2026년 3월 31일, Automotive Transportation News는 ISO 15118 기반 EV 충전 Plug & Charge 기능의 신원 스푸핑 취약점이 여전히 광범위하게 존재한다는 분석 기사를 보도했다. 이 취약점은 원래 미국 Southwest Research Institute(SwRI)가 2025년에 발견하여 CISA 보안 경보로 이어진 바 있으며, ISO 15118 표준의 SLAC(Signal Level Attenuation Characterization) 프로토콜에서 충전기(SECC)와 차량(EVCC) 간 연결 과정의 인증 메커니즘 부재가 핵심 원인이다.

구체적으로, 공격자는 더 우수한 감쇠 특성을 가진 가짜 충전기를 스푸핑하여 정상 충전기-차량 간 통신에 중간자 공격(MitM)을 수행할 수 있다. 이를 통해 정상 차량의 디지털 인증서를 도용하여 타인 명의로 무단 충전 세션을 개시하거나, 충전 이력·GPS 위치 데이터·연동된 결제 정보를 가로챌 수 있다. 취약점의 심각도는 제조사별 구현 방식에 따라 차이가 있으나, Plug & Charge를 지원하는 수백만 대의 EV가 잠재적 영향권에 있다.

ISO 15118-20 신규 버전은 TLS(Transport Layer Security) 사용을 필수화하여 이 취약점의 영향을 제한하지만, 기기 소프트웨어 무결성 검증 방법은 포함하지 않아 새로운 공격 벡터가 여전히 존재한다. 또한 현재 배포된 대다수 충전 인프라가 ISO 15118-2 기반이어서 구버전 취약점에 노출된 상태가 장기간 지속될 전망이다. 전기차 충전 인프라 산업 협회(EVIA 등)가 패치 조율을 진행 중이나, 충전기 펌웨어 업데이트의 물리적 제약으로 완전 해소까지는 상당 시간이 소요될 것으로 예상된다.