월척이오! 개인정보 낚는 피싱 공격

보안라이프/리뷰&팁 2019. 10. 11. 16:21

아이디, 비밀번호, 금융정보 등 소중한 개인정보를 노리는 피싱 공격!

점점 그 수법이 발달해 공격을 알아차리기가 어렵다는데요.

삼평동연구소에서 피싱 사례와 피싱의 위험성에 대해 알아볼까요? 

 

▼자세한 내용은 영상으로 확인하세요! 

 

 

삼평동연구소

스마트폰, 컴퓨터 안 쓰시는 분 거의 없으시죠? 조금만 더 알고 쓰면 스마트한 IT생활을 즐길 수 있습니다. ◈ 컴퓨터, IT 그리고 보안에 대한 이야기를 쉽고 재미있게 나누고자 합니다 ◈

www.youtube.com

댓글을 달아 주세요

디지털 세탁소, 디지털 장의사, “개인정보 모두 지워드립니다”

보안라이프/이슈&이슈 2014. 11. 10. 14:49

하루에 몇 통씩 울리는 스팸전화, 메일을 꽉 채워 지우기도 버거운 스팸메일. ‘개인정보’는 더 이상 ‘개인’ 소유가 아닌 듯하다. 인터넷 이용과 개인정보 수집은 불가분의 관계이기 때문에 이용자는 더욱 불안하다. 이런 상황에서 디지털 세탁소, 디지털 장의사라는 신종 서비스가 등장했다. 이름마저 생소한 이 서비스, 도대체 무엇인가!?


개인 정보 삭제 서비스, ‘디지털 세탁소’


<사진출처 : 미디어 오늘>

‘디지털 세탁소’를 쉽게 풀어 설명하자면 ‘개인 정보 삭제 서비스’로 말할 수 있다. SNS 및 온라인에 떠돌아다니는 사진이나 글 등을 지워주는 서비스를 제공한다. 일정 시간이 지나면 개인 기록이 자동적으로 삭제되거나, 필요시 SNS에 남긴 댓글까지 모두 삭제가능하다. 게시판 상 부정적인 글의 경우에는 ‘밀어내기’ 방법으로 SNS에서 눈에 띄지 않게 도와준다. 여기서 ‘밀어내기’란 긍정적인 글을 올려 불쾌한 게시 글을 밑으로 내리는 작업이란다.

선진국의 경우, 대표적 디지털 세탁소로는 ‘레퓨테이션닷컴’, ‘리무브유어네임’ 등의 업체가 있다. 우리나라의 경우 ‘산타크루즈’, ‘맥신코리아’ 등의 업체 디지털 세탁소 서비스를 운영중에 있다. 디지털 세탁소 서비스는 아직 보편화 되지 않아 적게는 수십, 많게는 수 백 만원의 비용이 든다. 그러나 과거의 흔적을 말끔히 지워준다는 장점아래 연예인, 기업인, 정치인부터 결혼을 앞둔 예비 부부, 취업 준비생, 일반인까지 디지털 세탁소 서비스를 이용하는 추세다.


사이버 언더테이커, ‘디지털장의사’


<사진출처 : 네이버>

‘디지털 장의사’. 디지털 세탁소 서비스 운영과 함께 신종 직업으로 떠오르고 있다. 이미 해외에서는 ‘디지털 장의사’를 ‘사이버 언더테이커(cyber undertaker)’라 칭하며 대중화 되고 있다. 디지털 장의사는 세상을 떠난 이후 온라인에 그대로 남아있는 자신의 흔적을 지우고 싶어 하는 소비자들을 위해 나타난 직업이다. 의뢰자는 사망 전 본인의 블로그 및 SNS등 각종 개인 정보를 안전하게 정리하도록 디지털 장의사에게 의뢰한다. 뿐만 아니라 고인의 가족들 도 고인을 위해 디지털 장의사를 찾는다고.

중앙시사매거진(2014년 9월 17일 자)에 따르면, 디지털 장의사를 찾는 사람들의 사례 중 이성친구와 교제 과정이나 채팅 등을 통해 찍었던 사진과 동영상이 퍼진 경우가 있었다. 고교생인 C양은 7년 전에 장난삼아 했던 화상채팅이 무단으로 녹화돼 유포되고 있는 걸 친구를 통해 최근에야 알게 됐다. 이미 파일공유사이트를 통해 널리 퍼진상태였다. C양은 “어렸을 때 했던 철없는 행동이 이렇게 크게 문제를 일으킬 줄 몰랐다” 한 디지털 세탁소 사이트를 방문하게 됐다고 한다.

그러나 디지털 장의사의 보완점도 있다. 국내법상 영리를 목적으로 개인정보를 수집하고 동의하는 건 가능하지만, 개인정보보호법상 제3자에게 아이디와 비밀번호를 알려주는 건 불법이라 디지털 장의사 제도를 도입하기엔 한계가 있어 보인다.


