보안

수능 성적 사전유출··· 허무하게 뚫린 교육평가원 보안

이종현
[디지털데일리 이종현기자] 2020학년도 대학수학능력시험(수능) 성적 공식발표 전 일부 수험생에게 시험 성적이 사전유출됐다.

수능 성적 발표는 오는 4일이나 12월1일 21시56분부터 2일 1시32분 사이 졸업생 312명이 한국교육과정평가원(이하 평가원) 수능 성적표 발급 서비스에 접속해 자신의 성적을 사전 조회했다. 성작을 열람한 수험생들이 네이버 카페 등 커뮤니티를 통해 성적을 ‘인증’하고 열람 방법을 공개하며 논란이 커졌다.

성적유출은 웹페이지 HTML에서 기존 성적 이력 연도를 ‘2020’으로 고치는 방식으로 이뤄졌다. 단순한 소스코드 조작만으로 정보가 유출될 정도로 보안이 취약했다.

평가원이 사이트 관리에 미흡했다는 지적은 피하기 어렵다. 평가원은 지난해 8월 감사원으로부터 보안 관리가 허술하다는 평가를 받았다.

감사원은 지난해 8월 평가원의 중등교원 임용시험 관리 실태를 감사한 결과 “평가원의 온라인 시스템 전산 보안 관리가 소홀하다. 채점 데이터가 외부 불법적 접근에 무방비 상태”라고 지적한 바 있다.

이번 성적유출 문제가 심각한 것은, 이미 지적된 보안 문제를 1년이 지나서도 개선하지 않았다는 점이다.

성적유출의 원인은 제대로 된 접근통제 기능을 갖추지 않아서다. 본래라면 허가된 사람이 허가된 정보만 열람할 수 있어야 하지만, 로그인 후 허가되지 않아야 할 정보를 열람할 수 있었다. 지난해 감사원이 지적했던 문제와 같다.

이번에는 시험이 끝난 뒤의 수능 성적이었지만 대학기관에서 유사한 보안 문제가 있을 경우 학번을 바꿔 입력해 타인의 정보를 열람할 수 있는 등 더 큰 문제가 발생할 수 있다.

보안업계 관계자는 “이런 보안 문제는 비일비재하다. 오래된 시스템에서 흔히 발생하는 일인데 제대로 된 보안 체계를 갖췄다면 쉽게 막을 수 있는 문제”며 “처음 발견된 취약점이 아니고 이미 지적받은 것이라면 보안 의식이 부족한 것”이라고 말했다.

평가원 측은 “수능 성적 사전 조회와 관련해 수험생 및 학부모에게 혼란을 야기해 죄송하다”며 “수능 정보시스템 서비스 및 취약점을 점검하고 면밀한 분석을 통해 대책을 수립·조치하겠다”고 밝혔다.

한편 일부에서는 미리 성적을 열람한 사람과 그렇지 못한 사람의 형평성 문제가 생긴다며 성적을 조기 발표해야 한다는 요구도 나왔다. 이에 평가원은 당초 예정대로 12월4일 오전 9시부터 수능 성적을 발표할 방침이다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널