2026년 3월 6일, Everon의 OCPP(Open Charge Point Protocol) 백엔드 시스템에서 치명적인 보안 취약점이 공개되었다. CVE-2026-26288로 등록된 이 취약점은 CVSS 9.4점으로 '치명적(Critical)' 등급을 받았다. WebSocket 엔드포인트에 적절한 인증 메커니즘이 없어 공격자가 비인가 충전소 사칭 및 백엔드로 전송되는 데이터를 조작할 수 있다. 비인증 공격자가 알려진 충전소 식별자를 사용하여 OCPP WebSocket 엔드포인트에 접속한 뒤 합법적인 충전기로 위장하여 OCPP 명령을 발행하거나 수신할 수 있다. 이를 통해 세션 하이재킹, 요금 조작, 관리자 권한 탈취까지 가능한 것으로 분석되었다. 이번 취약점은 단순한 서비스 중단을 넘어 과금 무결성과 전력망 안정성에까지 영향을 미칠 수 있다. 공용 충전기는 에너지 및 교통 생태계에 통합되어 있어 지속적인 장애나 충전 요금 조작이 피크 수요 시 전력망 안정성에 연쇄적 영향을 줄 수 있다. OCPP 프로토콜 자체에도 TLS 구현의 취약점으로 인한 중간자(MitM) 공격, 약한 인증 메커니즘, 부적절한 세션 관리 등 구조적 보안 문제가 존재하는 것으로 지적되었다.