3시간30분가량 성적표 사전 유출
2일 교육계에 따르면 지난 1일 밤 한 수험생 커뮤니티 사이트에 ‘수능 성적표를 미리 발급받았다’고 인증하는 게시글이 올라왔다. 다른 수험생들이 성적표를 확인하는 방법을 묻자 게시글 작성자는 웹 브라우저의 개발자도구 기능을 활용해 성적표를 사전 출력하는 방법을 다시 올렸다. 평가원 사이트에 공인인증서 로그인을 한 뒤 F12 키를 눌러 ‘개발자도구’를 켜고 ‘2019’ 대신 ‘2020’을 입력하면 2020학년도 수능 성적표를 확인할 수 있는 간단한 방법이었다.
이후 1~2시간 만에 주요 수험생 커뮤니티는 수능 성적을 확인했다고 인증하는 글로 도배됐다. ‘수능 성적 발표’ 등의 키워드가 포털사이트 실시간 검색어 순위에 오르기도 했다. 수험생들이 서로 표준점수와 등급을 비교해 과목별 ‘등급 커트라인’을 유추하는 일까지 벌어졌다. 다만 이날 성적 확인은 기존에 성적표를 발급받은 연도를 ‘2020’으로 바꾸는 식이라 재수생 등 ‘n수생’만 가능한 것으로 알려졌다.
임성호 종로학원하늘교육 대표는 “1일 논술고사를 치른 인하대와 아주대 등을 끝으로 모든 학교의 대학별고사가 끝난 뒤 벌어진 일이기 때문에 성적을 빨리 확인해 얻을 수 있는 이익은 크지 않다”며 “그럼에도 성적표가 먼저 유출됐다는 것은 형평성에 크게 어긋나는 일”이라고 지적했다.
평가원은 2일 오후에야 뒤늦게 설명자료를 내고 공식 입장을 밝혔다. 평가원에 따르면 졸업생 312명은 1일 오후 9시56분부터 2일 오전 1시32분 사이 약 3시간30분 동안 수능 성적을 확인했다. 평가원은 상황을 인지한 2일 오전 1시33분에 관련 서비스를 차단했다. 평가원 관계자는 “일부 졸업생이 수능 성적증명서 발급 서비스의 소스코드 취약점을 이용해 성적 제공일 이전에 성적을 조회한 것으로 파악됐다”고 설명했다.
보안 구멍 뚫린 평가원
이날 청와대 국민청원 게시판에는 ‘수능 성적을 부정 확인한 인원을 전원 0점 처리하라’는 청원이 올라오기도 했다. 형평성을 이유로 4일 공개될 예정인 수능 성적표를 사전 공개하라는 여론도 일었다. 하지만 평가원은 수능 성적을 예정대로 4일 오전 9시부터 공개하겠다고 밝혔다. 송근현 교육부 대입정책과장은 “수능 성적을 사전에 확인한 학생들이 평가원의 업무를 방해한 것으로 밝혀진다면 처벌받을 수도 있다”며 “해당 업무를 맡은 평가원 담당자는 당연히 문책할 것”이라고 말했다.
평가원은 지난해에도 감사원으로부터 “보안 관리가 소홀하다”는 지적을 받았다. 감사원은 지난해 8월 평가원의 중등교원 임용시험 관리 실태를 감사한 결과를 발표하면서 “평가원의 온라인 시스템 전산 보안 관리가 소홀하다”고 지적했다.
감사 공개문에 따르면 평가원은 시스템 보안 관리를 위한 조직·인원 등의 체계를 세우거나 보안 유지에 필요한 기능을 구축·관리하는 기술적인 대책을 아무것도 마련하지 않은 것으로 드러났다. 염흥열 순천향대 정보보호학과 교수는 “이번 성적 유출 사태는 아주 초보적인 실수로 벌어진 일”이라며 “외부인 접근을 막는 보안 작업을 한 단계만 추가했다면 충분히 막을 수 있었던 사고”라고 지적했다.
박종관/정의진 기자 pjk@hankyung.com
관련뉴스