대학수학능력시험 성적 발표를 사흘 앞두고 초유의 성적표 사전 유출 사태가 벌어졌다. 수시전형 대학별고사가 모두 끝난 상태에서 발생한 일이기 때문에 성적표 사전 확인에 따른 수험생의 유불리는 크게 갈리지 않을 것으로 보인다. 하지만 50만 명이 치르는 국내 최대 규모 시험인 수능을 주관하는 한국교육과정평가원이 기본적인 보안체계조차 점검하지 않았다는 사실이 드러나면서 논란이 커지고 있다.3시간30분가량 성적표 사전 유출2일 교육계에 따르면 지난 1일 밤 한 수험생 커뮤니티 사이트에 ‘수능 성적표를 미리 발급받았다’고 인증하는 게시글이 올라왔다. 다른 수험생들이 성적표를 확인하는 방법을 묻자 게시글 작성자는 웹 브라우저의 개발자도구 기능을 활용해 성적표를 사전 출력하는 방법을 다시 올렸다. 평가원 사이트에 공인인증서 로그인을 한 뒤 F12 키를 눌러 ‘개발자도구’를 켜고 ‘2019’ 대신 ‘2020’을 입력하면 2020학년도 수능 성적표를 확인할 수 있는 간단한 방법이었다.이후 1~2시간 만에 주요 수험생 커뮤니티는 수능 성적을 확인했다고 인증하는 글로 도배됐다. ‘수능 성적 발표’ 등의 키워드가 포털사이트 실시간 검색어 순위에 오르기도 했다. 수험생들이 서로 표준점수와 등급을 비교해 과목별 ‘등급 커트라인’을 유추하는 일까지 벌어졌다. 다만 이날 성적 확인은 기존에 성적표를 발급받은 연도를 ‘2020’으로 바꾸는 식이라 재수생 등 ‘n수생’만 가능한 것으로 알려졌다.임성호 종로학원하늘교육 대표는 “1일 논술고사를 치른 인하대와 아주대 등을 끝으로 모든 학교의 대학별고사가 끝난 뒤 벌어진 일이기 때문에 성적을 빨리 확인해 얻을 수 있는 이익은 크지 않다”며 “그럼에도 성적표가 먼저 유출됐다는 것은 형평성에 크게 어긋나는 일”이라고 지적했다.평가원은 2일 오후에야 뒤늦게 설명자료를 내고 공식 입장을 밝혔다. 평가원에 따르면 졸업생 312명은 1일 오후 9시56분부터 2일 오전 1시32분 사이 약 3시간30분 동안 수능 성적을 확인했다. 평가원은 상황을 인지한 2일 오전 1시33분에 관련 서비스를 차단했다. 평가원 관계자는 “일부 졸업생이 수능 성적증명서 발급 서비스의 소스코드 취약점을 이용해 성적 제공일 이전에 성적을 조회한 것으로 파악됐다”고 설명했다.보안 구멍 뚫린 평가원이날 청와대 국민청원 게시판에는 ‘수능 성적을 부정 확인한 인원을 전원 0점 처리하라’는 청원이 올라오기도 했다. 형평성을 이유로 4일 공개될 예정인 수능 성적표를 사전 공개하라는 여론도 일었다. 하지만 평가원은 수능 성적을 예정대로 4일 오전 9시부터 공개하겠다고 밝혔다. 송근현 교육부 대입정책과장은 “수능 성적을 사전에 확인한 학생들이 평가원의 업무를 방해한 것으로 밝혀진다면 처벌받을 수도 있다”며 “해당 업무를 맡은 평가원 담당자는 당연히 문책할 것”이라고 말했다.평가원은 지난해에도 감사원으로부터 “보안 관리가 소홀하다”는 지적을 받았다. 감사원은 지난해 8월 평가원의 중등교원 임용시험 관리 실태를 감사한 결과를 발표하면서 “평가원의 온라인 시스템 전산 보안 관리가 소홀하다”고 지적했다.감사 공개문에 따르면 평가원은 시스템 보안 관리를 위한 조직·인원 등의 체계를 세우거나 보안 유지에 필요한 기능을 구축·관리하는 기술적인 대책을 아무것도 마련하지 않은 것으로 드러났다. 염흥열 순천향대 정보보호학과 교수는 “이번 성적 유출 사태는 아주 초보적인 실수로 벌어진 일”이라며 “외부인 접근을 막는 보안 작업을 한 단계만 추가했다면 충분히 막을 수 있었던 사고”라고 지적했다.박종관/정의진 기자 pjk@hankyung.com