디지털 세탁소와 디지털 장의사의 등장은 ‘개인 정보 유출’ 및 ‘개인 사생활 관리’에 신경 쓰는 이용자가 많아 졌다는 것을 반증한다. 서비스 이용자들은 ‘잊힐 권리’를 주장해 이 서비스를 옹호한다. 그러나 더욱 중요한 것은 서비스를 이용 전에 개인정보관리에 더욱 힘써야 한다는 점이다. 늘어나는 개인정보 유출로 인한 서비스의 등장. 달갑지는 않지만 여러 방면으로 뻗어나갈 수 있는 장점이 많기에 앞으로의 발전을 기대해 본다.




  



대학생기자 김가현


"혼자 핀다고 봄인가요, 함께 피어야 봄이지요" 


 fkdhs3@gmail.com



 



댓글을 달아 주세요

  1. 필요하겠지만원천적으로 2015.01.19 10:38  Address |  Modify / Delete |  Reply

    필요하겠지만,원천적으로
    p2p,fc2.com 같은 불법 사이트들을 vpn,proxy 우회로포함 차단하여야 할 것 같구요
    그런 나쁜 짓 하는 사람들을 경찰들이 서에서 팅가팅가 놀지 말고 좀 잡아야 할것같습니다~

개인정보보호, 단순 관리 넘어 유출 차단까지

현장속으로/세미나 2013. 11. 4. 11:07

10월 23일 코엑스컨벤션센터 그랜드볼룸에서 '안랩 ISF 2013(AhnLab Integrated Security Fair)'이 개최되었다. 안랩은 IT 트렌드 변화 속에서 기업의 비즈니스 환경을 위협하는 차세대 보안 위협 및 법적규제(Compliance Issue)에 대한 최신 정보와 함께 대응 전략을 제시했다. '규제 준수(Security Compliance)', '진화하는 위협(Advanced Threats)', '시큐리티 인사이트(Security Insight)'의 3개 트랙에서 총 12개의 주제 발표가 진행되었다.

그 중 김재열 SW개발실 수석연구원의 <개인정보보호의 진화, 관리를 넘어 '유출 차단'까지>를 들어보았다. 그는 개인정보보호의 범위가 개인정보 관리나 검색 위주에서 유출 차단까지 하는 형태로 진화했다고 강조했다. 다음은 주요 내용.  

개인정보보호법의 핵심

개인정보보호법은 작년 3월 시행되었는데 전체 조항은 많지 않다. 그 중 29조를 보면 전체 개인정보보호법이 말하는 바가 다 담겨있다. 올해 개인정보보호법 개정이 크게 3가지에서 이루어졌다. 과태료가 상승되었고, 주민등록번호는 과거에는 동의가 있으면 수집할 수 있었으나 현재는 수집 금지되었다. 그리고 기업대표 또는 임원이 처벌대상에 포함된다. 이것은 처벌수위 대상이 높아졌기 때문에 그만큼 법이 강화된다는 것이다. 개인정보보호법은 아직 활성화가 부족하지만 앞으로 발전할 것이라고 생각된다.

개인정보보호법이 헷갈리다면 2011 43호 지침을 읽어보면 굉장히 자세하게 나와있다. 이 지침은 개인정보보호법에 기술적인 부분을 어떻게 할지에 대한 체계적인 설명을 볼 수 있다.

 

<개인정보보호를 위한 기술적 보호조치 근거 조항>

제5조 비밀번호 관리

개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성 규칙 수립/적용

제6조 접근통제 시스템 설치운영

개인정보가 인터넷홈페이지, P2P, 공유 설정 등을 통하여 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치

제7조 개인정보 암호화

암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장

제9조 보안프로그램설치운영

보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 1일 1회 이상 업데이트를 실시

이것으로는 조금 부족하다고 느낀다면 모든 파일이 어떻게 생성되고 파기되는지 전체를 관장할 수있는 개인정보 통합 유통 관리가 필요하다. 기술적으로 조금 어려울 수도 있으나 작년 금융권에서 안랩이 참여하여 구축을 했다.

다음으로 검색조항을 살펴보면 검색시간이 어마어마하게 오래 걸린다. 백신은 파일을 탐지할 때 패턴을 보고 판단하지만 검색은 문장을 분석해야 한다. 그렇기 때문에 검색 시간이 오래 걸린다. 또한 검색했던 것을 암호화하는 것이 불안정하다. 또 개인정보보호법에 의해 굉장히 들어가야 할 것들이 많기 때문에 서버가 너무 많아 서버관리자들이 필요하다. PC 에이전트 또한 엄청난 수로 필요하게 된다. 그러다보면 검색시간이 6시간 정도 소요된다. 이는 CPU를 굉장히 많이 사용하게 된다.


뉴런 검색(Neuron Search) 기술

안랩이 이런 부분을 해결하기 위해 3초 만에 검색을 하는 기술을 개발하였다. 패러다임을 바꿔 뉴런 DB를 구축했다.

