은행 보안 시스템 결함「은폐 말고 공개하라!」

남아프리카 시티뱅크는 이번 부정인출 사건에 약 8만 달러를 투자하고 있으며, 영국 고등법원에 3월 3일부터 캠브리지 대학의 과학자들이 증언할 것을 요청했다. 이 과학자들은 시티뱅크가 법원에 제의한 비밀유지명령이 앞으로 은행 보안 시스템 연구를 제한할 지도 모른다고 우려하고 있다. 캠브리지 대학 교수인 로스 앤더슨은 이번 주 영국의 한 암호화 메일링 리스트에 기고한 글에서 "이번 사건의 배경은 나의 학생인 마이크 본드가 현금인출기 고객을 식별하기 위해 개인인증번호(PIN)를 보호하는 흔한 암호장비에 엄청난 결함이 있음을 발견한 것이다. 현재 이러한 결함의 일부는 이미 악당들도 알아낸 것으로 보인다. 영국 법원과 입법부는 보안에 관해 둘러대며 여기에 따르는 비용을 고객에 전가할 것이 아니라, 은행에게 시스템을 고치도록 압력을 가해야 한다"고 전했다. 앤더슨은 지난 21일에 가진 전화 인터뷰에서, 20일 런던의 고등법원은 청문회를 열어 소송을 어떻게 진행할지 논의했으며 오는 3월 3일 이전에 결정을 내릴 것이라고 약속했다고 전했다. 그는 "시티뱅크가 요구했던 것은 청문회에서 밝혀진 모든 것을 비공개로 하자는 것이었다. 즉 청문회에서 나온 모든 얘기는 영원히 묻어둔다는 의미였다"고 말했다. 본드는 이번 달에 발표된 'PIN 해독을 위한 십진표 공격'이라는 제목의 논문을 공동 저술했다. 이 논문은 부정한 은행직원이 어떻게 30분만에 7000개의 고객 PIN을 발견할 수 있는지 설명하고 있다. 논문에 담긴 연구는 1980년대의 정품 IBM 3624 ATM 및 그 후속 모델의 보안에 결함이 존재하고 있음을 보여주고 있다. 이 현금인출기들은 훼손 방지 하드웨어 보안 모듈에 PIN을 저장한다. 캠브리지 과학자들은 아닐 싱과 바니타 싱의 피고측 증인으로 나서기로 합의함에 따라 이번 소송에 연루됐다. 이 두 사람은 남아프리카 시티뱅크에 의해 현금인출카드가 런던으로 보내져 남용되도록 방치한 혐의를 받고 있다. 2000년 3월, 두 사람의 현금인출카드를 이용해 약 190차례에 걸쳐 8만 달러정도의 현금이 인출됐다. 아닐 싱과 바니타 싱은 시티뱅크의 내부직원이 이 범행에 책임이 있다는 것을 입증할 수 있기를 희망하고 있다. 시티그룹의 다이너스 클럽 인터내셔널 총고문인 토마스 타이크그라버는 월요일 법원에 서한을 보내 법원이 이번 소송을 중재해 비밀 정보가 공개되지 않도록 확실히 해달라고 요구했다. 금요일 시카고에 있는 그의 사무실에는 전화연락이 닿지 않았다. 수요일 앤더슨이 작성해 법원에 보낸 편지 속에는 은행의 결함에 관한 많은 정보가 이미 공개돼 있으며, 파리의 학회와 캠브리지에서 열린 세미나에서 이미 발표됐기 때문에 계속 공개된 상태로 남아있어야 한다고 적혀있다. 앤더슨는 "존경하는 재판장께, 피고측 전문 증인에 대한 어떠한 비밀유지명령도 타당하거나 정당화하기 어려울 것이라는 입장을 전달한다"고 밝혔다. @