3월 모의고사 한 달 앞두고 성적 유출…평가원 서버 문제 없나

기사내용 요약
서울·부산·인천교육청, 평가원에 처리 위탁
평가원, 수능과 동일한 시스템 활용해 관리
채점·탑재 직접 진행하고 서버도 직접 관리
2019년에는 수능 성적표 사전 유출 사고
평가원, 지난해 11월 학평 성적 유출 이후
시스템 전반 점검…"특이사항 상시로 관찰"

[광주=뉴시스] 지난해 12월9일 오전 광주 남구 한 고등학교 3학년 교실에서 학생들이 2023학년도 대학수학능력시험 성적표 배부를 기다리고 있다. 2023.02.23. photo@newsis.com

[세종=뉴시스]김정현 기자 = 지난해 11월 치러진 대학수학능력시험(수능) 모의고사인 전국연합학력평가(학평) 응시 학생 27만 명의 성적 자료가 유출된 가운데 한 달 앞으로 다가온 3월 학평에서도 보안에 문제가 없을 지 관심이다.

서울시교육청이 주관하는 3월 학평은 한국교육과정평가원(평가원)이 성적 자료를 관리한다. 성적 자료가 탑재되는 평가원 시스템은 과거에도 보안 사고가 발생해 수능 성적표가 사전 유출되는 일이 있었다.

23일 뉴시스 취재를 종합하면 최근 문제가 불거진 지난해 11월 학평과 달리 오는 3월23일 치러질 학평은 시험을 주관하는 서울시교육청이 평가원에 성적 처리를 위탁할 예정이다.

평가원은 2002년부터 학평을 주관하는 각 시도교육청과 매 시험마다 위탁 계약을 맺은 뒤 답안지 배부 및 회수, 채점과 성적 처리 전반을 수행해 왔다.

학평은 서울·부산·인천 그리고 경기도교육청 4곳이 번갈아 가며 주관한다. 이 중 경기도교육청만 전국연합학력평가시스템(GSAT)을 구축, 지난 2018년 11월 시험부터 성적전산처리업체에 관리를 맡기고 GSAT 서버에 이를 탑재하는 방식으로 운영해 왔다.

서울·인천·부산 외 나머지 3곳은 다른 교육청들로부터 분담금을 걷어 평가원에 지급 후 성적 처리를 위탁해 왔으며, 올해 3월 학평도 현재 서울시교육청과 평가원이 성적 처리 위탁 계약 절차를 밟고 있다.

성적 처리를 위탁 받은 평가원은 '전국단위시험통합정보시스템'(CSAT)을 통해 이를 관리한다.

이 시스템은 학평 외에도 수능과 매년 6·9월 수능 모의평가, 시도교육청 주관 초·중등 교사 임용후보자 선정경쟁시험(임용시험) 관리에도 쓰이며, 서버는 위탁하지 않고 평가원이 직접 관리한다.

학평은 서버 관리자와 위탁 기관인 평가원 측 관계자, 시도교육청 담당자와 시험을 치른 학교 일부 교직원에 한해 CSAT 시스템에 접속할 권한이 생긴다.

교직원은 학교당 최대 7명까지 접속 권한을 부여 받을 수 있다. 대표 1명과 학년당 2명까지다.

이들은 CSAT에서 소속 학교별 응시인원을 입력할 수 있고 시험 후 성적 통지표, 성적 일람표, 참고자료, 채점불가자, 성적 출력 현황을 확인할 수 있다.

[세종=뉴시스] 대학수학능력시험(수능) 시행기관이자 전국연합학력평가 성적처리 위탁 기관인 한국교육과정평가원이 운영하는 '전국단위시험 통합정보시스템' 접속 화면. (사진=평가원 전국단위시험통합정보시스템 홈페이지 갈무리). 2023.02.23. photo@newsis.com *재판매 및 DB 금지

평가원은 성적 처리를 위탁 받은 학평 답안지 배부와 채점, 통계 처리, 탑재까지 직접 진행한다.

절차는 먼저 학교가 응시 인원을 CSAT 시스템에 입력하면 평가원이 별도 위탁 업체를 선정해 학생들의 OMR(광학표시판독) 답안지를 제작한다.

평가원은 응시 인원에 맞춰 각 교육청에 답안지를 배부하고, 시험이 끝나면 교육청별로 회수한 답안지를 넘겨받아 채점 후 그 결과를 직접 CSAT 서버에 탑재한다. 학교에서는 출력 가능 기간에 시스템에 접속, 성적표를 출력해 학생들에게 배부한다.

문제가 됐던 지난해 11월 학평 자료 유출이 어떤 경로를 통해, 어디에서 언제 이뤄졌는지는 아직 알 수 없으며 경찰이 수사를 진행하는 단계다.

경기도교육청은 성적 처리를 계약을 맺은 민간 업체에 위탁하고, 결과를 텍스트 파일이 담긴 이동식 저장장치(USB)로 넘겨받아 GSAT 서버에 탑재한 뒤 의정부 북부청사 보안 금고에 보관했다.

해당 시험은 지난해 11월23일 치러졌고, 성적 출력 가능 기간은 같은 해 12월12일부터 올해 1월6일까지였으나 도교육청은 이를 45일이 지난 19일까지 파기하지 않고 보관해 둔 상태였다.

평가원 측은 성적 관리를 위탁한 다른 학평 성적 결과 역시 일정 기간 CSAT 서버에 보관했다가 삭제하며 보관 기간은 주관 교육청과 협의한다고 밝혔다.

CSAT 시스템에서는 과거 2020학년도 수능 성적표가 일부 수험생에게 사전 유출되는 사고가 있었다.

당시 수능 시험일은 2019년 11월14일이었고, 성적 통지일은 같은 해 12월4일이었다. 당시 평가원 측이 밝힌 조사 결과, 졸업생 312명이 성적 발표를 이틀에서 사흘 앞둔 그해 12월1~2일 사이 서버 취약점을 이용해 성적을 조회하고 성적표도 출력했다.

성기선 당시 평가원장도 같은 해 12월3일 열린 2020학년도 수능 채점결과 발표 브리핑에서 "평가원의 일상적 보안에 대한 무딘 업무방식에서 비롯됐다고 보고 있다"며 고개를 숙였다.

교육부와 평가원, 시도교육청 등 관계 당국이 관리를 보다 철저히 해야 한다는 경각심을 가질 필요가 있다는 지적이다.

평가원 관계자는 "해당 사고 이후 정보 보안 사고 예방을 위한 정보 보안 전담부서를 신설했다"며 "정보 보안 시스템을 강화하고 수능 성적 처리 전담인력도 추가 배치 조치했다"고 설명했다.

지난해 11월 학평 유출사고와 관련해서 평가원 측은 "시스템 전반에 대한 점검을 실시했으며, 점검 결과 웹공격 등 특이사항은 없었다"며 "상시적으로 특이사항을 모니터링하고 있다"고 전했다.

☞공감언론 뉴시스 ddobagi@newsis.com