[단독] 클릭 몇번에 뚫린 수시합격조회 사이트..타 지원자 '등록 포기'도 가능

▲사진=‘유웨이어플라이’에서 제공하는 수시 모집 합격 확인 사이트 캡쳐. 

[쿠키뉴스] 정진용 기자 = 대학수학능력시험(수능)을 앞두고 대학이 수시 모집 합격자 발표에 나선 가운데 대표적인 원서접수 대행사 ‘유웨이어플라이’의 수시 합격 확인 웹사이트에 중대한 보안 허점이 발견됐다.

27일 쿠키뉴스 취재 결과, 이 사이트에서는 클릭 몇 번으로 다른 지원자의 개인 정보가 고스란히 노출됐다. 심지어 제3자가 지원자의 합격자 등록 여부를 좌지우지할 수 있는 것으로 나타났다. 

원서접수 대행사 유웨이어플라이는 ‘진학사’와 함께 수험생에게 공통원서 제출 서비스를 제공하고 있다. 공통원서 제출 서비스는 수험생이 공통원서를 한번만 작성하면 지원한 대학 여러 곳에 이를 제출할 수 있도록 하는 서비스다. 이 서비스를 이용해 일반대학 188개교, 전문대 135개교, 기타 5개교 등 대부분 대학에 지원할 수 있기 때문에 많은 고3 학생들과 ‘N수생’들이 이용 중이다.

문제는 단순 웹브라우저 소스 조작만으로 다른 지원자의 합격 결과 조회가 충분히 가능하다는 점이다. 유웨이어플라이를 통해 수시 합격자 발표 서비스 본인 인증 후 웹 상 간단한 수정을 거치자 타 지원자의 수험번호, 합격 여부, 장학 내역, 등록 여부 등의 민감한 개인정보가 화면에 떴다.

▲사진= 지난해 수능 성적 공식 발표 이틀 전 일부 수험생들이 한국교육과정평가원 성적 확인 사이트의 허점을 이용해 성적을 미리 확인해 논란이 됐다. 온라인 커뮤니티 캡쳐

더 심각한 것은 수험생이 마음만 먹으면 타 지원자의 합격자 등록과 포기 처리까지 좌지우지 할 수 있다는 점이다. 합격 포기 처리의 경우, 타 지원자의 주민등록번호만 추가로 알면 가능했다. 수험생뿐 아니라 수시 모집 지원자의 이름, 주민등록번호, 전화번호 등 기본적인 개인정보를 아는 그 누구든지 부정행위에 관여할 수 있는 잠재적 위험이 있는 셈이다.

익명을 요구한 한 IT기업 기술책임자는 “지원자들의 개인 정보를 HTML 문서에 날 것으로 노출 시키는 문제뿐 아니라, 부정행위에 대한 기본적인 방어책조차 전혀 강구되지 않았다”면서 “서비스 제공을 중지하고 전면적인 사이트 대공사가 필요해 보인다”고 지적했다.

유웨이어플라이는 같은날 한 사용자가 문제를 파악하고 알리기 전까지 결함을 전혀 인지하지 못하고 있었다. 기자는 유웨이어플라이 측에 상황 설명과 개선 계획 등을 물었지만 “담당자를 통해 문제를 파악한 뒤 (통화 당일 중으로) 답변을 드리겠다”는 대답 이후 연락이 닿지 않았다. 

지난해에도 초보적인 사이트 조작으로 수험생 312명이 수능 성적 발표 이틀 전 성적을 미리 받아 보는 초유의 사태가 발생했다. 이들은 한국교육과정평가원(평가원)이 제공하는 ‘수능성적증명서 발급 서비스’에 본인 인증 후 접속한 상태에서 소스코드를 ‘2019학년도’에서 ‘2020학년도’로 수정하는 방식으로 성적을 확인했다. 보안이 허술하다는 비판이 쏟아지자 성기선 평가원장은 결국 “추후 재발하지 않도록 대책을 마련하겠다”면서 사과했다.

jjy4791@kukinews.com