뉴스
2019년 12월 03일 11시 25분 KST

수능 성적 유출 사태, 가장 초보적인 취약점 때문에 뚫렸다

"수능 사이트의 시스템 수준으로 보기엔 크게 미흡하다”

뉴스1
.

 2020학년도 대학수학능력시험 성적 발표를 이틀 앞두고 터진 ’수능 성적표 유출′ 사태는 가장 초보적인 홈페이지 취약점 공격으로 뚫린 것으로 확인됐다. 

사전 유출 과정은 1일 오후 9시 56분에 시작됐다. 수능 성적증명서 발급 시스템에 접속해 2020학년도 수능 점수를 최초 확인한 접속자가 한 시간쯤 뒤 한 인터넷 커뮤니티에 자신의 수능 성적표와 함께 ”이 성적대로(으로) OO대 탈출 가능한가요?”라는 글을 올렸다. 게시글을 본 사람들이 ‘조작 아니냐’고 의심하자 최초 접속자가 성적을 확인하는 방법을 올렸다. 이후 한국교육과정평가원이 사태를 인지하고 2일 오전 1시 33분까지 총 312명이 이와 같은 방법으로 자신의 2020년학년도 수능 성적을 미리 볼 수 있었다. 

성적표가 유출된 메뉴는 2019학년도 이전에 수능을 치른 수험생들이 성적 증명서를 발급하는 페이지다. 2019학년도에 수능을 치렀다면 입력값을 ’2019′로 입력해 수능 성적을 확인하는 과정이다. 이 과정에서 소스코드에 접속해 입력값을 ‘2020’으로 바꾸는 방식으로 2020학년도 수능 성적증명서를 조회했다. 고3 수험생이 아닌 재수생 이상만 확인할 수 있는 방법이었다. 

동아일보에 따르면 김승주 고려대 정보보호대학원 교수는 “처음에 웹사이트를 개발할 때 간단한 숫자 변경만으로 이런 문제가 발생하지 않도록 꼼꼼히 챙겼어야 했는데 이를 체크하지 않은 것”이라면서 “다른 사이트도 아니고 수능 사이트의 시스템 수준으로 보기엔 크게 미흡하다”고 밝혔다.

수능 성적 유출이 수시모집이 마무리되기 전인 1일 이전에 발생했다면 ‘대형 사고가 날 뻔했다’는 지적도 나왔다. 임성호 하늘교육종로학원 대표는 ”수험생 한 명이 수시에서 6곳을 지원하는데, 300명이 자신의 점수를 알고 움직였다면 입시 전체가 흔들렸을 것”이라면서 “(점수 유출이) 하루만 일찍 터졌더라도 수시 정시 모두 흔들릴 뻔했다”고 말했다. 

이번 사태가 불거진 것에 대해 교육과정평가원은 ”수능 성적 출력 서비스, 웹 성적 통지 서비스, 성적증명서 발급 서비스, 대학 수능 성적 온라인 제공 서비스 등 수능 관련 서비스 전반의 취약점을 점검하겠다”면서 ”면밀히 분석해 대책을 수립하겠다”고 밝혔다.

PRESENTED BY 일동제약