사고/사건
EV 충전 관리 시스템 16개에서 제로데이 취약점 다수 발견 — 서비스 중단·에너지 도용 가능
보도일: 2026년 4월 22일|수집일: 2026년 4월 28일
요약
보안 연구자들이 16개 대표 EV 충전 관리 시스템에서 각각 6건의 제로데이 취약점을 발견했다. OCPP 프로토콜의 구조적 결함이 드러났다.
본문
SecurityWeek 보도에 따르면, 보안 연구자들이 16개 대표적인 EV 충전 관리 시스템(CSMS)에서 각각 6건의 제로데이 취약점을 발견했다. 핵심 문제는 EV 충전기와 백엔드 간 통신에 사용되는 OCPP(Open Charge Point Protocol)의 WebSocket 다중 연결 처리 결함과 TLS 구현 약점이다. 이를 통해 공격자는 중간자 공격(MitM), 세션 하이재킹, 충전소 위장(station impersonation), 대규모 서비스 거부(DoS)를 수행할 수 있다. 이미 CISA가 Chargemap(CVE-2026-25851, CVSS 9.4), ev.energy(CVE-2026-27772 등 4건), CTEK Chargeportal(CVE-2026-27649, CVSS 9.4) 등에 대한 ICS 권고문을 발표한 바 있다.
시사점
EV 충전 인프라가 확대됨에 따라 OCPP 프로토콜 보안이 핵심 과제로 부상했다. 국내 충전 사업자와 관련 부품사는 OCPP WebSocket 인증·암호화 구현을 점검하고, CISA 등 국제 기관의 ICS 권고문을 모니터링하여 사용 중인 충전 관리 시스템의 취약점 패치를 신속히 적용해야 한다.