교육과정평가원, 어젯밤 3시간반 동안 '성적 유출'…"소스코드 취약점 이용"
평가원 "사전조회자 법적 대응 검토…서비스 취약점 점검 예정"
수능 성적발표 D-2에 312명 '사전조회'…"발표는 4일 예정대로"
2020학년도 대학수학능력시험 성적 발표를 이틀 앞두고 한국교육과정평가원 홈페이지에서 수험생 300여명이 성적을 미리 확인하는 일이 벌어졌다.

교육과정평가원은 "수험생과 학부모들께 혼란을 야기해 심려를 끼친 점 깊이 사과드린다"며 사전 유출을 확인하면서도 "수능 성적은 당초 예정대로 4일 오전 9시에 제공하겠다"고 밝혔다.

2일 평가원과 교육부에 따르면 전날 오후 9시 56분부터 이날 오전 1시 32분까지 3시간 36분 사이에 수능 응시생 총 312명이 수능 성적증명서 발급 서비스에 접속해 본인 성적을 사전 조회 및 출력했다.

이들 학생이 조회한 성적은 올해 본 수능 성적이 맞는 것으로 확인됐다.

수능 성적증명서 발급 서비스는 과거 수능 성적에 대한 증명서를 제공하는 대국민 상시 서비스다.

평가원은 "학생 312명은 이 서비스에 공인인증서로 본인을 인증한 다음 '소스 코드'의 취약점을 이용해 연도 값을 '2020'으로 변경했다"면서 "졸업생(재수생)에 한해 가능했으며, 다른 사람의 성적은 볼 수 없는 구조"라고 설명했다.

성적 공개 예정일(4일)을 앞두고 사전 모의 테스트를 하는 과정에서 수능 성적증명서 발급 서비스와 올해 수능 성적 데이터가 연결돼 있었는데, 일부 응시생이 이 사실을 발견해 올해 성적을 조회했다는 것이다.

평가원은 상황을 인지하고서 이날 오전 1시 33분 관련 서비스를 차단했다.

그러면서 평가원은 수능 성적은 예정했던 대로 4일 오전 9시에 제공하겠다고 공지했다.

수능 응시생들 사이에서 "형평성에 맞게 전체 성적을 조기 공개하라"는 요구가 일부 있었으나 받아들이지 않았다.

평가원 관계자는 "채점 일정에 따른 성적 출력물 점검, 진학 상담 등 고교 학사일정 등을 고려해 당초 일정대로 제공하기로 했다"면서 "사전에 조회한 312명에 대해서도 성적을 예정대로 제공할 것"이라고 말했다.

이 관계자는 성적을 사전 조회한 312명이나 사전 조회 방법을 온라인상에 유포한 응시생에 대한 업무방해 혐의 형사 고발 등 법적 대응은 "법률 전문가 자문 등을 통해 검토할 예정"이라고 말했다.

이번 사건은 전날 밤 한 수험생 커뮤니티 사이트에 한 응시생이 '수능 성적표를 미리 발급받았다'고 인증하면서 촉발됐다.

다른 네티즌들이 '성적표를 어떻게 확인했느냐'고 묻자 원 게시글 작성자는 웹 브라우저의 개발자 도구 기능을 이용해 클릭 몇 번 만에 가능하다며 설명하는 글을 올렸다.

이후 1∼2시간 만에 주요 수험생 커뮤니티 사이트는 수능 성적을 확인했다고 인증하는 글로 도배됐다.

수험생들이 서로 표준점수와 등급을 비교해 '공식 등급컷'을 유추하는 일까지 벌어졌다.

일각에서는 "성적 사전 조회가 주말 동안 진행됐던 논술 등 대학별 고사 도중에 이뤄졌다면 사전 조회자들이 대학별 고사를 보러 갈지 말지 결정할 유리한 정보로 작용했을 것"이라는 우려도 제기됐다.

그러나 성적 사전 조회는 1일 밤늦게부터 이뤄진 것으로 확인되면서 이번 사건은 수능 사상 최초의 '성적 사전 유출' 해프닝으로 남게 됐다.

다만 평가원은 국가 최대 규모 시험인 수능에 대한 보안을 허술하게 관리한 데 대한 책임 소재도 규명해야 할 것으로 보인다.

평가원은 "수능 성적 출력 서비스, 웹 성적 통지 서비스, 성적증명서 발급 서비스, 대학 수능 성적 온라인 제공 서비스 등 수능 관련 서비스 전반의 취약점을 점검하겠다"면서 "면밀히 분석해 대책을 수립하겠다"고 밝혔다.

/연합뉴스