뉴스

최신 자동차 사이버보안 뉴스 및 분석

"IVI" · 14건

사고/사건2026.04.21 (발견일: 2026.04.20~21)

Avitrans(운송·물류 기업), Qilin 랜섬웨어 피해 확인 — 자동차 물류 공급망 위협 지속

운송·물류 기업 Avitrans가 Qilin 랜섬웨어 그룹의 피해자로 확인되었다. 발견일은 2026년 4월 20~21일이며, Qilin은 같은 시기 Indcar(차량 차체 제조)를 포함해 운송·제조 분야에 집중 공격을 전개하고 있다.

AvitransQilin랜섬웨어운송+3

정책동향2026.04.13

California AB1833, 소비자 운전 데이터 보호법 발의 — 텔레매틱스 데이터 목적 외 사용 금지

캘리포니아주 의회에 'Consumer Driving Data Protection Act of 2026'(AB1833)이 발의되어 텔레매틱스 데이터의 보험 목적 외 사용을 금지하고, 2028년 이후 생산 차량에 대한 커넥티드 차량 위치 접근 제한을 규정한다.

캘리포니아AB1833텔레매틱스운전 데이터+2

Upstream × AWS, "SDV 시대의 지능형 품질" 공동 블로그 공개 — 차량 데이터 클라우드 기반 CSMS/SUMS 운영 모델 제시

자동차 사이버보안·데이터 분석 플랫폼 기업 Upstream Security와 아마존웹서비스(AWS)가 공동 기술 블로그 "Driving Intelligent Quality in the SDV Era"를 2026년 4월 1일 공개하며, SDV(소프트웨어 정의 차량) 시대의 품질·보안·OTA 운영을 클라우드 기반 차량 데이터 분석으로 통합 관리하는 참조 아키텍처를 제시했다. 차량에서 발생하는 로그·텔레메트리를 AWS IoT·Security Data Lake로 집약하고, 이를 CSMS(ISO/SAE 21434) 모니터링과 SUMS(ISO 24089) OTA 영향분석에 활용하는 구조다.

UpstreamAWSSDVIntelligent Quality+7

정책동향2026.03.19

NHTSA, Tesla FSD 조사 Engineering Analysis로 격상 — 320만 대 대상, 리콜 전 최종 단계

NHTSA가 Tesla FSD(Full Self-Driving)의 시야 저하 조건 대응 실패에 대한 조사를 예비평가(PE24031)에서 Engineering Analysis(EA26002)로 격상했다. 320만 대 이상의 Tesla 차량이 대상이며, 이는 리콜 결정 전 최종 조사 단계이다.

NHTSATeslaFSDEngineering Analysis+6

사고/사건2026.03.12

78리서치랩, Pwn2Own Automotive 2026에서 EV 충전기 버그 체이닝 공격 시연 — 한국 보안 기업 글로벌 해킹 역량 입증

한국 보안 기업 78리서치랩이 Pwn2Own Automotive 2026에서 Alpine·Kenwood IVI 및 Phoenix Contact EV 충전 컨트롤러 등 3개 타깃 공격에 성공하며 글로벌 수준의 자동차 보안 기술을 입증했다.

78리서치랩EV 충전기Phoenix ContactPwn2Own Automotive+2

사고/사건2026.03.09

AAA(남캘리포니아 자동차 클럽) 서드파티 벤더 경유 데이터 침해

미국 AAA 산하 남캘리포니아 자동차 클럽(Automobile Club of Southern California)이 서드파티 벤더인 DanubeNet(Driving School Solutions) 침해를 통해 회원 개인정보가 유출되었으며, 3월 9일 캘리포니아 및 매사추세츠 검찰총장에 신고했다.

AAA데이터침해서드파티공급망보안+1

사고/사건2026.03 (Qualcomm Security Bulletin), 2026.05 추가 분석

CVE-2026-25254: Qualcomm Snapdragon Auto 5G 모뎀 인증우회 취약점 — CVSS 9.8

Qualcomm Software Center의 SocketIO 인터페이스를 통한 비인증 원격코드실행 취약점. Snapdragon Auto 5G 모뎀 포함 다수 Qualcomm 제품 영향.

