미국 사이버보안·인프라보안국(CISA)은 2026년 2월 26일과 3월 3일에 걸쳐 EV 충전 인프라 관리 플랫폼 4개 제품에 대한 ICS 보안 경보를 발령했다. 대상 제품은 아일랜드의 ePower(epower.ie), 영국의 ev.energy, 헝가리의 Mobiliti(e-mobi.hu), 그리고 EV2GO 충전 네트워크이다.

4개 제품 모두에서 공통적으로 발견된 가장 심각한 취약점은 OCPP(Open Charge Point Protocol) WebSocket 엔드포인트에 적절한 인증 메커니즘이 없다는 것이다. 이로 인해 인증되지 않은 공격자가 알려진 충전소 식별자를 사용하여 WebSocket에 연결한 뒤, 정상 충전기인 것처럼 OCPP 명령을 송수신할 수 있다. ePower의 경우 CVE-2026-22552(CVSS 9.4), ev.energy는 CVE-2026-27772(CVSS 9.4), EV2GO는 CVE-2026-24731(CVSS 9.4)로 모두 치명적 등급이다.

추가로 인증 요청 횟수 제한 부재(서비스 거부 및 무차별 대입 공격 가능), 예측 가능한 세션 식별자(세션 하이재킹 가능), 웹 기반 맵핑 플랫폼을 통한 충전소 인증 정보 공개 노출 등의 취약점도 공통적으로 발견되었다.

특히 주목할 점은 ePower와 ev.energy 모두 CISA의 협력 요청에 응답하지 않았다는 것이다. CISA는 충전 인프라 네트워크 노출 최소화, 방화벽 격리, 원격 접속 시 VPN 사용 등을 권고했다.