사고/사건사고/사건
CISA ICS 경보: CloudCharge EV 충전 플랫폼 인증/세션 관리 취약점 4건 (CVSS 9.4)
보도일: 2026년-02-26|수집일: 2026년 5월 18일
요약
CloudCharge EV 충전 플랫폼에서 WebSocket 인증 부재, 세션 하이재킹 등 4건의 치명적 취약점이 발견되었다(CVSS 9.4).
본문
CISA가 ICS 경보(ICSA-26-057-03)를 통해 스웨덴 CloudCharge EV 충전 플랫폼의 4건의 치명적 취약점을 공개했다. CVE-2026-20781(WebSocket 인증 부재), CVE-2026-25114(세션 하이재킹/쉐도잉), CVE-2026-27652(예측 가능한 세션 식별자), CVE-2026-20733(자격증명 보호 미흡)이 확인되었다. 공격자는 충전소를 사칭하거나 활성 충전 세션을 탈취하고, 대규모 서비스 거부 공격과 백엔드 데이터 조작이 가능하다. CloudCharge 역시 CISA의 연락에 응답하지 않았다.
시사점
Chargemap과 CloudCharge 두 EV 충전 플랫폼에서 유사한 OCPP 인증 취약점이 동시에 공개된 것은 EV 충전 백엔드 소프트웨어의 구조적 보안 문제를 시사한다. 국내 충전 인프라 보안 가이드라인에 OCPP 보안 프로필 준수 요건을 반영할 필요가 있다.