보안 연구자들이 16개의 대표적인 실제 운영 중인 EV 충전 관리 시스템(CSMS)을 분석한 결과, 각 시스템에서 6개씩 총 96개의 제로데이 취약점을 발견했다. 이 취약점들은 약한 인증 메커니즘, 부적절한 세션 처리, 데이터 가로채기 가능성 등을 포함한다. 특히 Schneider Electric을 포함한 주요 벤더의 CSMS에서도 OCPP(Open Charge Point Protocol) 통신의 WebSocket 취급 미흡으로 인한 결함이 확인되었다.

Upstream Security의 별도 연구에 따르면, EV 충전 네트워크를 대상으로 한 새로운 공격 유형에서 충전 포인트 운영자(CPO)의 시스템에 무단 접근하여 고객 개인정보(이름, 이메일, 결제 정보)가 유출되는 사례가 보고되었다. 2025년에는 Digital Charging Solutions에서 고객 사용자 데이터에 대한 무단 접근 사건이 발생하기도 했다. 또한 2024년 4월 공개된 OCPP의 6개 제로데이 취약점은 다수의 EV 충전 관리 시스템 간 백엔드 통신에 걸쳐 있으며, SQL 주입(SQLi), 크로스사이트 스크립팅(XSS), 서버사이드 요청 위조(SSRF), 크로스사이트 요청 위조(CSRF) 등 높은 수준의 보안 위협을 야기한다.

충전 인프라는 차량, 백엔드 서비스, 모바일 앱, 전력망을 동시에 연결하는 특성으로 인해 공격 표면이 매우 넓으며, 보안 취약점 악용 시 에너지 도난, 서비스 거부, 개인정보 유출, 전력망 불안정 등 다양한 위험이 존재한다. 공개적으로 접근 가능한 CSMS 플랫폼의 경우, 공격자가 자격증명 획득이나 중간자 공격 없이도 원격으로 연결을 탈취할 수 있으며, UN R155 사이버보안 관리 체계(CSMS) 프레임워크의 개선 요구가 증대되고 있다.