[2020수능] '312명 성적표 사전유출'.. '예견된' 전산보안사고

[베리타스알파=강태연 기자] 4일 공개가 예정된 2020학년 대학수학능력시험 성적표가 312명의 학생들에게 유출돼 한국교육과정평가원(이하 평가원)의 전산보안 문제가 심각한 상태임을 드러냈다. 평가원은 성적을 미리 열람한 312명을 포함해 계획대로 4일에 성적표를 제공하겠다고 밝혔다. 평가원은 성적표를 유출한 인원을 부정행위로 간주하거나 취소하지는 않을 계획이다. 다만 업무방해 혐의 등으로 별도의 처벌을 검토 중인 것으로 알려졌다. 유출이 된 경로는 평가원 성적확인 페이지에서 본인인증 후 웹 브라우저 개발자 도구 기능 등을 이용해 기존 성적 이력의 연도를 바꾸면, 기존 성적이 존재하는 N수생에 한해 2020수능 성적표를 받을 수 있었던 것이다. 평가원은 사실관계 확인 이후 수능 성적 유출을 인정하고 논란에 대해 사과했지만, 이미 형평성이 어긋났다는 부분과 지난해 국민신문고에 전산시스템 보안과 관련해 유사한 내용이 올라온 적이 있어, 책임과 비난을 피하기 어려울 것으로 보인다.

평가원에 대한 비난은 예상되지만, 입시 전체 흐름에는 큰 영향이 없을 것으로 예상된다. 아직 정시 원서접수가 시작되지 않아 지원율에 영향을 주지도 않았고, 수시의 대학별 고사는 1일 종료된 상태다. 성적 유출이 처음 확인된 오후9시56분에는 이미 대학별고사가 끝났다. 한 교육전문가는 "평가원이 보안 문제를 해결하지 않아 발생한 문제이기 때문에 평가원의 신뢰를 떨어뜨리는 일이 발생했지만, 대입을 준비하는 과정에 있어서 큰 문제는 아닌 것으로 보인다"며 "소수의 인원이 점수를 미리 알고 서로 맞춰본 것이 입시전략에 큰 영향을 줬다고 보기는 어렵다"고 말했다.

성적발표는 기존 일정대로 4일 오전9시부터 제공한다고 밝혔다. 수능성적 발표일에는 비정상적인 방법으로 수능 성적을 확인한 수험생 312명도 성적을 확인할 수 있고, 부정행위로 간주해 성적을 취소하지는 않을 것으로 알려졌다. 다만 업무방해 혐의 등으로 별도의 처벌에 대해서는 검토가 진행중이라는 평가원의 입장이다. 교육부 관계자는 "평가원에서 법률 자문을 받아보기로 했다"며 "귀책사유가 평가원에 있기 때문에 현재로써는 수험생 처벌 여부를 말하기 어렵다"고 말했다.

평가원은 2일 오전1시33분 서비스를 차단 후 사실관계 확인을 통해 성적표 유출을 인정했다. 사실관계 확인 시 교육부는 성적 발표를 앞두고 평가원이 사전 모의 테스트를 위해 성적표 발급 사이트를 연결했는데, 이 과정에서 일부 수험생이 성적을 확인한 것으로 파악했다고 밝혔다. 평가원 관계자는 "앞으로 교육부와 평가원은 수능 정보시스템의 취약점에 대한 점검에 들어갈 예정"이라면서 "성적출력물 서비스, 웹 성적 통지 서비스, 성적증명서 발급 서비스, 대학 수능성적 온라인 제공 등의 서비스에 차질이 없도록 점검할 것"이라고 말했다. 교육부는 성적표 유출 논란에 대한 문제점을 파악하기 위해 평가원에 대한 감사에 들어갈 예정인 것으로 알려졌다.

성적 확인 관련 게시글은 1일 한 수험생 커뮤니티 사이트에 게시됐다. ‘수능 성적표 출력 미리 출력하는 방법’이라는 제목의 게시글에는, 공인인증서 로그인 후 웹 브라우저의 개발자 도구 기능을 이용해 가능하다는 내용이 담겼다. 수능 성적증명서 발급 서비스의 소스코드 취약점을 이용해 본인 인증 후 해당 년도 파라미터 값을 2020학년도로 변경 후 본인의 성적을 사전 조회 및 출력할 수 있었다. 성적표를 확인한 이후 가채점 결과와 큰 차이가 없다는 내용과 함께 주요 수험생 커뮤니티 사이트에는 수능 성적을 확인했다는 글이 도배되기도 했다. 확인하는 방법은 N수생에 한해서만 가능했다. 기존 성적표 발급 이력이 있는 수험생은 수능 연도를 수정하는 방식으로 성적표를 발급받을 수 있고, 기존 발급 이력이 없는 고3학생들의 경우 숫자를 수정하는 페이지로 접속 자체가 불가능했다.

성적표가 유출된 인원들을 0점 처리하라는 국민청원도 나왔지만, 전문가들은 대입 전반적인 흐름에 큰 영향을 준 것은 아니라는 의견이다. 정시 원서접수의 경우 26일부터 진행되고, 대학별 고사가 진행되는 수시의 경우 1일 모두 종료됐기 때문이다. 형평성에 문제는 생겼지만, 미리 성적을 알았다고 하더라도 지원전략을 수정하거나 대입에 변화가 있기는 어렵다는 것이다. 

평가원의 성적표 유출 문제는 예견된 일이라는 지적도 있다. 지난해 감사원으로부터 “보안 관리가 소홀하다”는 지적을 받았기 때문이다. 감사원은 지난해 8월 평가원의 중등교원 임용시험 관리 실태를 감사한 결과를 발표하면서 “평가원의 온라인 시스템 전산 보안 관리가 소홀하다”고 지적했다. 감사 공개문에 따르면 평가원은 시스템 보안 관리를 위한 조직·인원 등의 체계를 세우거나 보안 유지에 필요한 기능을 구축·관리하는 기술적인 대책을 아무것도 마련하지 않은 것으로 드러났다.

지난해 2월에는 국민신문고에 성적증명서/통지표와 관련해 보안 상 문제가 있다는 내용의 민원이 접수되기도 했다. 당시 졸업생 대상 웹성적 출력 사이트를 통해 성적표를 위조할 가능성이 있다는 점을 알렸고, 평가원은 ‘민원인이 제기한 웹브라우저에서 문서 출력프로그램 정보 전달 구간을 확인하고, 보안 취약점 등 개선사항이 발견되면 빠른 기간 내에 조치를 취할 예정입니다’라고 답변했다. 이미 보안 취약점을 인지했음에도 불구하고 별다른 대책이 없었던 것으로 보인다.