사고/사건
Upstream 분석: 인도 EV 충전 앱 벤더 단일 취약점으로 다수 CPO 연쇄 침해 — 11.6만 건 데이터 유출
보도일: 2026년 4월|수집일: 2026년 4월 29일
요약
Upstream AutoThreat 연구팀이 인도 EV 에너지관리 솔루션 제공업체의 화이트라벨 충전 앱 취약점으로 다수 CPO가 연쇄 침해된 사례를 분석했다.
본문
Upstream AutoThreat 연구팀은 다수의 충전사업자(CPO) 침해가 인도 소재 단일 EV 에너지관리 솔루션 제공업체의 공통 충전 앱에서 비롯되었음을 추적·확인했다. 이 벤더는 화이트라벨 방식으로 다수 CPO에 동일한 앱을 공급했으며, OCPP 로그(CPO-EVSE 통신)가 외부에 노출되고 소비자 결제정보 및 차량 상세정보(VIN 포함) 11만 6천 건이 유출되었다. 단일 벤더의 취약점이 공급받는 모든 CPO로 전파되는 공급망 연쇄 침해의 전형적 사례로, 신원 도용 및 금융 사기 위험이 증대되었다.
시사점
EV 충전 인프라의 보안 위협이 충전기 하드웨어에서 클라우드 플랫폼·앱·결제 시스템으로 확장되고 있다. 국내 충전사업자도 외부 벤더가 제공하는 화이트라벨 앱·플랫폼의 보안 수준을 직접 검증하고, 제3자 공급업체 보안 감사를 계약 조건에 포함할 필요가 있다.