지난 2일 2020학년도 대학수학능력시험 성적 발표를 앞두고 한국교육과정평가원 홈페이지에서 312명이 성적을 미리 확인했다.
한 수험생 커뮤니티 사이트인 ‘수능 날 만점 시험지를 휘날리자(수만휘)’에서 ‘수능 성적표를 미리 발급받았다’라며 인증과 함께 올라온 글에서 문제가 촉발되었다. 이에 다른 네티즌들은 어떻게 확인했냐고 묻자 글 작성자는 클릭 몇 번이면 가능하다며 ‘수능성적증명서발급서비스’에서 성적을 조회하는 방법을 설명해줬다.
‘수능성적증명서발급서비스’는 수능을 응시했던 사람들에게 과거 수능 성적에 대한 증명서를 제공한다. 하지만, 이번엔 이 서비스의 ‘소스코드’ 취약점을 이용해 연도 값을 2020으로 변경하면 재수생에 한해 올해 수능 성적을 조회할 수 있었다. 다행히 공인인증서로 로그인하므로 다른 사람의 성적은 볼 수 없었다.
312명의 수험생은 1일 오후 9시 56분부터 오전 1시 32분까지 약 3시간 30분 동안 수능 성적 증명서 발급 서비스에 접속해 본인 성적을 사전 조회 및 출력했다. 평가원은 상황을 인지한 후 2일 오전 1시 33분에 관련 서비스를 차단했다.
송근현 교육부 책임정책과장은 “공개 예정일을 앞두고 사전 모의 테스트하는 과정에서 수능 성적 증명서 발급 서비스와 올해 수능 성적 데이터가 연결돼 있었는데, 그걸 일부 응시생이 발견해 조회했다.”라며 상황을 해명했다.
다른 수험생들은 현재 대학 수시전형 논술과 면접이 진행되고 있고 점수를 미리 알면 유리할 수 있어, 형평성에 어긋난다며 불공정하다는 반응을 보였다. 이에 사전 조회한 것을 부정행위로 보고 처벌해야 한다는 청원 글도 올라왔다. 하지만, 3일 성기승 원장은 수능 채점 결과 발표 자리에서 “평가원의 보안에 대한 무딘 업무방식에서 비롯된 것이기에 312명 학생에 대해서는 피해가 없을 것이다.”라며 입장을 밝혔다.
평가원은 이번 사태에 대해 “수험생과 학부모께 혼란을 일으켜 깊이 사과드린다. 수능 성적은 예정대로 4일 오전 9시에 제공하겠다.”라고 밝혔다. 또한, 3일 정부세종청사에서 열린 수능 채점 결과 발표 자리에서 한국교육과정평가원 성기승 원장은 “조그마한 실수도 허용되지 않는 시험인데 이런 보안 문제가 발생해 송구하다.”라며 사과했다.
지난해 8월에도 감사원에서 실시한 ‘평가원의 중등 교원 임용시험 관리 실태’를 감사한 결과, 평가원은 전산 보안관리, 시험 채점 업무 등 전반적인 부적정 사실이 발견됐다. 공개된 감사원의 감사문서에 따르면 평가원은 2017년도에 시스템 보안관리 대책을 단순히 ‘사용자별 접근 권한 부여’ 정도로만 수립했다. 시스템 보안관을 위한 조직체계를 세우거나 보안 유지에 필요한 접근과 통제기능을 구축하는 기술적인 대책은 아무것도 마련하지 않은 것이다.
평가원은 수능에 대한 보안을 허술하게 관리한 데 대한 책임 소재도 규명해야 할 것으로 보인다. 평가원은 “수능 성적 출력서비스, 성적 증명서 발급 서비스 등 수능과 관련된 전반적인 서비스 취약점을 점검하겠다.”라고 밝혔다.