교육과정평가원, 어젯밤 3시간반 동안 '성적 유출'…"소스코드 취약점 이용"평가원 "사전조회자 법적 대응 검토…서비스 취약점 점검 예정"2020학년도 대학수학능력시험 성적 발표를 이틀 앞두고 한국교육과정평가원 홈페이지에서 수험생 300여명이 성적을 미리 확인하는 일이 벌어졌다.교육과정평가원은 "수험생과 학부모들께 혼란을 야기해 심려를 끼친 점 깊이 사과드린다"며 사전 유출을 확인하면서도 "수능 성적은 당초 예정대로 4일 오전 9시에 제공하겠다"고 밝혔다.2일 평가원과 교육부에 따르면 전날 오후 9시 56분부터 이날 오전 1시 32분까지 3시간 36분 사이에 수능 응시생 총 312명이 수능 성적증명서 발급 서비스에 접속해 본인 성적을 사전 조회 및 출력했다.이들 학생이 조회한 성적은 올해 본 수능 성적이 맞는 것으로 확인됐다.수능 성적증명서 발급 서비스는 과거 수능 성적에 대한 증명서를 제공하는 대국민 상시 서비스다.평가원은 "학생 312명은 이 서비스에 공인인증서로 본인을 인증한 다음 '소스 코드'의 취약점을 이용해 연도 값을 '2020'으로 변경했다"면서 "졸업생(재수생)에 한해 가능했으며, 다른 사람의 성적은 볼 수 없는 구조"라고 설명했다.성적 공개 예정일(4일)을 앞두고 사전 모의 테스트를 하는 과정에서 수능 성적증명서 발급 서비스와 올해 수능 성적 데이터가 연결돼 있었는데, 일부 응시생이 이 사실을 발견해 올해 성적을 조회했다는 것이다.평가원은 상황을 인지하고서 이날 오전 1시 33분 관련 서비스를 차단했다.그러면서 평가원은 수능 성적은 예정했던 대로 4일 오전 9시에 제공하겠다고 공지했다.수능 응시생들 사이에서 "형평성에 맞게 전체 성적을 조기 공개하라"는 요구가 일부 있었으나 받아들이지 않았다.평가원 관계자는 "채점 일정에 따른 성적 출력물 점검, 진학 상담 등 고교 학사일정 등을 고려해 당초 일정대로 제공하기로 했다"면서 "사전에 조회한 312명에 대해서도 성적을 예정대로 제공할 것"이라고 말했다.이 관계자는 성적을 사전 조회한 312명이나 사전 조회 방법을 온라인상에 유포한 응시생에 대한 업무방해 혐의 형사 고발 등 법적 대응은 "법률 전문가 자문 등을 통해 검토할 예정"이라고 말했다.이번 사건은 전날 밤 한 수험생 커뮤니티 사이트에 한 응시생이 '수능 성적표를 미리 발급받았다'고 인증하면서 촉발됐다.다른 네티즌들이 '성적표를 어떻게 확인했느냐'고 묻자 원 게시글 작성자는 웹 브라우저의 개발자 도구 기능을 이용해 클릭 몇 번 만에 가능하다며 설명하는 글을 올렸다.이후 1∼2시간 만에 주요 수험생 커뮤니티 사이트는 수능 성적을 확인했다고 인증하는 글로 도배됐다.수험생들이 서로 표준점수와 등급을 비교해 '공식 등급컷'을 유추하는 일까지 벌어졌다.일각에서는 "성적 사전 조회가 주말 동안 진행됐던 논술 등 대학별 고사 도중에 이뤄졌다면 사전 조회자들이 대학별 고사를 보러 갈지 말지 결정할 유리한 정보로 작용했을 것"이라는 우려도 제기됐다.그러나 성적 사전 조회는 1일 밤늦게부터 이뤄진 것으로 확인되면서 이번 사건은 수능 사상 최초의 '성적 사전 유출' 해프닝으로 남게 됐다.다만 평가원은 국가 최대 규모 시험인 수능에 대한 보안을 허술하게 관리한 데 대한 책임 소재도 규명해야 할 것으로 보인다.평가원은 "수능 성적 출력 서비스, 웹 성적 통지 서비스, 성적증명서 발급 서비스, 대학 수능 성적 온라인 제공 서비스 등 수능 관련 서비스 전반의 취약점을 점검하겠다"면서 "면밀히 분석해 대책을 수립하겠다"고 밝혔다./연합뉴스