사고/사건사고/사건
CISA ICS 경보: Chargemap EV 충전 OCPP 백엔드 치명적 인증 우회 취약점 (CVSS 9.4)
보도일: 2026년-02-26|수집일: 2026년 5월 18일
요약
Chargemap의 EV 충전 OCPP 백엔드에서 Station ID만으로 WebSocket 연결이 가능한 치명적 인증 우회 취약점이 발견되었다(CVSS 9.4).
본문
CISA가 ICS 경보(ICSA-26-057-05)를 통해 Chargemap EV 충전 OCPP 백엔드의 4건의 치명적 취약점을 공개했다. CVE-2026-25851, CVE-2026-20792, CVE-2026-25711, CVE-2026-20791이 할당되었으며, CVSS 합산 점수 9.4(Critical)이다. 핵심 문제는 Station ID만으로 WebSocket 연결을 수립할 수 있고 인증 헤더가 검증되지 않아, 공격자가 충전소를 사칭하거나 원격 명령을 송수신하고 관리자 권한을 탈취할 수 있다는 것이다. EV 충전 세션 가로채기, 서비스 거부(DoS) 공격, 충전 네트워크 데이터 변조가 가능하다. Chargemap은 CISA의 연락에 응답하지 않은 것으로 알려졌다.
시사점
OCPP 프로토콜의 인증 구조적 취약성이 다시 한번 확인되었다. 국내 EV 충전 사업자(환경부 인증 충전기 운영사)는 OCPP 2.0.1 보안 프로필 적용 여부를 점검하고, WebSocket 통신의 인증·암호화를 강화해야 한다.