Vehicle Cybersecurity News

뉴스

최신 자동차 사이버보안 뉴스 및 분석

"EBS" · 9

사고/사건2026.04.22

EV 충전 관리 시스템 16개에서 제로데이 취약점 다수 발견 — 서비스 중단·에너지 도용 가능

보안 연구자들이 16개 대표 EV 충전 관리 시스템에서 각각 6건의 제로데이 취약점을 발견했다. OCPP 프로토콜의 구조적 결함이 드러났다.

EV 충전OCPP제로데이CISA+3
사고/사건2026.04.07

VicOne, "EV 충전 보안은 이제 인프라 단위 사고를 요구한다" — 전력망·결제·모빌리티 생태계 통합 위협모델링 제시

트렌드마이크로 계열 자동차 사이버보안 전문기업 VicOne이 2026년 4월 7일 공개한 분석 보고서에서, EV 충전 인프라(EVSE)는 단일 충전기·단일 제품 단위의 보안을 넘어 전력망·결제 네트워크·차량 간 통신·클라우드 백엔드까지 포함하는 복합 인프라 단위(infrastructure-level)로 위협 모델링해야 한다고 제안했다. 최근 CISA EV 충전 경보(OCPP WebSocket 인증 부재, 2026.02.26/03.19) 및 ISO 15118 SLAC 취약점 사례를 종합하여, 단일 프로토콜·단일 벤더 접근으로는 공격 표면을 실효적으로 축소할 수 없다는 결론을 제시했다.

VicOneEV 충전인프라 위협모델링OCPP+7
사고/사건2026.03.31

ISO 15118 EV 충전 Plug & Charge 프로토콜, 신원 스푸핑 취약점 지속 노출 — 수백만 대 EV 위험

Southwest Research Institute(SwRI)가 2025년 발견한 ISO 15118 EV 충전 프로토콜의 SLAC(Signal Level Attenuation Characterization) 인증 우회 취약점이 광범위하게 패치되지 않은 채 지속 노출되고 있다는 분석이 재보도되었다. 공격자가 EV의 디지털 신원을 스푸핑하여 타인 명의로 무단 충전하거나, 충전 이력·위치 데이터·결제 정보를 탈취할 수 있으며, 수백만 대의 EV가 잠재적 위험에 놓여 있다.

ISO 15118Plug & ChargeSLACSwRI+7
사고/사건2026.03.19

CISA, EV 충전 플랫폼 CTEK·IGL에 2차 심각 보안 경보 발령 — OCPP WebSocket 인증 우회 취약점

CISA가 스웨덴 CTEK의 Chargeportal과 핀란드 IGL-Technologies의 eParking 플랫폼에서 OCPP WebSocket 엔드포인트의 인증 메커니즘 부재 취약점을 발견하여 ICS 어드바이저리를 발령했다. CVSS 9.4 등급의 심각한 취약점으로, 공격자가 충전소를 사칭하여 무단 관리 제어권을 획득할 수 있다.

CISACTEKIGL-TechnologiesOCPP+4
사고/사건2026.03.12

[UPDATE] Cl0p/Oracle EBS 공급망 공격 — 미쉐린, 315GB 데이터 유출 공식 확인

글로벌 타이어 제조사 미쉐린이 Cl0p 그룹의 Oracle EBS 제로데이 취약점 공격으로 데이터가 유출되었음을 공식 확인했다. 공격자는 315GB 규모의 아카이브를 공개했다.

MichelinCl0pOracle EBS공급망 공격+2
사고/사건2026.03.06

[EV 충전기 OCPP 치명적 취약점 발견 (CVE-2026-26288, CVSS 9.4)]

Everon OCPP 백엔드에서 WebSocket 인증 우회 취약점(CVE-2026-26288, CVSS 9.4)이 발견되어 공격자가 충전소를 사칭하고 OCPP 명령을 조작할 수 있는 것으로 밝혀졌다.

OCPPEV 충전기CVE-2026-26288WebSocket+1
사고/사건2026.02.27

OCPP WebSocket 중요 취약점(CVE-2026-20781) 공개

OCPP WebSocket 엔드포인트에서 CVSS 9.4점의 치명적 인증 우회 취약점이 발견되어, 충전소 가장 공격이 가능한 것으로 확인되었다.

OCPPEV충전CVE-2026-20781취약점+1
사고/사건2026.02.26

CISA, EV 충전 플랫폼 4개 제품에 심각한 보안 취약점 연쇄 경보 발령

CISA가 ePower, ev.energy, Mobiliti e-Mobi, EV2GO 등 4개 EV 충전 관리 플랫폼에 대해 CVSS 9.4 등급의 치명적 인증 취약점을 포함한 다수의 보안 경보를 연쇄 발령했다. 모든 제품에서 OCPP WebSocket 엔드포인트의 인증 부재라는 동일한 구조적 취약점이 발견되었다.

CISAEV 충전 취약점OCPPWebSocket+3
사고/사건2025.10.07

Clop, Oracle EBS 제로데이 공격 — Mazda 등 자동차 공급망 100여 개 기업 침해

Clop 랜섬웨어 그룹이 Oracle E-Business Suite(EBS)의 2건의 제로데이 취약점(CVSS 9.8, 7.5)을 악용하여 Mazda를 포함한 100여 개 기업을 침해하고 데이터를 탈취했다.

ClopOracle제로데이Mazda+2