한겨레

2020학년도 대학수학능력시험 성적 발표를 이틀 앞두고, 일부 수험생들이 한국교육과정평가원(평가원) 누리집의 오류를 틈타 자신의 성적을 미리 확인해 논란이 일고 있다. 해마다 수십만명이 치르는 시험을 주관하는 평가원이 보안에 소홀했다는 비판이 나온다.

한국교육과정평가원은 2일 “지난 1일 밤과 2일 새벽 사이 졸업생(수험생) 312명이 ‘수능 성적증명서’ 발급 서비스에 본인 인증 뒤 소스코드에 접속하여 본인의 2020학년도 수능 성적을 사전 조회하고 출력한 것으로 확인했다”고 밝혔다. 애초 평가원은 오는 4일부터 해당 누리집에서 개인별 성적 확인이 가능하도록 할 예정이었다. 그런데 일부 졸업생들이 시스템의 허술한 틈을 활용해 자신의 성적을 미리 확인한 것이다. 평가원은 “해당 상황을 인지하고 2일 새벽 1시33분에 관련 서비스를 차단했으며, 타인의 성적이나 정보는 볼 수 없는 구조이기 때문에 접속자들이 본인 관련 사항만 본 것으로 확인했다”고 밝혔다.

앞서 1일 밤, 한 수험생 커뮤니티 사이트에는 “평가원 누리집에서 수능 성적표를 미리 발급받았다”는 내용의 게시글이 올해 성적표 이미지와 함께 올라와 논란이 일었다. 교육부와 평가원 설명을 종합하면, 당시 평가원은 성적출력물 검증 및 시스템 점검 등을 위해 성적 자료를 ‘수능 정보시스템’에 탑재해 검증하고 있던 단계였다. 그런데 이 시간에, 지난해 등 이전에 수능을 치렀던 일부 졸업생이 졸업생 수능 성적증명서 조회 메뉴의 소스코드에 접속해 수능 응시연도를 ‘2020’으로 바꾸는 방식으로 올해 성적 정보를 미리 확인한 것으로 보인다.

이날 평가원은 “이번 수능성적 사전조회와 관련해 수험생 및 학부모님들께 혼란을 야기하여 심려를 끼쳐드린 점 깊이 사과드린다”고 밝혔다. 수능 성적은 예정대로 오는 4일 오전 9시부터 제공하는 등 이번 일로 대입 관련 학사일정에 별다른 변화는 없을 예정이다. 사전 조회한 312명에게도 성적 제공은 예정대로 이뤄진다. 교육부 관계자는 “본인 성적을 이틀 먼저 알게 된 것만으로 뭔가 할 수 있는 일이 사실상 없어서, 학사일정에 영향을 줄만한 요소는 없다”고 말했다.

그러나 해마다 수십만명이 치르는 시험을 관리·감독하는 평가원의 ‘보안 소홀’에는 비판이 일 전망이다. 지난해 7월 감사원이 공개한 ‘공립교원 임용시험 관리실태’ 감사보고서를 보면, 평가원은 ‘시험 보안관리 분야’에서 “시설 및 전산 보안관리 부적정”으로 지적을 받은 바 있다. 특히 ‘온라인 채점 시스템’과 관련해 감사원은 “시스템의 보안관리 대책으로 단순히 사용자별 시스템 접근 권한 부여 및 인적 접근통제 대책만을 수립했을 뿐 (…)서버·네트워크 등 시스템의 주요 요소별로 보안유지에 필요한 기능을 구축·관리하는 기술적 보안대책은 마련하지 않고, 서버에의 접근기록을 관리하는 접근통제기능을 설치하지 않았다”고 지적했었다. 평가원이 감사원에서 이런 지적을 받고도 사실상 별다른 조처를 하지 않아, 논란을 자초한 셈이다.

평가원은 “성적출력물 출력서비스, 웹 성적 통지 서비스, 성적증명서 발급 서비스, 대학 수능성적 온라인 제공 등 수능 정보시스템 서비스와 취약점을 점검하고, 면밀한 분석을 통해 대책을 수립해 조처하겠다”고 밝혔다.

최원형 기자 circle@hani.co.kr