뉴런 DB는 PC에 있는 개인정보 DNA를 DB화를 미리 해놓는것이다. 검색이라는 절차를 완전히 없애버리고 뉴런 DB를 최초에 한번 구축해 놓으면 그 다음부터는 실시간으로 개인정보를 생성될 때만 생성정보를 뉴런 DB로 업데이트하는 것이다. 이때 걸리는 시간이 3초 이내이다. 이런 방법으로 검색의 절차는 사라지는 것이다. 항상 나의 PC 상태가 개인정보를 몇 개 갖고 있는지 실시간 유지해주는 상태로 발전하는 것이다.


개인정보유출 방지 솔루션

개인정보 유출의 79%가 퇴직 직원에 의해 동영상, 휴대폰 등 다양한 방법으로 이루어진다. 내부 정보 유출을 방지하는 솔루션 중 DLP 솔루션은 네트워크가 지나가는 패킷을 분석하기 때문에 불완전하다. 또한 구축비용이 많이 들며 네트워크 트래픽을 모두 분석하기 때문에 네트워크의 성능을 저하시킬 수 있다. 이러한 문제를 해결하고자 안랩은 패턴을 보지 않고 행동 기반 복합 분석을 수행하는 뉴런 엔진(Neuron Prevention Engine)을 개발해 제공한다.  

<뉴런 엔진의 특징>

-탐지 범위 : 알려지지 않은 문서 유출 기법을 완벽하게 방어

-성능 : 이벤트 발생 시점에만 리소스를 사용하기 때문에 최저 수준의 리소스 사용

-통합관리 : APC 기반의 통합 관리

-출력물 : 프린터 접근 제어 및 워터마크 지원

안랩의 개인정보 유출 방지 솔루션인 '안랩 프라이버시 매니지먼트 스위트'는 실시간 검색, 자동 격리 등 개인정보 현황 파악 및 조치는 물론, 유출까지 탐지 및 차단하는 진일보한 솔루션이다. 안랩은 개인정보 파일 유통 통합 관리 시스템을 구현해 개인정보 파일의 유통 관리 및 개인정보보호 효과를 극대화한다. 이로써 개인정보 문서를 안정적으로 유통하고, 개인정보 유출 사고에 대비하는 한편, 통합 관리 및 모니터링할 수 있다. Ahn 


 대학생기자 임지연 / 덕성여대 컴퓨터학과

  

 

댓글을 달아 주세요

  1. 어설 2013.11.04 14:57  Address |  Modify / Delete |  Reply

    좋은 정보였습니다~!!!

개인정보보호법 시행 2년, 무엇이 달라졌나

현장속으로/세미나 2013. 4. 11. 07:00

2013년 3월 26일, 서울 교육문화회관 가야금홀에서 G-PRIVACY 전국 공공·지자체 개인정보보호 컨퍼런스가 개최되었다. 행사는 9시 30분부터 오후 5시 30분까지 진행되었으며, 컨퍼런스 외에도 전시회 부스가 마련되어 참석자의 다양한 참여를 유도하였다.

컨퍼런스에서는 개인정보보호법에 대한 실무교육과 성공 구축 사례를 소개했으며, 참석 대상은 전국 공공/지자체/교육기관 개인정보보호 책임자와 개인정보 취급자 등이었다.

500여 명이 참가한 컨퍼런스 현장

개인정보보호 컨퍼런스에 참석하여 안전행정부 한순기 과장의 발표로 진행된 '개인정보보호 실태 진단 및 정책소개' 발표를 취재해 보았다. 다음은 주요 내용.

1. 현황

개인정보보호 현황은 4가지 단계로 나눌 수 있다. 보안에 대한 기본적인 인식은 되어있으나, 보안에 대한 실질적인 대비는 하지 않고, 그로 인해 치명적 손실을 입게 되는 식으로 단계를 밟아간다. 또한 개인정보의 활용은 늘어가는데, 그에 대한 보안 대책은 제대로 세워지지 않고 있는 실정이다. 보안에 대한 인식의 전환을 통해 보안에 힘써야 한다.


2. 법 시행 개요 및 성과

2011년 9월부터 시행된 개인정보보호법은 모든 개인정보처리자를 규율하며, 개인정보 처리에 대한 기본원칙을 정립하며, 정보주체의 권리 및 피해 구제를 강화한다.

<개인정보보호법의 주요 내용>

1) 수집이용 및 제공 제한 : 정보주체 동의 원칙/ 명확한 고지/ 필요 최소성, 목적 명확성 원칙

2) 저장 관리시 의무사항: 관리·기술·물리적 안전성 확보조치/ 처리 위탁 및 양도시 제한사항/ 개인정보 파기조치

3) CCTV 설치운영 제한: CCTV 설치목적 제한/ 개인영상물 안전관리 및 제공 제한

4) 권리 구제 및 보장: 개인정보 열람, 정정삭제, 처리정지 요구/ 유출통지 및 신고제/ 집단분쟁조정 및 단체소송

이로써 2012년에는 관계법령을 일괄 정비하고 개인정보보호 가이드 라인을 마련하고 배포하는 등의 법 시행 후속조치가 이루어졌으며, 범 정부 대책이 마련·추진되고, 침해 예방 및 실태 검사가 진행되었다. 또한 체계적인 교육과 홍보를 시작하고 취약분야의 현장 지원책을 마련하는 등의 성과를 이루었다.


