뉴스

최신 자동차 사이버보안 뉴스 및 분석

"CVE" · 15건

사고/사건2026.05.05

CVE-2026-24082: Qualcomm Snapdragon Auto GPU Use-After-Free 취약점 (CVSS 7.8)

Qualcomm이 2026년 5월 보안 공지를 통해 Snapdragon Auto 플랫폼의 GPU 컴포넌트에서 고위험(High) 등급의 Use-After-Free 취약점(CVE-2026-24082, CVSS 7.8)을 공개했다.

CVE-2026-24082QualcommSnapdragon AutoGPU+3

사고/사건2026.05.01

OVMS3 CVSS 10.0 버퍼 오버플로우 취약점(CVE-2026-37541) — 원격 코드 실행 가능

오픈소스 차량 모니터링 시스템 OVMS3 버전 3.3.005에서 CVSS 10.0 만점의 치명적 버퍼 오버플로우 취약점이 발견되어, 원격 코드 실행(RCE) 및 서비스 거부(DoS) 공격이 가능한 것으로 확인되었다.

OVMS3CVE-2026-37541CVSS 10.0버퍼 오버플로우+5

사고/사건2026.05 (CVE 공개)

CVE-2026-42485 / CVE-2026-37536: 차량 UDS 진단 라이브러리(uds-c) 연쇄 버퍼 오버플로우 — ARM ECU 원격코드실행 위험

오픈소스 UDS(Unified Diagnostic Services) C 라이브러리에서 send_diagnostic_request 함수의 스택 버퍼 오버플로우 취약점 2건이 연이어 공개. 32비트 ARM 기반 차량 ECU에서 원격코드실행 가능.

CVE-2026-42485CVE-2026-37536uds-cUDS+4

사고/사건2026.04.23

카스퍼스키, Black Hat Asia 2026에서 Qualcomm Snapdragon 칩 BootROM 취약점 공개 (CVE-2026-25262)

카스퍼스키 ICS CERT가 Qualcomm Snapdragon 칩셋의 BootROM 수준 하드웨어 취약점을 Black Hat Asia 2026에서 발표했다. 자동차 부품에도 사용되는 칩셋이 영향을 받는다.

QualcommSnapdragonBootROMCVE-2026-25262+2

사고/사건2026.04.23

CISA ICS 경보: Yadea T5 전기자전거 키 폽 신호 위조 취약점 (CVE-2025-70994)

CISA가 Yadea T5 전기자전거의 키 폽 인증 메커니즘 취약점에 대한 ICS 권고문(ICSA-26-113-01)을 발표했다. 공격자가 정당한 키 폽 신호를 가로챈 후 리플레이 공격으로 차량을 무단 잠금 해제·시동할 수 있다.

CISAYadea전기자전거CVE-2025-70994+3

사고/사건2026.04.21

CISA ICS 경보: Hardy Barth Salia EV 충전 컨트롤러 원격코드실행 취약점 (ICSA-26-111-05)

미국 CISA가 Hardy Barth(eCharge) Salia EV 충전 컨트롤러의 보안 취약점 2건에 대한 ICS 경보를 발령했다. CVE-2025-5873(버퍼 오버플로우/RCE)과 CVE-2025-10371(무제한 파일 업로드)로, 원격에서 장치를 크래시시키거나 코드를 실행할 수 있다.

CISAICSHardy BartheCharge+5

사고/사건2026.04.11

[UPDATE] ChargePoint Home Flex EV 충전기, 3개 심각한 원격코드실행 취약점 공개 (ZDI-26-195/196/197 → CVE-2026-4155/4156/4157 NVD 등재, CVSS 7.5)

ChargePoint Home Flex EV 충전기에서 OCPP 버퍼 오버플로우, 명령 주입 등 3개 RCE 취약점 공개. CVSS 7.5.

ChargePointEV충전기취약점ZDI+3

사고/사건2026.03.17

[UPDATE] Zero Motorcycles 전기 오토바이 취약점 — CISA ICS 경보(CVE-2026-1354) 추가 발령

Zero Motorcycles 전기 오토바이 FOTA 서버에서 펌웨어 인증 우회 취약점 발견. 악성 펌웨어 주입 가능했으나 패치 완료.

