2026년 4월 7일, VicOne은 자사 블로그에 "EV Charging Security Now Demands Infrastructure-Level Thinking" 제목의 분석 보고서를 공개했다. 보고서는 2025~2026년에 걸쳐 공개된 EV 충전 관련 주요 취약점·사고(OCPP WebSocket 인증 부재, ISO 15118-2 SLAC 신원 스푸핑, Plug & Charge 인증서 남용, 결제 백엔드 API 권한 구성 오류 등)를 종합하며, 지금까지의 "충전기 단위" 보안 접근이 한계에 도달했다고 평가했다.

VicOne이 제시한 인프라 단위 위협 모델은 전력망(송배전·V2G 양방향 전력 흐름), 차량-충전기 물리·논리 인터페이스(CCS/CHAdeMO, PLC, ISO 15118), 백엔드 관리 시스템(CSMS/OCPP 서버·결제 Gateway·로밍 허브), 사용자 인증·결제 경로(Plug & Charge 인증서·모바일 앱·NFC 카드), 클라우드·통신 보안(TLS/HTTPS, 텔레메트리·OTA) 등 5개 층위를 종합적으로 위협 모델링하는 구조로 제시된다.

보고서는 특히 V2G(Vehicle-to-Grid) 확대가 전력망-차량 간 양방향 데이터·에너지 흐름을 발생시키면서, 개별 차량 1대의 손상이 국가 전력 인프라(Grid)에 영향을 줄 수 있는 경로가 실질적으로 형성되고 있다고 지적한다. 이는 NIST SP 1800-23 등 일부 자료에서 언급된 개념이지만, 실제 위협 시나리오 단위로 모델링되는 경우는 드물었다는 점을 강조한다.

또한 VicOne은 기존 자동차 CSMS(ISO/SAE 21434) 범위가 주로 차량 자체와 OEM·Tier 1의 개발·운영 프로세스를 다루는 반면, EV 충전 인프라는 에너지·결제·통신 등 복수 규제권에 걸쳐있어 단일 산업 표준만으로는 거버넌스가 불충분하며, UN R155, ISO/SAE 21434, IEC 62443(산업제어시스템), NIS2(EU), 미국 NERC CIP 등을 교차 참조하는 거버넌스 프레임워크가 필요하다고 제안한다.