평가원, 성적 시스템 관리 허술…"종합 보안대책 마련"

성적 유출 논란에 " 재발 방지 총력"


[아이뉴스24 최은정 기자] 대학수학능력시험(수능) 관리를 맡고 있는 한국교육과정평가원 성적발급 시스템 관리가 허술한 것으로 나타나 논란이 되고 있다.

앞서 지난 1일, 고교 졸업생 312명이 평가원 사이트에서 수능 성적을 미리 확인한 것과 관련, 보안업계 관계자 등 전문가들은 평가원의 보안체계 등이 미흡했다는 지적이다.

이틀전 밤 한 졸업생이 성적표를 미리 볼 수 있는 방법을 인터넷 카페 게시글로 올려 다수에게 공유된 바 있다. 'F12'키를 눌러 사이트 내 소스코드를 열고, 기입된 연도 '2019'를 '2020'으로 바꿔 성적표를 출력할 수 있다는 내용이었다.

평가원은 3일 세종정부청사에서 브리핑을 갖고 해당 취약점이 기존부터 존재했다는 것을 확인, 이에 대한 보안 대책을 마련하겠다고 밝혔다.

이날 평가원은 종합적인 보안대책을 철저하게 마련, 재발 방지에 최선을 다하겠다고 밝혔다. 필요하다면 외부 보안전문가 활용도 적극 검토하겠다는 입장이다.

결과적으로 평가원 자체 실수라는 점을 시인한 셈이다.

평가원 측은 "수능성적 발급시스템 을 구축한 업체는 외주업체라 현재로선 말하기 곤란하다"며 "지금으로선 사건원인 파악 등 전반적 검토가 우선"이라고 말했다.

평가원도 부실 관리 책임에서 자유롭지 못한 상황이다.

보안업계에 따르면 통상 성적조회 기간이 아닌 경우 해당 서비스에 접근하지 못하도록 막아놓는 게 일반적이다. 가령 '지금은 조회 기간이 아닙니다' 등 공지를 띄우고, 접근을 막는 것.

단순 호기심에 조회 기간보다 앞서 미리 개인정보를 입력해 '엔터'를 누르는 경우를 대비해서다.

보안업계 관계자는 "성적 발표일을 이틀 앞두고 서버 점검 중이었다 해도 데이터베이스(DB) 내부망, 외부망 연결을 끊어놓았어야 했다"고 지적했다.

이어 "게시물을 통해 소스코드 취약점이 단순 공개됐지만 충분히 범죄로 악용될 소지가 있었다"고 우려했다.

한편, 평가원은 현재 다년 계약으로 2년째 유지보수·운영관리를 하고 있는 업체를 두고 있다. 이 업체와는 올해 계약이 완료되며, 내년 공개경쟁입찰을 통해 업체를 다시 선정하는 과정을 거치게 된다.

최은정기자 ejc@inews24.com

관련기사


포토뉴스