스마트 모빌리티 사이버보안 솔루션 기업인 이스라엘의 사이모티브 테크놀로지스(CYMOTIVE Technologies)가 지난 6월 15일부터 16일까지 이틀간 미국 디트로이트에서 열린 국제 자동차 보안 행사 ESCAR USA에서 공통 CAN-FD 차량 통신 프로토콜의 새로운 보안 취약점을 공개했다. 

사이모티브의 사이버보안 책임연구원인 마탄 지브(Matan Ziv)는 “CAN-in-CAN Attack for Bypassing Security”라는 제목의 발표에서 CAN-FD 차량 통신 프로토콜에 대한 새로운 잠재적 보안 취약점에 대해 밝혔다.

마탄은 “숨겨진 진실을 찾기 위해 사람의 내면을 들여다본다”는 고대 속담을 언급하며 이 취약점을 “CANCAN”이라고 명명했다. 

이러한 공통 통신 프로토콜의 보안 취약점은 많은 차량 모델의 사이버보안 대책에 상당한 영향을 미칠 것으로 예상된다. 사이모티브에 따르면, CAN-FD 메시지의 캡슐화(CANCAN)를 통해 하나의 CAN-FD 메시지를 다른 메시지 내부에 숨길 수 있어 다양한 보안 조치를 우회할 수 있다. 

사이모티브의 공동 설립자이자 CEO인 차프리르 캣츠(Tsafrir Kats)는 “CANCAN 취약점이 구체적으로 해결하지 않는 한 CAN-FD 프로토콜을 구현한 차량 구성 부품과 CAN-XL 등 현재 개발 중인 프로토콜에 영향을 미칠 수밖에 없다”면서 모든 자동차 제조사와 부품협력업체들이 CANCAN 취약점을 주목하고 완화할 것을 권고했다.

연구논문 "CAN-in-CAN Attack for Bypassing Security" 원문 보기