3. 12년 관리 수준 진단

12년 관리 수준 진단 결과, 중앙부처나 시도에 비해 지방 공기업의 개선이 요구되며, 위탁 관리나 침해예방 및 관리 활동 또한 개선이 필요하다는 결론을 내렸다.

이와 같은 결론에 따라 위탁업무 관리를 개선하기 위해 개인정보 처리 업무를 위탁하는 경우, 처리에 관한 사항을 문서화하고, 수탁자 교육 및 관리, 감독을 강화하기로 하였다. 또한 개인정보 처리 시스템에 대한 접근 권한과 접속 기록을 정기 점검 하도록 하였으며, 개인정보 파일을 누락없이 등록하여 기관별로 등록항목에 대한 보완을 즉시 조치할 수 있도록 하였다.


4. 향후 계획

안전행정부에서는 2012년에 구축된 개인정보보호에 대한 기반으로 2013년에 제도를 안정화하고, 2014년에는 개인정보보호 수준을 제고하는 단계로의 전략을 세우고 있다. 2013년의 주요 업무 계획은 민관 협업의 보호수준의 향상, 법 제도에 대한 개선 및 보호 강화, 합동 점검 및 실태개선, 기술지원 및 교육 등이다.

이제 개인정보보호는 특정 부서만의 일이 아니다. 개인정보보호 책임자와 시스템운영 관리자와 개인정보 취급자가 함께, 업무를 단계 별로 체크해야 한다.


대학생 기자로서 참가한 이번 컨퍼런스를 통해 개인정보보호법에 대한 폭넓은 이해를 할 수 있었다. 또한 안전행정부를 비롯한 한국인터넷진흥원 및 여러 기업이 개인정보보호를 위해 어떤 노력을 하고 있는지 자세하게 들여다 볼 수 있었다. 우수한 성과도 많지만, 아직 개선해야 할 점도 많다. 보안은 특히나 커뮤니케이션이 잘 이루어져야 하는 부분이므로, 보안을 특정 부서만의 일이 아닌 기업 전체의 일로 여기고 함께 노력해야 할 것이다. Ahn


 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.

댓글을 달아 주세요

뒤늦은 개인정보보호법, 제대로 알고 감시하자

보안라이프/이슈&이슈 2011. 10. 19. 10:10

올해 들어서만도 대형 포털사 회원 3500만 명의 개인정보가 유출된 것을 비롯해 인터넷 이용자 대부분의 정보가 유출됐다 해도 과언이 아닐 정도로 사고가 끊이지 않는다. 한 통계에 따르면 1인 당 2번 이상 개인정보가 유출되었다고 한다. 

이런 상황을 보면 9월 30일부터 전면 시행된, 개정된 개인정보보호법의 발효가 뒤늦은 감이 없지 않다. 대형 사고가 터지기 전에 시행되었다면, 사고를 예방할 수 있지 않았을까? 

그렇다면
개인정보보호법 개정의 필요성은 언제부터 대두했을까. 2008년 4월 대표적 경매 사이트에서 중국 해커에 의해 1000만 명이 넘는 개인정보가 유출됐다. 이때 유출된 개인정보는 보이스피싱, 광고, 스팸 등 추가 범죄에 악용됐다.  


2008년 4월 기사에 '연내 제정'이라는 말이 눈에 띈다. 하지만 법안은 보류되었다. 인터넷 쇼핑몰, 정유회사 등에서 또다시 대규모 개인정보유출 사건이 터지자 정부가 보안 대응 없이 방치한 책임이 크다는 비판이 빗발쳤다.

2010년 4월 국회 행정안전위원회 법안심사소위원회(제3차)를 통해 최종적으로 ‘개인정보보호법’ 제정과 관련한 논의가 이루어질 것으로 예상됐다. 그러나 이날 법안심사소위에서는 아예 논의조차 되지 않은 채 법안심사소위가 폐회되고 말았다. 그리고 2010년 9월, 국회 법안소위를 통과해 개인정보보호법 제정이 속도를 내는 듯했지만, 새해 예산 등 쟁점 문제로 무산되고 말았다.

그러다 2011년 3월, 3.4 디도스 공격과 금융사 두 곳의 해킹 등 대규모 사이버 테러가 3건이나 터지고 나서야 뒤늦게 개인정보보호법이 국회를 통과하고 3월 29일 공표됐다. 개인정보보호법이 시행되기까지 3년이 걸린 것이다.

그렇다면 이토록 힘들게 개정된 개인정보보호법은 개인, 사업자에게 자연스럽게 받아들여지고 있을까? 3월 공포 이후 6개월의 시간이 있었지만 그동안 홍보나 인식이 없었던 것이 사실이다. 대형 포털의 사고 후에야 관심을 보이면서 쫒기듯 대응할 기업이 한두 군데가 아닐 것이다. 법 개정으로 적용 사업자가 50만에서 350만 사업자로 확대됐으나 자신이 해당되는 사업자인지도 모르고 넘어가는 게 대다수라고 한다.

