<이미지를 클릭하시면 크게 보실 수 있습니다> |
27일 쿠키뉴스 취재 결과, 이 사이트에서는 클릭 몇 번으로 다른 지원자의 개인 정보가 고스란히 노출됐다. 심지어 제3자가 지원자의 합격자 등록 여부를 좌지우지할 수 있는 것으로 나타났다.
원서접수 대행사 유웨이어플라이는 ‘진학사’와 함께 수험생에게 공통원서 제출 서비스를 제공하고 있다. 공통원서 제출 서비스는 수험생이 공통원서를 한번만 작성하면 지원한 대학 여러 곳에 이를 제출할 수 있도록 하는 서비스다. 이 서비스를 이용해 일반대학 188개교, 전문대 135개교, 기타 5개교 등 대부분 대학에 지원할 수 있기 때문에 많은 고3 학생들과 ‘N수생’들이 이용 중이다.
문제는 단순 웹브라우저 소스 조작만으로 다른 지원자의 합격 결과 조회가 충분히 가능하다는 점이다. 유웨이어플라이를 통해 수시 합격자 발표 서비스 본인 인증 후 웹 상 간단한 수정을 거치자 타 지원자의 수험번호, 합격 여부, 장학 내역, 등록 여부 등의 민감한 개인정보가 화면에 떴다.
익명을 요구한 한 IT기업 기술책임자는 “지원자들의 개인 정보를 HTML 문서에 날 것으로 노출 시키는 문제뿐 아니라, 부정행위에 대한 기본적인 방어책조차 전혀 강구되지 않았다”면서 “서비스 제공을 중지하고 전면적인 사이트 대공사가 필요해 보인다”고 지적했다.
유웨이어플라이는 같은날 한 사용자가 문제를 파악하고 알리기 전까지 결함을 전혀 인지하지 못하고 있었다. 기자는 유웨이어플라이 측에 상황 설명과 개선 계획 등을 물었지만 “담당자를 통해 문제를 파악한 뒤 (통화 당일 중으로) 답변을 드리겠다”는 대답 이후 연락이 닿지 않았다.
지난해에도 초보적인 사이트 조작으로 수험생 312명이 수능 성적 발표 이틀 전 성적을 미리 받아 보는 초유의 사태가 발생했다. 이들은 한국교육과정평가원(평가원)이 제공하는 ‘수능성적증명서 발급 서비스’에 본인 인증 후 접속한 상태에서 소스코드를 ‘2019학년도’에서 ‘2020학년도’로 수정하는 방식으로 성적을 확인했다. 보안이 허술하다는 비판이 쏟아지자 성기선 평가원장은 결국 “추후 재발하지 않도록 대책을 마련하겠다”면서 사과했다.
jjy4791@kukinews.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.