"수능 사상 최초 성적 사전 유출이 단순 해프닝?"..한국교육과정평가원 책임론 활활 [일상톡톡 플러스]

평가원 "수능 관련 서비스 전반 취약점 점검, 면밀히 분석해 대책 수립할 것"

4일 수능 성적 공식 발표를 앞두고 일부 수험생들이 지난 1일 밤 평가원 성적 확인 사이트의 허점을 이용해 성적을 미리 확인하고 인증하는 소동이 벌어졌다. 네이버 카페 화면 갈무리

2020학년도 대학수학능력시험 성적 발표를 이틀 앞두고 한국교육과정평가원 홈페이지에서 수험생 300여 명이 성적을 미리 확인하는 황당한 사건이 벌어져 논란이 일고 있다. 더욱이 평가원 측은 해당 수험생을 상대로 법적 대응 검토 의사를 밝혀 파문을 더욱 확산시키고 있다는 지적이다.

교육과정평가원은 "수험생과 학부모들께 혼란을 야기해 심려를 끼친 점 깊이 사과드린다"며 사전 유출을 확인하면서도 "수능 성적은 당초 예정대로 4일 오전 9시에 제공하겠다"고 밝혔다.

평가원과 교육부에 따르면 지난 1일 오후 9시 56분부터 이날 오전 1시 32분까지 3시간 36분 사이에 수능 응시생 총 312명이 수능 성적증명서 발급 서비스에 접속해 본인 성적을 사전 조회 및 출력했다.

이들 학생이 조회한 성적은 올해 본 수능 성적이 맞는 것으로 확인됐다. 수능 성적증명서 발급 서비스는 과거 수능 성적에 대한 증명서를 제공하는 대국민 상시 서비스다.

평가원은 "학생 312명은 이 서비스에 공인인증서로 본인을 인증한 다음 '소스 코드'의 취약점을 이용해 연도 값을 '2020'으로 변경했다"면서 "졸업생(재수생)에 한해 가능했으며, 다른 사람의 성적은 볼 수 없는 구조"라고 설명했다.

성적 공개 예정일(4일)을 앞두고 사전 모의 테스트를 하는 과정에서 수능 성적증명서 발급 서비스와 올해 수능 성적 데이터가 연결돼 있었는데, 일부 응시생이 이 사실을 발견해 올해 성적을 조회했다는 것이다.

평가원은 상황을 인지하고서 이날 오전 1시 33분 관련 서비스를 차단했다. 그러면서 평가원은 수능 성적은 예정했던 대로 4일 오전 9시에 제공하겠다고 공지했다.

◆평가원 "312명의 학생, '소스 코드' 취약점 이용해 본인 성적 사전 조회"…법적 대응 검토 밝혀 논란 더욱 부추겨

수능 응시생들 사이에서 "형평성에 맞게 전체 성적을 조기 공개하라"는 요구가 일부 있었으나 받아들이지 않았다.

평가원 관계자는 "채점 일정에 따른 성적 출력물 점검, 진학 상담 등 고교 학사일정 등을 고려해 당초 일정대로 제공하기로 했다"면서 "사전에 조회한 312명에 대해서도 성적을 예정대로 제공할 것"이라고 말했다.

이 관계자는 성적을 사전 조회한 312명이나 사전 조회 방법을 온라인상에 유포한 응시생에 대한 업무방해 혐의 형사 고발 등 법적 대응은 "법률 전문가 자문 등을 통해 검토할 예정"이라고 말했다.

이번 사건은 전날 밤 한 수험생 커뮤니티 사이트에 한 응시생이 '수능 성적표를 미리 발급받았다'고 인증하면서 촉발됐다.

다른 네티즌들이 '성적표를 어떻게 확인했느냐'고 묻자 원 게시글 작성자는 웹 브라우저의 개발자 도구 기능을 이용해 클릭 몇 번 만에 가능하다며 설명하는 글을 올렸다.

이후 1∼2시간 만에 주요 수험생 커뮤니티 사이트는 수능 성적을 확인했다고 인증하는 글로 도배됐다.

수험생들이 서로 표준점수와 등급을 비교해 '공식 등급컷'을 유추하는 일까지 벌어졌다.

◆"국가 최대 규모 시험에 대한 보안 허술하게 관리한 책임 물어야"

일각에서는 "성적 사전 조회가 주말 동안 진행됐던 논술 등 대학별 고사 도중에 이뤄졌다면 사전 조회자들이 대학별 고사를 보러 갈지 말지 결정할 유리한 정보로 작용했을 것"이라는 우려도 제기됐다.

그러나 성적 사전 조회는 1일 밤늦게부터 이뤄진 것으로 확인되면서 이번 사건은 수능 사상 최초의 '성적 사전 유출' 해프닝으로 남게 됐다.