이렇다보니 개인정보보호법은 '범법자 양산법'이란 비아냥도 나온다. 이에 대해 김남석 행전안전부 차관은 "시행 초기에는 업격한 법 집행보다 6개월 가량 계도 기간을 두고 처벌보다 개선 중심의 현장 정검을 강화할 것"이라고 전했다.

개인정보보호 홍보대사 개그맨 박영진, 김영희 씨

어떤 제도나 법도 시행 초기에 즉시 효과를 보기는 어렵다. 법을 준수해야 하는 것은 기업이고, 기업은 사용자의 정보를 수집, 관리하는 데 비용 투자를 해야 하기 때문에 저항이 있을 수밖에 없다. 하지만 신뢰할 수 있는 사회를 만드는 일인 만큼 책임 있는 자세를 보여주어야 할 것이다. 사용자는 스스로 권리를 지키기 위해 기업이 법을 잘 준수하는지 지켜볼 필요가 있다. 그러나 본인의 개인정보를 스스로 보호하는 것이 최우선임을 기억하자.  

그런 면에서 안철수연구소가 진행하는
'개인정보보호 캠페인'을 눈여겨볼 필요가 있다. 또한 행정안전부(http://www.mopas.go.kr/)와 개인정보보호 종합지원시스템(http://privacy.go.kr)에서도 개정된 개인정보보호법과 기업, 개인, 공공기관 별 가이드라인을 받을 수 있으며 교육 등의 정보를 얻을 수 있다. Ahn    

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 

 

댓글을 달아 주세요

  1. 라이너스 2011.10.19 10:58  Address |  Modify / Delete |  Reply

    잘보고갑니다.^^
    좋은 하루되세요^^

  2. ssook 2011.10.19 15:50  Address |  Modify / Delete |  Reply

    좋은정보 감사합니다~ 제 블로그에 글 퍼담기 해도 될까요??

잇단 개인정보유출, 금융권 해킹 어떻게 막을까

현장속으로/세미나 2011. 5. 17. 05:00

징검다리 휴일이 끼어 있는 5월이다. 우리에게는 간만에 찾아온 단비와 같은 연휴이다. 하지만 , ‘사이버 테러리스트’들에게는 ‘하나의 기회’가 될 수 있다. 감시가 소홀해지는 틈을 타서 ‘사이버 테러’를 일으킬 수 있기 때문이다. 두 달 전 각종 언론 매체와 실시간 검색어에서 ‘사이버 테러’와 관련된 말을 볼 수 있었다.

출처 : http://sweetinside.tistory.com/457

바로 '3.4 DDoS 공격'이다. 공격자는 평일 업무를 마감하고 주말이 시작되기 전인 금요일 저녁에 공격을 계획했다. 하지만, 사전에 그 정황이 포착되자 계획을 바꾸어 오전부터 공격을 감행했다. 이처럼 공격자는 보안 관리가 소홀해질 수 있는 시기를 공격 시점으로 계획한 것이다.
 
‘3.4 DDoS’ 외에도 최근에 고객 개인정보 유출, 금융기관의 보안 사고 등이 잇달아 발생했다. 
3월 16일 대한상공회의소에서는 기업 정보보호 이슈를 논하는 ‘Security Forecast 2011’ 세미나가 열렸다. 다양한 주제 가운데
 최근 핫이슈인 개인정보보호법에 근거해 기업이 갖춰야 할 개인정보보호 문제와, 금융 IT의 현재와 미래 전략 내용을 요약 소개한다.
기업이 갖춰야 할 개인정보보호 수준 -  YOUME 법률사무소 전응준 변호사

3월 11일 국회 본회의에서 ‘개인정보보호법’이 통과됐다. 이 법은 어떠한 인식에서 발의되었는가?

첫째, 2009년 통계 결과 개인정보 침해 사고는 3만 건에 달했다. 하지만, 침해 사고 중 68%는 정보통신망법(이하 망법)에 의한 보호를 받지 못했다. 이처럼 개인정보 침해 사고는 그 동안 법의 사각지대에 놓여 있었다. 둘째, 기존 망법은 컴퓨터에 의해 처리되는 개인정보에 대해서만 효력이 있었다.

9월부터 시행되는 ‘개인정보보호법’은 컴퓨터에 의하여 처리되는 개인정보 외 손으로 기록된 문서(오프라인 영역)를 모두 포함한다. (참고: 정보통신 분야는 개인정보보호법 제정 이후에도 망법을 따른다.)

한편, 개인정보 수집 시에 ‘최소한의 개인정보 수집에 대한 입증 책임은 사업자가 부담한다'는 항목이 있다. 이 항목에 때문에 웹사이트에서 회원 가입 시 동의 절차에서 문제가 생길 수 있다. 보통 동의를 하지 않으면 가입이 안 되는데, 만약 이 문제를 개인이 법적 문제 제기를 할 경우 사업자는 ‘최소한의 정보’라는 것을 증명해야 한다.

