한 논란이 확산되고 있다. 신차의 90%가 운전 데이터를 수집하며, 제조사는 차량 1대당 연간 최대 100달러를 데이터 판매로 수익화하고 있다.

데이터수익화OAIC프라이버시커넥티드카+2

CNN 심층보도: 자동차 제조사 90%, 운전자 동의 없이 운전 습관 데이터 보험사에 판매

CNN이 신차의 약 90%가 운전 행동 데이터를 수집하고, 다수의 제조사가 이를 보험사 등 제3자에게 판매하고 있다는 심층 보도를 내놨다. 차량 1대당 연간 최대 100달러의 데이터 수익이 발생하며, 이 데이터가 보험료 인상에 직접 활용되고 있다.

커넥티드카데이터수익화운전습관데이터보험사+2

호주 OAIC, 아시아 기반 자동차 제조사 2곳 대상 커넥티드카 프라이버시 공식 조사 착수

호주 개인정보위원회(OAIC) Carly Kind 위원이 상원 청문회에서 아시아 기반 자동차 제조사 2곳에 대한 공식 프라이버시 조사를 진행 중이라고 밝혔으며, 커넥티드카의 과도한 개인정보 수집과 제3자 판매 관행이 조사 대상이다.

OAIC호주프라이버시커넥티드카+2

사고/사건2026-04-10

Hofland(네덜란드 운송·물류 기업), Qilin 랜섬웨어 공격 — 2026-04-10 피해자 리크사이트 등재

Qilin 랜섬웨어 그룹이 2026-04-10 네덜란드 운송·물류 업체 Hofland를 리크사이트에 공개했다. Qilin은 2026년 3월 역대 최다인 131건의 피해자를 기록한 조직적 위협 행위자로, 운송·모빌리티 기업 집중 표적화 패턴을 이어가고 있다.

Qilin랜섬웨어운송/물류네덜란드+3

MERICS 분석: 유럽의 차량 데이터 규제 공백 — 중국 자동차 제조사에 유리한 비대칭 구조

MERICS 연구원 Wendy Chang은 EU의 차량 데이터 규제가 중국에 비해 현저히 느슨하여 중국 자동차 제조사에 경쟁 우위를 제공하고 있다고 분석했다. EU 데이터법이 커넥티드카를 핵심 범주로 지정했지만 블록 차원의 포괄적 규제가 부재하다.

MERICSEU중국데이터 규제+3