Zero Motorcycles전기오토바이펌웨어FOTA+3

사고/사건2026.03.06

[EV 충전기 OCPP 치명적 취약점 발견 (CVE-2026-26288, CVSS 9.4)]

Everon OCPP 백엔드에서 WebSocket 인증 우회 취약점(CVE-2026-26288, CVSS 9.4)이 발견되어 공격자가 충전소를 사칭하고 OCPP 명령을 조작할 수 있는 것으로 밝혀졌다.

OCPPEV 충전기CVE-2026-26288WebSocket+1

사고/사건2026.03.03

Qualcomm 칩셋 제로데이 CVE-2026-21385 실제 악용 — 자동차 시스템 포함 영향

Google이 2026년 3월 Android 보안 업데이트에서 Qualcomm 그래픽 컴포넌트의 버퍼 오버리드 취약점(CVE-2026-21385, CVSS 7.8)을 패치했으며, 이 취약점이 제한적 표적 공격에 실제 악용되고 있음을 확인했다. Qualcomm Snapdragon SoC 기반의 스마트폰, IoT, 자동차 시스템이 모두 영향권에 있다.

Android AutomotiveCISA KEVCVE-2026-21385Qualcomm+5

사고/사건2026.03 (Qualcomm Security Bulletin), 2026.05 추가 분석

CVE-2026-25254: Qualcomm Snapdragon Auto 5G 모뎀 인증우회 취약점 — CVSS 9.8

Qualcomm Software Center의 SocketIO 인터페이스를 통한 비인증 원격코드실행 취약점. Snapdragon Auto 5G 모뎀 포함 다수 Qualcomm 제품 영향.

CVE-2026-25254QualcommSnapdragon Auto5G 모뎀+3

사고/사건2026.02.27

OCPP WebSocket 중요 취약점(CVE-2026-20781) 공개

OCPP WebSocket 엔드포인트에서 CVSS 9.4점의 치명적 인증 우회 취약점이 발견되어, 충전소 가장 공격이 가능한 것으로 확인되었다.

OCPPEV충전CVE-2026-20781취약점+1

사고/사건2026-05-08

VicOne: Copy Fail(CVE-2026-31431) & DirtyFrag — Linux 커널 결함이 자동차 사이버보안에 미치는 위험 분석

VicOne CyberThreat Research Lab이 Linux 커널의 Copy Fail(CVE-2026-31431, CVSS 7.8) 및 DirtyFrag 취약점이 차량 임베디드 Linux 환경(IVI, ADAS, 게이트웨이, TCU)에 미치는 위험을 분석하고, MITRE ATT&CK 및 Automotive Threat Matrix에 매핑한 기술 보고서를 발표했다.

CVE-2026-31431Copy FailDirtyFragLinux 커널+4

사고/사건2025.12.17

VicOne 연구팀, 애프터마켓 차량 디바이스 제로데이 5건 발견 — 85,000대 이상 위험

VicOne CyberThreat Research Lab이 CarlinKit CPC200-CCPA(무선 CarPlay/Android Auto 동글)과 70mai A510(스마트 대시캠) 두 제품에서 5건의 제로데이 취약점(CVE-2025-2762~2766)을 발견했다. 전 세계 약 85,000대 이상의 디바이스가 영향권에 있다.

제로데이애프터마켓CarlinKit70mai+2

사고/사건2025.11.20

Kaspersky: 중국산 차량 헤드유닛 모뎀 원격 해킹 가능 취약점 발견

Kaspersky 연구팀이 중국 차량의 헤드유닛에 탑재된 Unisoc UIS7862A 모뎀에서 3G RLC 프로토콜의 스택 버퍼 오버플로우 취약점(CVE-2024-39431, CVE-2024-39432)을 발견했다. 기지국을 통한 원격 신호 조작만으로 차량 대시보드 전체를 장악할 수 있다.

Unisoc차량모뎀헤드유닛원격해킹+1