또한 ‘개인정보 영향평가’라는 항목이 새로 생겼다. 영향평가를 안 하는 기업은 소니, 현대캐피탈 사태와 같은 개인정보 유출 사고 시에 손해배상 책임 범위가 더 커질 것으로 예상된다. 그리고 이전에는 개인정보 유출 사고 시 기업 혼자 끙끙 앓았다. 그리고 기업 자체적으로 문제를 해결한 다음 없었던 일로 해왔던 것이 관례이다. 하지만, 앞으로는 지체 없이 해당 정보 주체에게 사실을 알려야 한다. 그리고 KISA와 같은 전문 기관에 지체 없이 신고해야 한다. 신고를 안 하고 있다가 피해가 확대되면 담당자가 그 부담을 안게 된다.
 
 
개인정보보호법의 의의
1. 법 적용 사업자 영역 확대 : 개인정보 보호를 업무 프로세스에 적용해야 한다.
2. 개인정보의 보호 범위 확대 : 종이 문서에도 보안, 보호를 해야 한다.
3. 개인 고유 식별 번호 보호 강화 : 주민등록번호와 같은 고유 식별 번호를 사용하지 못 하는 경우도 생길 수 있으므로 기업의 비즈니스 모델도 변화할 것 같다.

개인정보보호법이 시행되면 기업의 사회적 비용이 추가될 것이다. 그러나 개인정보 보안은 전세계적인 트렌드이므로 기업이 꾸준히 잘 대응해서 자사에 맞는 사업 모델, 프로세스를 정립하는 것이 좋다.

금융 IT의 현재와 미래 전략 – 고려대 김인석 교수

- 금융 IT의 현재 -
  
금융 거래 이용 수단을 보면 인터넷 뱅킹은 적정선에서 계속 유지되고 있다. 반면, 모바일 뱅킹은 점점 더 늘어나고 있다. 스마트폰 가입자가 늘어나는 것이 모바일 뱅킹에도 영향을 준 것이다.

사고, 장애 현황을 보면 2009년까지는 ‘노출된 개인정보’를 이용한 사고가 많았다. 그러나 2010년부터는 사고 발생 수는 감소했으나 신용카드 복제 사고, 시스템 마비 등의 새로운 사고가 발생했다. 특히 DDoS 공격 시에는 금융업계에서는 항상 대응을 하고 있어서 큰 문제가 없었다. 이번 3.4 DDoS는 7.7 때와 거의 비슷한 공격이 들어와서 큰 피해가 없었다. 하지만, 큰 피해가 없었던 것이 대응을 잘하는 것이라고 볼 수 있을까? 아니다. 지금과는 다른 형태의 공격이 올 수 있다는 것을 생각해서 방어 대책을 마련해야 된다.

- 금융 IT의 변화-

IT 인프라가 변화하고 있다. 그 중 항상 휴대할 수 있는 개인 디바이스(예: 스마트폰)가 눈에 띄게 발전하고 있다. 이로 인해서 편의성과 효율성이 증대했다. 그리고 NFC(Near Field Communication), IPTV 등 신개념의 거래 수단이 확대되고 있다. NFC를 이용해서 신용카드 결제와, 전자화폐 충전(예: T-Money) 등이 가능하다. 현재 IPTV 뱅킹이 있는데, 이것이 활성화하려면 PC와 Phone이 결합된 스마트폰처럼 PC와 TV가 결합되는 IPTV의 업그레이드가 필요하다.

IT 인프라의 변화에 따라 새로운 위협이 발생할 수 있다. 클라우드 컴퓨팅 환경을 겨냥한 위협, DDoS 등 해킹 공격이 증가할 것이다. 그리고 다양한 거래 채널이 만들어진다는 것은 그만큼 다양한 공격 루트(route)가 생긴다는 것으로 볼 수 있다.

한편, 개인정보보호법이 제정됨에 따라 주민등록번호나 계좌번호와 같은 정보를 암호화해야 한다. 하지만, 무조건 법에서 요구하는 대로 한다면 상당한 비용과 시간이 소요될 것이다. 그러므로 현재 시스템에서 수용 가능한지 봐야 할 것이다. 

출처 : http://thetaekwonvlab.tistory.com/45

- 변화에 대한 대응-
 

금융감독원에서는 기존 인터넷 뱅킹과 유사한 기준을 스마트폰 뱅킹에도 적용하기를 바란다. 하지만, 기존 정책을 그대로 적용하면 새로운 기기의 사용과 발전을 저해할 수 있음을 고려해야 한다.

사용자는 우선 확인되지 않은 무선망을 이용하지 말아야 한다. 불법 무선공유기를 이용하여 비정상적인 서비스 접근을 유도하는 위협이 발생할 수 있기 때문이다. 또한 암호화가 제대로 안 된 무선망도 사용하지 말아야 한다. 스마트폰에서 계좌 정보 같은 중요 정보가 빠져나갈 수 있기 때문이다. 한편, NFC를 이용하면 가져다 대기만 해도 결제가 되는데, 이때 본인 확인을 어떻게 할 것인가가 문제다. 이에 대한 해결책으로는 스마트폰에 지문 인식 기능을 넣는 것이 있다. 지문 인식처럼 생체 정보가 보안에 가장 좋을 것 같다.

