취약점 노려 312명 수능 성적 미리 확인... 교육과정평가원 사과

수험생이 2020학년도 대학수학능력시험 성적 발표를 이틀 앞두고 한국교육과정평가원 홈페이지 취약점을 이용해 미리 확인한 사태가 확인됐다. 이에 대해 평가원은 수험생 및 학부모에게 혼란을 야기했다고 사과했다.

한국교육과정평가원은 일부 수험생이 성적을 미리 확인한 상황을 인지한 후 2일 오전 1시 33분 관련 서비스를 차단했으며, 2020학년도 대학수학능력시험 성적은 예정대로 4일 오전 9시부터 제공한다고 2일 밝혔다.

이번 사태는 1일 한 수험생 커뮤니티 사이트에 “수능 성적표를 미리 발급받았다”고 인증한 게시글이 올라오면서 알려졌다.

글을 게시한 작성자가 웹 브라우저의 개발자 도구 기능을 이용해 클릭 몇 번 만에 가능하다고 설명한 후 이를 따라한 수험생들이 이어졌다. 성적을 확인한 수험생들이 가채점 결과와 별다른 차이가 없어서 실제 성적이 맞는 것으로 보인다고 게시하자 순식간에 확산됐다.

이달 1일 저녁 9시 56분부터 2일 오전 1시 32분 사이 졸업생 312명이 수능 성적증명서 발급 서비스에 본인 인증 후 소스코드에 접속해 2020학년도로 변경 후 본인의 성적을 사전 조회하고 출력했다. 기존 2019학년도를 2020학년도로 변경한 후 성적을 조회할 수 있어 재학생이 아니라 졸업생만 성적 조회가 가능했다.

이는 해당 서비스의 소스코드 취약점을 이용한 것이다. 해당 연도의 파라미터값을 '2020'으로만 간단히 변경하면 조회가 가능한 만큼 비판이 쏟아지고 있다.

다른 수험생들은 몇몇 학생들이 이미 성적을 확인했기 때문에 형평성 문제를 제기하며 서둘러 성적을 공개할 것을 요구하기도 했다.

하지만 평가원은 채점일정에 따른 성적 출력물 점검 및 진학상담 등 고등학교 학사일정을 고려해 당초 일정대로 제공하겠다고 밝혔다. 사전 조회자 312명에 대해서도 예정대로 성적을 제공할 예정이다.

평가원은 타인의 성적이나 정보는 볼 수 없는 구조이므로 본인 관련 사항만 본 것으로 확인됐다고 설명했다. 교육부는 성적 확인을 시도한 학생들이 비정상적으로 성적을 유출한 만큼 법적 조치를 취할지 여부도 검토할 예정이다.

고도의 해킹 툴을 이용한 것도 아니고 몇몇 기능만 활용하면 누구나 볼 수 있는 수준에서 유출이 된 사건이다. 성적 조작이나 타인 성적 확인까지 없었다고 해도 지나치게 허술한 체계를 운영한 평가원에 대한 비난이 쏟아지고 있다.

평가원은 “수능성적 사전조회와 관련하여 수험생 및 학부모님에게 혼란을 야기해 심려를 끼쳐드린 점 깊이 사과드린다”고 밝혔다.

전문가들은 개발단계에서부터 보안성을 제대로 검증하지 않았기 때문에 발생한 사건이라고 지적했다.
이희조 고려대 교수는 “파라미터 변조는 부지기수로 일어나는 사건인데도 개발단계에서 이를 꼼꼼히 점검할 생각을 하지 않아 발생한 일로 보인다”면서 “하루에도 수십개의 취약점이 발견되고 있는데 이를 타산지석으로 삼아 오픈된 곳에서 문제점을 서로 공유하고 보완해갈 수 있어야 한다”고 꼬집었다.

지난 11월 14일 대학수학능력시험일에 영역별 시험이 끝난 후 해당 과목 교사들이 직접 시험문제를 풀고 분석할 결과를 발표하고 있다. <전자신문 DB>
지난 11월 14일 대학수학능력시험일에 영역별 시험이 끝난 후 해당 과목 교사들이 직접 시험문제를 풀고 분석할 결과를 발표하고 있다. <전자신문 DB>

문보경기자 okmun@etnews.com