2026년 2월 27일, EV 충전 인프라에서 사용되는 OCPP(Open Charge Point Protocol) WebSocket 엔드포인트에서 CVSS 점수 9.4의 치명적 취약점 CVE-2026-20781이 공개되었다. 이 취약점은 적절한 인증 메커니즘의 부재로 인해 인증되지 않은 공격자가 알려진 또는 발견 가능한 충전소 식별자(charging station identifier)를 사용하여 OCPP WebSocket 엔드포인트에 직접 연결하고, 정상적인 충전기인 것처럼 행동하여 충전소를 가장(impersonation)할 수 있다.

성공적인 악용 시나리오는 다층적인 파급 효과를 초래한다. 공격자는 권한 상승, 충전 인프라에 대한 무단 제어(unauthorized control), 백엔드 시스템에 보고되는 중요 충전 네트워크 데이터의 손상(data corruption)을 수행할 수 있다. 이는 단순히 전기 도난이나 서비스 거부(denial of service)를 넘어, 전력망 안정성에까지 영향을 미칠 수 있는 심각한 위협이다.

추가적으로 보안 연구진은 16개의 대표적인 실제 운영 중인 EV 충전 관리 시스템(CSMS)을 분석하여 각 시스템에서 6개씩 총 96개의 제로데이 취약점을 발견했다. 이들 취약점은 약한 인증 메커니즘, 부적절한 세션 처리, 예측 가능한 세션 식별자, 웹 기반 맵핑 플랫폼을 통한 충전소 인증 정보 공개 등을 포함하며, 이는 불안전한 OCPP 구현이 민감 정보 수집, 무단 충전소 접근, 수천 개 충전소의 동시 장애를 유발할 수 있음을 보여준다. 현재까지 알려진 공격 사례는 없으나 패치가 아직 제공되지 않고 있어 실제 악용 위험이 존재한다.