계속되는 IT 환경 변화에 신속하지 않으면 경쟁을 할 수 없을 것이다. 그리고 신속한 대응이 없다면 사고 및 장애가 일어나기 마련이다. 이런 사고들은 여러 기관에 치명적인 영향을 줄 수 있다. 이처럼 강화되는 IT 거버넌스(Governance)는 피할 수 없는 현실이다. 그 동안 보안에 대한 계획은 많이 해왔다. 앞으로는 그 계획을 실천해야 하는 중요한 시기라고 생각한다. Ahn

대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 안철수연구소 대학생기자 김재기입니다.


댓글을 달아 주세요

사이버 테러 당했을 땐 이렇게 대처하라


세계 최고의 IT 국가라고 불리는 대한민국. 이제 인터넷은 우리의 생활이 되어 버렸다. 그러나 우리나라의 고도의 정보통신망의 역기능으로 해킹, 바이러스 유포는 물론이고 전자상거래 사기, 명예훼손 등 다양한 수법의 사이버 범죄가 발생하여 사이버 공간의 안전을 위협하고 있다.

특히, 지난해 나라 전체를 혼란에 빠트렸던 7.7 DDoS 공격으로 우리는 사이버 범죄의 위험성을 경험했다. 그렇다면 우리의 사이버 보안은 누가, 어떻게 책임지고 있는 것일까? 민간 부문의 대표가 안철수연구소라면, 공공 부문의 대표 중 하나는 경찰청
사이버테러대응센터(이하 사이버센터)일 것이다. 협력운영팀 김태균 경감의 친절한 안내에 따라 사이버센터가 어떤 일을 하는지, 사이버 테러를 당했을 때 어떻게 대처하는 게 좋은지 들어보았다.

사이버테러대응센터 김태균 경감


-사이버센터가 하는 일은 무엇입니까?


경찰청은 사이버 공간에서 일어나는 범죄를 크게 사이버 테러형 범죄와 일반 사이버 범죄로 구분합니다. 사이버 테러형 범죄는 해킹, 바이러스 유포와 같이 고도의 기술적인 요소가 포함되는 정보통신망 자체에 대한 공격 행위이며, 일반 사이버 범죄는 사이버 공간을 범죄의 수단으로 하는 전자상거래 사기, 저작권 침해, 명예훼손 같은 것입니다. 그런데 사이버 범죄가 사이버 상에서 멈추는 것이 아니라 현실에까지 영향을 미치니 더 큰 문제가 되는 거죠. 이에 저희 사이버 경찰은 사이버센터를 중심으로 일선 경찰서에 이르기까지 국민이 피부로 느낄 수 있는 치안 서비스를 제공하려고 노력합니다.


사이버센터에는 4개의 부서가 있어요. 민원 상담, 사이버 범죄 분석 및 수사 기획을 담당하는 기획수사팀과, 디지털 증거 분석 및 사이버 수사 비법을 개발하는 기술지원팀, 해킹, 악성코드 범죄 등 주요 사이버 범죄를 수사하는 수사팀, 그리고 제가 속한 협력운영팀입니다. 협력 운영팀은 수사팀을 행정적인 면에서 도움을 주기 위해 국내외 협력 업무를 담당합니다. 국내 협력은 보안 업체 등 사이버와 관련되는 민간 공동 기관과 대외 협력을, 국제 협력은 인터폴과 아시아태평양 지역 국가 사이버 수사기관과의 협력을 말합니다.

-사이버센터는 언제 만들어졌고 몇 명이 관련 일을 하는지요?

사이버센터는 1997년에 5명으로 출발했다. 그 후 인원이 늘어 2000년 7월에 지금의 형태를 갖추었다. 사이버 범죄를 담당하는 인원은 경찰청에만 약 70명, 각 지방 청마다 6~10명, 경찰서마다 최소 2명의 사이버 담당관이 있다. 전국적으로 약 900명에 이른다. 

-사이버수사요원이 되려면 어떻게 해야 하나요?

경찰공무원 특별 채용 제도가 있어 매년 15~30명씩 채용합니다. 채용되면 경장으로 임용되어, 향후 5년 간 서울 등 16개 지방청에 배치, 사이버 수사 분야에 전종하게 됩니다. 채용과 관련된 자세한 사항은 웹사이트(http://www.netan.go.kr)에서 볼 수 있습니다. 

자료 수집을 위해 PC 3대를 놓고 작업하는 김태균 경감


-사이버 테러를 당했을 때 어떻게 신고하면 되나요?


신고 방법은 두 가지에요. 관할 경찰서에 신고하는 것과 인터넷 사이버센터 민원방에서 접수하는 것. 행정 업무 처리상 계정지를 관할하는 경찰서로 사건을 보내게 되어 있어서 경찰청으로 들어오는 신고도 분석해서 계정지를 관할하는 경찰서로 보내게 되죠. 계정지가 없는 명예훼손 같은 경우에는 명예를 훼손한 사람이 사는 관할 구에서 사건을 담당하게 돼요.