CVE-2026-25254QualcommSnapdragon Auto5G 모뎀+3

사고/사건2026.02.19

노스이스턴대학교 연구팀, Tesla Model 3·Cybertruck LTE 연결성 취약점 발견 — IMSI 캐처로 차량 추적 가능

노스이스턴대학교 쿠리(Khoury) 컴퓨터과학대학 연구팀이 Tesla Model 3와 Cybertruck의 LTE 연결 스택에서 다수의 보안 취약점을 발견했다. IMSI 캐처(가짜 기지국)를 이용해 차량 위치를 추적하고, 데이터 트래픽을 가로채며, 차량의 인터넷 연결을 차단할 수 있음을 입증했다.

5G 전환DoS공격IMSI 캐처LTE 취약점+10

HAKSTUFF, 글로벌 OEM 40개사 취약점 공개 프로그램(VDP/VRP) 현황 분석 — 41% OEM이 보고 체계 부재

자동차 보안 연구 매체 HAKSTUFF가 글로벌 40개 OEM의 취약점 공개 프로그램(VDP)과 취약점 보상 프로그램(VRP/버그바운티) 운영 현황을 전수 조사한 분석 보고서를 발표했다. 조사 결과, 41%의 OEM이 취약점 보고 체계조차 갖추지 않았으며, 중국 외 OEM 중 버그 바운티를 운영하는 곳은 BMW·Tesla·Rivian 3개사에 불과했다.

BMWCVECoordinated DisclosureHAKSTUFF+9

사고/사건2026.01.26

페토웍스, Pwn2Own Automotive 2026 종합 4위 달성 — EV 충전기·IVI 제로데이 시연

한국 보안기업 페토웍스가 Pwn2Own Automotive 2026에서 종합 4위를 기록하며, EV 충전 컨트롤러와 IVI 시스템에서 제로데이 취약점을 발견·시연했다.

Pwn2Own AutomotiveEV충전기IVI제로데이+1

사고/사건2026.01.25

[Pwn2Own Automotive 2026: 76개 제로데이 발견, 총 $1,047,000 지급]

일본 도쿄 오토모티브 월드에서 개최된 Pwn2Own Automotive 2026에서 73회 시도 가운데 76개 미공개(제로데이) 취약점이 발견되며 역대 최다 기록을 세웠다. 3일간 총 보상금은 104만 7,000달러에 달했으며, Master of Pwn은 팀 Fuzzware.io(21만 5,000달러)가 차지했다.

Pwn2Own제로데이EV 충전기IVI+6

사고/사건2026-05-08

VicOne: Copy Fail(CVE-2026-31431) & DirtyFrag — Linux 커널 결함이 자동차 사이버보안에 미치는 위험 분석

VicOne CyberThreat Research Lab이 Linux 커널의 Copy Fail(CVE-2026-31431, CVSS 7.8) 및 DirtyFrag 취약점이 차량 임베디드 Linux 환경(IVI, ADAS, 게이트웨이, TCU)에 미치는 위험을 분석하고, MITRE ATT&CK 및 Automotive Threat Matrix에 매핑한 기술 보고서를 발표했다.

CVE-2026-31431Copy FailDirtyFragLinux 커널+4

사고/사건2026-04-10

Turbo International(미국 터보차저 애프터마켓 부품사), Akira 랜섬웨어 리크사이트 등재 — 자동차 부품 공급망 확대 피해

Akira 랜섬웨어 그룹이 2026-04-10 리크사이트에 1989년 설립 미국 Turbo International을 피해자로 등재했다. 피해자는 애프터마켓 터보차저·CHRA·서비스 키트·터보차저 재제조 부품 공급사로, 다수 정비 네트워크와 OEM 애프터마켓 공급망에 연쇄 영향이 우려된다. 공격자는 데이터 유출을 주장하는 더블 익스토션 패턴을 보인다.

Akira랜섬웨어터보차저자동차 부품+3

사고/사건2025.01.22

Pwn2Own Automotive 2025: 49개 제로데이 발견, 상금 $886,250

도쿄에서 열린 Pwn2Own Automotive 2025에서 총 49개 제로데이 취약점이 발견되었으며, 총 $886,250의 상금이 지급되었다.

Pwn2Own제로데이EV 충전기IVI+1