수능 성적 사전 확인한 수험생 312명 … 성적은 예정대로 4일 공개
소스코드 취약점 파악해 본인성적 조회
평가원, "사전점검 과정 미비" 인정
15일 서울 서초고등학교에서 대학수학능력시험을 마친 고3 수험생들이 가채점 결과를 작성하고 있다./강진형 기자aymsdream@ |
2020학년도 대학수학능력시험 성적 발표를 이틀 앞두고 수험생 300여명이 온라인상에서 자신의 성적을 미리 확인하는 사태가 벌어졌다. 교육부는 수능 출제 및 채점 전과정을 책임지는 한국교육과정평가원을 대상으로 조만간 감사에 착수하는 등 재발방지 대책 마련에 나섰다.
평가원은 2일 오후 수능 성적 사전 유출 사실을 인정하고 설명자료를 통해 "수험생 및 학부모님들께 혼란을 야기해 심려를 끼쳐드린 점 깊이 사과드린다"고 밝혔다.
평가원이 확인한 바에 따르면, 지난 1일 오후 9시56분부터 2일 새벽 1시32분 사이 일부 졸업생(재수생)들이 평가원 홈페이지 내 수능 성적증명서 발급 서비스에 접속해 본인 성적을 사전 조회했다.
이 시스템은 2019학년도까지의 수능 성적증명서를 제공하는 대국민 서비스로, 당시는 성적출력물 검증 및 시스템 점검 등을 위해 2020학년도 수능 성적자료를 시스템에 탑재하고 검증중이었다.
그런데 검증기간 중에 일부 졸업생이 성적표 조회를 위해 수능 성적증명서 발급 서비스에 접속했고, 이 서비스 소스코드의 취약점을 이용해 해당년도의 파라미터값을 '2020'으로 변경해 조회하는 일이 벌어졌다.
성적 제공일 이전에는 졸업생의 수능 성적증명서를 조회하더라도 시스템에 조회 시작일자가 설정돼 성적 조회가 이뤄지지 않아야 하지만 이 부분에 대한 보안 설정이 미비했던 것이다.
결국 평가원이 상황을 인지한 후 관련서비스를 차단한 2일 새벽 1시33분까지 졸업생 312명이 자신의 수능 성적을 조회·확인할 수 있었다.
다만 이 시스템은 공인인증서를 통해 본인 인증을 거쳐야 하고, 타인의 성적이나 정보는 볼 수 없는 구조여서 다른 학생들의 수능 성적까지 유출된 것은 아니라는 게 평가원의 설명이다.
평가원은 "성적 출력물 점검 및 진학상담 등 고등학교 학사일정을 고려해 2020학년도 수능 성적은 예정대로 4일 오전 9시부터 제공한다"며 "사전 조회자 312명에 대해서도 예정대로 성적을 제공하겠다"고 밝혔다.
평가원은 또 차후 수능 정보시스템 서비스의 취약점을 점검하고, 성적출력물 출력서비스를 포함해 웹 성적 통지 서비스, 성적증명서 발급 서비스. 대학 수능성적 온라인 제공 등 모든 시스템을 면밀히 분석해 대책을 마련한다는 방침이다.
지난 1994학년도 수능 시험이 첫 시행된 이래 수험생들이 사전에 성적을 확인한 것은 이번이 처음이다. 교육부 관계자는 "수능 채점 과정에서의 문제점이나 보안상에 문제가 없었는지, 과거 보안 관리가 소홀하다는 지적이 있었는데도 문제가 개선되지 않은 이유가 무엇인지 등 평가원을 대상으로 감사를 검토하고 있다"고 전했다.
조인경 기자 ikjo@asiae.co.kr