대학 성적·취업 결과 사전 조회도 OK, 입시학원은 몰랐을까 의문…평가원장 “대단한 애들” 여론 싸늘
12월 1일 밤 한 온라인 커뮤니티에 올라온 ‘수능 성적표 미리 출력하는 방법’. 사진=온라인 커뮤니티 갈무리
12월 4일 발표하는 2020학년도 대학수학능력시험 성적표 유출이 사실로 확인됐다. 지난 1일 밤 한 온라인 커뮤니티에 ‘수능 성적표 미리 출력하는 방법’이라는 제목의 게시글이 올라왔다. 앞서 글쓴이는 자신의 성적표 사진과 함께 ‘이 정도 성적이면 현재 재학 중인 대학교를 탈출할 수 있느냐’는 취지의 글을 올리기도 했다.
글쓴이가 올린 방법은 간단했다. 다만 2019학년도 수능 성적이 있는 n수생(재수생 이상을 일컫는 말) 수에 한해 성적 조회가 가능했다. 수능 성적증명서를 발급하는 페이지에 들어가 로그인을 한 뒤 개발자 도구를 이용해 페이지 소스코드에 접속해 2019를 2020으로만 바꾸면 성적 발급이 가능하다는 것이다. 개발자 도구는 키보드에서 f12를 누르면 실행된다. 다시 말해 키보드 버튼 하나로 한국교육과정평가원 시스템에 접속한 셈이다. 이런 방법으로 자신의 성적을 조회한 학생은 3일 현재까지 312명으로 확인됐다.
이에 대해 평가원 관계자는 “성적 출력물의 검증 및 시스템 점검 등을 위해 수험생의 성적 자료를 수능 정보시스템에 탑재해 검증하는 모의 테스트 기간이었다”며 “성적 제공일 이전에는 졸업생이 성적증명서를 조회할 때 시스템에 조회 시작 일자가 설정돼 있어 조회가 되지 않아야 하는데 그렇지 않았다”고 설명했다.
문제는 국가기관의 보안 시스템이 전문 해커도 아닌 일반 대학생에게 뚫렸다는 사실이다. 평가원은 국가 최대 규모 시험인 수능에 대한 보안을 허술하게 만들었다는 책임에서 자유롭지 못하게 됐다. 현직 프로그램 개발자는 2일 일요신문 인터뷰에서 개발자 도구를 이용한 입력값 변경에 대해 이렇게 설명했다.
“원리라고 할 것도 없다. 같은 틀에서 2019를 쓰면 2019값을 읽어오는 것이고 2020를 쓰면 2020값을 읽어오도록 되어있다. 2019를 2020으로 변경했을 때 결과가 나왔다면 2020년 값은 이미 서버에 입력되어 있었다는 말이다. 최소한 평가원에서 여기에 접근하지 못하도록 막아놨어야 하는데 그렇게 하지 않았다는 건 서버를 짠 개발자의 잘못이라고 볼 수밖에 없다. 매우 중요한 자료라면 배포자체를 늦게 하는 방법도 있었다”고 말했다.
평가원은 2018년에도 감사원으로부터 보안 관리가 허술하다는 지적을 받은 바 있다. 더 큰 문제는 몇 차례 지적된 관리 부실 문제에도 안일한 평가원의 태도다. 성기선 평가원장은 앞서 동아일보와의 통화에서 성적을 조회한 수험생을 두고 ‘대단한 애들’이라며 마치 전례 없는 일인 듯 표현했지만 실제로는 상당히 많은 학생들이 이미 이러한 방법을 실생활에 사용하고 있었다.
컴퓨터공학과에 재학 중인 대학생 A 씨는 2일 일요신문 인터뷰에서 “소스코드를 이용한 사이트 접속은 초보 수준의 컴퓨터 사용자도 조금만 배우면 쉽게 할 수 있다. 학교 시험 성적 확인 때 가장 많이 사용한다. 교수님께서 성적은 올려놓으셨다고 했는데 아직 성적 확인 기간이 안 되었다면 소스코드로 접속해서 미리 확인하는 거다. 코딩 배우는 요즘 학생들은 대부분 알고 있을 것이라고 생각한다”고 말했다.
A 씨는 취업 결과도 위와 같은 방법으로 미리 확인이 가능하다고 했다. 해당 기업의 홈페이지 개발자가 만들어 놓은 페이지 url(주소)을 토대로 페이지 소스 값을 유추한 뒤 마지막에 ‘/결과’식을 넣는 방식으로 수차례 도전한다는 것이다. A 씨는 “같은 과 동기들 다수가 이런 식으로 미리 결과를 보곤 했다. 미리 안다고 불합격이 합격으로 바뀌는 것이 아니니 크게 문제 삼지 않는 것 같다”고 말했다.
‘공정한 입시제도란 가능한가’에서 전국교직원노조 서울지부·참교육을 위한 전국학부모회 등 관계자들이 발언하고 있다. 사진=연합뉴스
그러나 수능의 경우 성적을 미리 알면 상황이 바뀌기도 한다. 일부 수험생들은 이러한 사실이 수면위로 드러나지 않고 몇 년 동안 반복되어 왔을 가능성도 배제하지 않고 있다. 특히 입시학원에서 이런 방법을 일찍이 알고 모의 지원서비스 등에 이용하지 않았겠느냐는 것이다. 수능 성적을 미리 확인할 경우 논술 등 다른 전형에 응시할지 여부를 결정할 수 있어 이른바 ‘수시 납치’를 방지할 수 있는 까닭이다.
대학 재학 중 올해 수능을 본 반수생 B 씨는 “2018년에 정시 성적이 훨씬 좋았지만 수시 때문에 지금 대학에 오게 됐고 올해 또 다시 수능을 보게 됐다. 현재 다니는 대학 등록금에 학원비까지 생각하면 1년이라는 시간과 돈을 잘못된 입시 전형 때문에 허비했다고 생각한다. 그런데 누군가는 이렇게 쉬운 방법으로 정보를 획득할 수 있었다니 여러모로 실망스럽다. 아무것도 믿을 수 없다”고 말했다.
그러나 전직 입시학원강사 C 씨는 이런 추측에 대해 선을 그었다. 그는 “학원에서 진행하는 모의 지원의 경우 수년간 쌓인 데이터를 기반으로 진행된다. 평가원에 로그인을 하려면 공인인증서가 필요한데 학생 전체에게 공인인증서를 받을 수도 없는 노릇”이라고 말했다.
평가원 관계자도 “홈페이지상 본인 외에 타인의 성적은 볼 수 없는 구조”라고 설명했다. 최초 성적 유출 또한 학생부종합전형 면접 일정이 모두 끝난 뒤인 오후 9시 56분으로 확인돼 대입 전형에 미친 영향도 현재로는 없는 것으로 파악됐다고 밝혔다.
한편 평가원은 성적을 조회한 수험생 312명을 대상으로 업무방해 혐의를 적용할 수 있는지 법률 검토에 나설 것으로 알려졌다. 그러나 교육계는 물론 여론의 반응도 좋지 않다. ‘이번 사건으로 국가기관의 보안 시스템이 터무니없이 허술하다는 사실이 드러났으므로 귀책사유는 오히려 평가원에 있는 것이 아니냐’는 의견이 지배적인 까닭이다.
여기에 교육부는 평가원에 대한 감사와 수사를 의뢰를 검토 중인 것으로 알려졌다. 평가원은 당초 예정대로 12월 4일 오전 9시부터 수능 성적을 발표할 방침이라고 밝혔다.
최희주 기자 hjoo@ilyo.co.kr