2020학년도 대학수학능력시험(수능) 성적발표를 이틀 앞두고 수험생 300여 명이 공식 통지일 이전에 수능 성적을 미리 확인하는 사상초유의 사태가 벌어졌다. 1일 밤 수험생 커뮤니티 사이트에는 '수능 성적표 미리 출력하는 방법'이란 제목으로 성적을 사전에 확인하는 방법을 설명하는 글이 올라왔다. 이후 1~2시간 만에 '성적표를 미리 발급받았다'고 인증하는 게시글이 잇따라 올라와 커뮤니티 사이트를 도배했다. 한국교육과정평가원은 4일 오전 9시 수능성적을 발표할 예정이었다.

이번 유출사고로 평가원의 허술한 보안이 도마에 올랐다. 평가원 홈페이지에서 간단한 조작으로 사전에 수능성적 확인과 출력이 가능했다. '과거 성적 조회 웹페이지'에 들어간 뒤 웹 브라우저에서 제공하는 '개발자 도구 기능'을 활용해 해당 페이지 코드를 임시로 수정하면 자신의 성적을 쉽게 볼 수 있었다. 기존 성적의 이력 연도를 '2020'으로 바꾸는 식이어서 재수생 이상만 성적 확인이 가능했다. 다행히 이때도 공인인증서 로그인이 필요하기 때문에 본인 외 다른 수험생의 성적이 유출되는 대형 보안사고로까지 확산되지는 않았다. 그러나 유출된 성적을 확인한 수험생들 사이에서는 표준점수와 등급을 서로 비교해 '공식 등급 컷'을 유추하는 일까지 벌어졌다.

평가원은 수능성적 '온라인 발급' 웹페이지를 차단한 뒤 반나절이 지나서야 '수능 성적 유출'을 시인했다. 평가원은 "1일 저녁 9시56분부터 다음날 오전 1시32분 사이에 졸업생 312명이 2020학년도 수능 성적을 사전 조회해 출력한 사실을 확인했다"고 밝혔다. 평가원 관계자는 수능 성적 통지를 위한 시스템 검증 기간 중 일부 수험생들이 해당 서비스의 소스코드 취약점을 이용해 조회를 한 것으로 파악됐다며 타인의 성적이나 정보는 볼 수 없는 구조라고 덧붙였다. 평가원 측은 "진학상담이나 학사일정을 고려해 예정대로 성적을 공개하기로 했다"며 "향후 취약점을 점검해 대책을 마련하겠다"는 입장만 전했다. 교육부도 일부 수험생이 자신의 성적을 확인한 것으로 파악했다고 시인했다.

수능은 수험생이 55만명에 달하는 국내 최대 규모의 시험이다. 무엇보다도 엄정하게 관리돼야 할 민감한 시험에 대한 평가원의 이 같은 허술한 보안 관리는 용납할 수 없는 일이다. 특히 평가원이 지난해 감사원으로부터 ‘보안 허점’ 지적을 받고서도 이를 개선하지 않은 것으로 밝혀져 비판의 목소리가 더 커지고 있다. 감사원은 지난해 8월 중등교원 임용시험 관리 실태를 감사한 뒤 "온라인 시스템 전산 보안 관리가 소홀하다"고 보안 분야를 지적했다. 시스템 보안 관리를 위한 조직·인원 등의 체계를 세우거나 보안 유지에 필요한 기능을 구축·관리하는 기술적인 대책을 전혀 마련하지 않았다는 것이다. 심지어 서버 접근 기록을 관리하는 접근·통제 기능도 설치하지 않았다고 한다.

이번 수능성적 유출사태는 대입관리의 안이함을 또 다시 노출한 재앙이다. 이번 사태를 계기로 정부 차원에서 국가 관리 시험에 대한 전반적인 보안시스템을 다시 점검할 필요가 있다. 책임소재를 분명하게 가려야 할 것이다. 특히 재발방지를 위해서도 교육부장관을 비롯한 관계자들에 대한 ‘일벌백계’가 필요해 보인다.
저작권자 © 대경일보 무단전재 및 재배포 금지