다만 평가원은 국가 최대 규모 시험인 수능에 대한 보안을 허술하게 관리한 데 대한 책임 소재도 규명해야 할 것으로 보인다.

평가원은 "수능 성적 출력 서비스, 웹 성적 통지 서비스, 성적증명서 발급 서비스, 대학 수능 성적 온라인 제공 서비스 등 수능 관련 서비스 전반의 취약점을 점검하겠다"면서 "면밀히 분석해 대책을 수립하겠다"고 밝혔다.

◆수능 성적 조회 최초 시점 논란…파장 확산시 검·경 수사로 이어질 수도 있어

현재 일부 수험생들은 수능 성적 사전 확인 시점을 문제 삼고 있다.

특정 수험생의 수능 성적 사전 조회 최초 시점에 대해 언론 등을 통한 구체적인 공개 과정 없이 덜렁 '1일 오후 9시56분'이라고만 밝히고 쉬쉬하려는 것 아니냐는 지적이다.

수능 성적증명서 발급서비스 검증 작업도 조회 시점이 주말(12월1일)인 점을 감안하면 그 이전부터 진행됐을 것으로 추정하며 일부 수험생 혜택 의혹도 제기하고 있다.

지난달 30일과 지난 1일에는 서울대를 비롯해 고려대와 연세대, 건국대와 경희대, 동국대, 한국외대 등 서울 주요 대학이 면접고사를, 아주대와 인하대는 논술고사를 치렀다.

수능 최저학력기준을 먼저 확인하거나 자신의 성적이 생각보다 높았다면 대학별 고사에 참여하지 않고 정시로 더 상위권 대학에 지원하며 '수시 납치'를 피할 수 있었다.

수능 성적 사전 확인 사태로 수시·정시 모두 변수가 생길 수 있어 수험생 혼란과 피해가 생길 수 있는 셈이다.

이와 관련한 의혹이 일파만파로 커진다면 교육부 감사나 검·경 수사도 불가피할 전망이다. 평가원장 사퇴로도 이어질 수 있다.

평가원 측은 뉴스1과의 인터뷰에서 "수능 성적증명서 발급서비스 검증작업이 일부 수험생의 성적 사전 조회 시점인 것은 맞는다"면서도 "수능 성적 사전 조회 최초 시점 등은 교육부 감사 등을 통해 다시 한 번 명백히 드러나기 때문에 '팩트'만 전달했다는 점을 거듭 말씀드린다"고 말했다.

◆"책임소재 분명히 가려 재발 막아야…국가 관리 시범 보안시스템 재점검 기회"

이처럼 교육당국과 평가원이 이번 사태에 책임을 지겠다며 고개를 숙였지만, 관련 논란은 쉽게 가라앉지 않을 것으로 보인다.

일각에서는 수능성적을 미리 알면 유·불리는 없어도 수시모집의 '수능 최저학력기준'을 충족했는지 사전에 알게 되기 때문에 형평성에 문제가 생긴다는 주장을 펼치고 있다.

해킹이 아니라면서도 성적을 미리 확인한 수험생에 대해 '업무방해' 여부를 따지는 법리검토를 벌이겠다는 교육당국의 방침도 여론의 뭇매를 맞고 있는 상황이다.

평가원은 지난해 감사원으로부터 "보안 관리가 소홀하다"는 지적을 받고서도 이를 개선하지 않은 것으로 밝혀져 비판의 목소리가 더 커질 전망이다.

수험생 커뮤니티서 방법 공유 2일 한 수험생 커뮤니티에 올라온 대학수학능력시험 성적표 미리 출력하는 방법(왼쪽)이 담긴 글. 이 글이 공개되면서 수능 성적 공식 발표를 이틀 앞두고 일부 수험생이 수능 성적을 확인하는 웃지 못할 해프닝이 벌어졌다. 연합뉴스

감사원은 작년 8월 중등교원 임용시험 관리 실태를 감사한 뒤 "온라인 시스템 전산 보안 관리가 소홀하다"고 보안 분야를 꼭 집어서 지적했다. 시스템 보안 관리를 위한 조직·인원 등의 체계를 세우거나 보안 유지에 필요한 기능을 구축·관리하는 기술적인 대책을 전혀 마련하지 않았다는 것이다.

심지어 서버 접근 기록을 관리하는 접근·통제 기능도 설치하지 않았다고 한다. 결과적으로 평가원이 감사원의 지적 사항을 제대로 개선하지 않아 이번에 수능성적 유출 사태를 빚게 된 것이다.

전문가들은 정부가 이번 일의 책임소재를 분명히 가려서 재발을 막아야 한다며 국가 관리 시험 전반에 대한 보안시스템을 다시 점검하는 기회로 삼아야 한다고 입을 모으고 있다.

김현주 기자 hjk@segye.com