세계일보

대학수학능력시험(수능)의 성적이 공식 발표되기 전에 무더기로 유출되는 일이 벌어져 파문이 일고 있다. 수능 관리를 맡은 한국교육과정평가원과 감독기관인 교육부의 보안 시스템에 구멍이 뚫렸다는 지적이다. 교육부와 평가원은 2일 공식 사과하고, 이번 사태에도 수능 성적은 예정대로 4일 공개한다고 밝혔다.

교육부와 평가원에 따르면 고교 졸업생 312명은 지난 1일 오후 9시56분부터 2일 오전 1시 32분까지 평가원의 수능 성적증명서 발급 서비스에 본인 인증 후, 소스코드에 접속해 자신의 2020학년도 수능 성적을 사전 조회 및 출력한 것으로 파악됐다. 평가원은 최초 사건 발생 3시간 36분 만인 2일 오전 1시 33분에 관련 서비스를 차단했다. 이번에 뚫린 정보시스템은 2019학년도까지의 수능 성적증명서를 제공하는 서비스로 최근 검증기간 중이었다.

조사결과, 검증 기간 중에 일부 졸업생이 성적표 조회를 위해 수능 성적증명서 발급 서비스에 접속했고, 해당 서비스의 소스코드 취약점을 이용해 해당 연도의 ‘파라미터’값을 ‘2019’에서 ‘2020’으로 변경하는 수법으로 조회한 것으로 드러났다.

평가원은 “성적 제공일 이전에는 졸업생의 수능 성적증명서 조회 시 시스템에 조회 시작일자가 설정되어 성적 조회가 이루어지지 않아야 하지만 그렇지 않았다”고 설명했다. 다만, 평가원은 “타인의 성적이나 정보는 볼 수 없는 구조이므로 본인 관련 사항만 본 것으로 확인됐다”고 덧붙였다. 평가원은 “수험생 및 학부모님들께 혼란을 야기해 심려를 끼쳐드린 점 깊이 사과드린다”고 고개를 숙였다. 평가원은 일단 예정대로 4일 오전 9시부터 수능 채점결과를 제공하기로 했다. 사전 조회자 312명에 대해서도 예정대로 성적을 제공하기로 했다.

평가원은 앞으로 수능 정보시스템 서비스 및 취약점을 점검하고 면밀한 분석을 통해 대책을 수립하기로 했다. 하지만 평가원이 지난해 감사원으로부터 “보안 관리가 소홀하다”는 지적을 받고서도 이를 개선하지 않은 것으로 밝혀져 뒷북 대응이라는 비판이 나온다.

◆‘보안 취약’ 지적받고도 방치… 연도만 바꾸니 쉽게 뚫려

1994년 대학수학능력시험 도입 이래 첫 사례인 ‘성적 유출 사건’을 두고 수능을 주관하는 한국교육과정평가원의 보안 시스템이 도마 위에 올랐다. 일각에선 수험생 간 형평성을 고려해 비정상적인 방법으로 성적을 확인한 300여명에게 불이익을 줘야 한다는 지적이 나온다. 그러나 약 50만명이 치르는 국내 최대 규모 시험의 기본적인 보안체계조차 살피지 않은 평가원에 더 큰 비판이 쏟아지는 형국이다.

◆숫자 하나 바꿔 ‘유출’… 평가원의 안이한 대처 도마

2일 교육계에 따르면 전날 오후 10시 이후 네이버의 온라인 카페 ‘포만한 수학 연구소’에는 2020학년도 수능 성적표를 인증하는 게시글이 올라왔다. 성적표를 인증한 카페 회원은 평가원 수능 성적증명서 발급 서비스상 웹 브라우저 개발자 도구(DOM 탐색기)를 활용한 사전 확인 방법을 공유했고, 이후 최초 확인자를 포함한 312명이 3시간30분가량 이 같은 방식으로 성적표를 확인한 것으로 나타났다.

사전 확인 방법은 개발자 도구를 통해 수능 시행 연도로 추정되는 ‘2019’를 ‘2020’으로 바꾸는 방식으로, 수능 응시 경험이 있어 성적 이력이 남아 있는 ‘N수생’들의 경우 공인인증서 로그인 후 성적표 발급신청과 출력이 가능했다. 수능 성적표 발급 이력이 없는 고3 재학생들은 숫자를 수정하는 항목으로 진입 자체가 불가능했던 것으로 알려졌다. 평가원은 “(성적이 유출된) 정보 시스템은 2019학년도까지의 수능 성적증명서를 제공하는 대국민 서비스”라며 “성적 제공일(4일) 이전엔 성적 조회가 이루어지지 않아야 하지만, 그렇지 않았다”고 설명했다.

평가원이 지난해 감사원으로부터 온라인 시스템 전산 보안 관련 지적을 받은 상황에서 이 같은 ‘무방비 보안’은 논란을 키우고 있다.

감사원은 지난해 8월 평가원의 중등 교원 임용시험 관리 실태를 감사한 뒤 “전산 보안 관리, 시험 채점 업무 등 전반적인 부적정 사실이 발견됐다”고 지적했다. 2017학년도 중등 교원 임용시험 채점 시스템 운영계획을 수립하면서 보안 유지에 필요한 기능을 구축·관리하는 기술적 대책을 마련하지 않았던 것이다.

올해 1월 중등 임용시험 결과가 발표되던 날 일부 응시생들 사이에서 “채용 홈페이지를 ‘소스 보기’로 전환하면 몇 시간 전부터 과목별 점수와 석차를 볼 수 있었다”는 소동이 일었던 바 있다. 평가원이 이미 수능 성적표 관련 보안 허점 민원을 접수했다는 주장도 제기됐다.

성적표 확인 방법이 공개된 해당 카페의 한 회원은 지난해 2월 국민신문고를 통해 이번에 논란이 된 평가원의 온라인 시스템상에서 성적표를 위조할 수 있다는 점을 알렸다며 민원에 대한 평가원 답변 내용을 공개했다. 성적 유출과 사안은 다르나 비정상적인 경로로 데이터에 접근할 수 있다는 측면에서 이번 유출 사건과 같은 맥락의 보안 사항으로 볼 수 있다. 평가원은 당시 “민원인이 제기한 문서 출력 프로그램 정보 전달 구간을 확인, 보안 취약점 등 개선사항이 발견되면 빠른 기간 내 조처를 할 예정”이라고 답변을 남겼다. 그러나 이후 1년8개월이 지나도록 적절한 조처가 이뤄지지 않은 셈이다.

◆“사실상 피해 無… 처벌 애매”

평가원은 임의 조작으로 성적을 미리 확인한 수험생들에 대한 법적 대응 여부를 두고 고심하고 있다. 해당 학생들이 자신의 성적을 확인한 것 외에 타 수험생에게 끼친 실질적 피해가 없어서다. 평가원은 “홈페이지상 (공인인증서 인증 절차를 거쳐야 하므로) 본인 외에 타인의 성적·정보는 볼 수 없는 구조”라고 설명했다. 최초 성적 유출 또한 전날 치러진 학생부종합전형 면접 일정이 모두 끝난 뒤인 오후 9시56분으로 확인되면서 대입 전형에 미친 영향도 현재로는 없는 것으로 파악했다.

법적 대응에 나설 경우 평가원이 여론의 ‘역풍’을 맞을 우려도 있다. 사전 확인 방법이 비교적 간단해 평가원 내부에서도 ‘해킹’으로 판단하기 어렵다는 분석이 나오는 가운데, 허술한 보안 시스템에 대한 비판이 더 크게 부각되고 있어서다.

교육부 관계자는 통화에서 “평가원에 일정 부분 귀책사유가 있는 상황에서 일방적으로 업무방해죄 적용을 검토하긴 어려울 것”이라고 말했다. 평가원 측은 “아직 법리검토에 착수하지 않았다”고 덧붙였다.

세종=이천종 기자, 이동수 기자 skylee@segye.com

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]