-접수되는 신고 중에는 어떤 유형이 가장 많은가요? 최근에는 어떤 범죄 유형이 나타났나요?  


들어오는 사건 중 거의 절반인 47%가 사기에요. 최근의 범죄 유형도 사기인데
, 일단은 사기 중에서도 게임 아이템 사기가 제일 많아 60%정도에 달합니다. 그런데 금년 3월에 아이템 거래 사이트가 청소년 유해 매체물로 고시되어서 게임 거래 사이트를 통해서 아이템을 거래할 수 없게 되어 9월부터는 많이 줄었습니다.

그리고 메신저 피싱이 많은데, 피해를 줄이기 위해 지난해 9월부터 SK커뮤니케이션즈와 협약을 맺어 메신저 피싱을 유도하는 문구가 나타나면 경고문이 나오게 했습니다. 또한 경고 문구 끝 부분에 '신고하기' 메뉴도 있어 바로 신고할 수 있게 했습니다.

 

-기억에 남는 사건은 무엇인가요?

 

대표적 온라인 쇼핑몰 해킹 사건, 수능 시험 문제 유출 사건, 영화 '해운대' 사건, GS칼텍스의 정보 유출 사건 등이 기억에 남네요. 사이버 쪽에서의 시끄러운 사건들은 거의 대부분을 우리가 담당하거든요 


사이버 테러 수사의 국제 공조를 위한 네트워크가 지도에 표시돼 있다.


-사이버 테러에 대응하는 데 애로사항은 무엇인가요?

 

일단은 사이버 피해는 신속하고 광범위하다는 특징이 있습니다. 그런 만큼 우리가 신속하게 대응하지 못하면 증거가 사라지기 때문에 신속이 가장 중요합니다. 또한 급변하는 흐름에 맞춰 분석 기법을 빠르게 개발, 적용해야 합니다. 환경의 변화를 따라잡아야 한다는 것이 사이버 범죄를 다루는 수사관들의 애로사항이겠죠

그리고 DDoS 사건과 같이 큰 사건은 미리 치밀하게 설계를 하여 외국 서버를 거치게 됩니다. 따라서 국제 공조를 하지 않으면 사건을 해결하기가 어렵습니다. 세계 각국 수사기관들이 공조를 중요하게 여기지만, 그럼에도 국제 기준이나 절차, 시간 등의 문제로 많은 어려움이 따릅니다. 실제로는 인적 네트워크를 통해 많은 정보를 얻습니다.


-우리나라만의 사이버 수사 분석 기법을 보유하고 있다고 들었습니다. 이런 기법들을 
타국 수사기관에서 배워가는지 궁금합니다.


미국을 비롯해 영국, 프랑스, 독일까지 선진 4개국과 사이버 수사 협력약정을 체결해 주기적으로 주요 사건 개요 및 수사 기법 등을 공유합니다. 2006년 11월 자부심이 강하기로 유명한 미국 연방수사국(FBI)도 '사이버수사대와 사이버 범죄 수사 및 디지털 증거분석 분야'에서 협력약정(MOU)를 체결했고, 2005년 영국 하이테크범죄대책단(NHTCU), 프랑스 경찰청(OCLCTIC)에 이어 2007년 독일 연방범죄수사청 중대범죄조직국과 협력 약정을 체결했습니다. 

-일반인들의 보안의식이 어느 정도이고, 높이기 위해서 어떻게 해야 할까요?

2008년 모 쇼핑몰 개인정보유출 사건과 2009년 DDoS 공격 사건 이후 보안의식이 높아졌다고 느낍니다. DDoS 공격 때는 자신의 PC가 봇(Bot)에 감염이 되었지만, PC가 조금 느려졌을 뿐 직접적인 피해는 없었습니다. 하지만 마지막 단계에서 하드디스크를 파괴하는 직접적인 피해가 있었기에 보안 및 백신에 대한 의식이 높아졌다고 생각됩니다.

보안의식을 높일 수 있는 방안에는 여러 가지가 있겠지만, 정품 소프트웨어 사용을 부탁하고 싶습니다. 운영체제에서 보안상 취약점이 발견될 경우 개발사에서 제공하는 패치를 적용해야 하는데, 불법 복제품 사용자의 경우 패치를 받을 수 없어, 취약점에 노출되기 쉽습니다. 

-일반인이 사이버 테러를 당했을 때 어떻게 대처하는 게 가장 좋은가요? 

일반인이 당하는 피해는 주로 해커의 경유지로 쓰일 때 발생합니다. 이때의 대처 방법은 사실 매우 간단합니다. 경유지로 이용당한다든지, DDoS 공격에 악용되는 경우에는 더 큰 피해가 발생하지 않도록 인터넷 선을 빼고, 최신 보안 프로그램으로 치료해야 합니다. Ahn


대학생 기자 변종민 / 경기대 산업공학
주변 사람들은 나를 보고 근성가이라 한다. 나 또한 가진 것이 젊음과 근성 하나라고 믿고 있다. 지칠 줄 모르는 도전 정신과 끈기로 미래의 정보보안감사사가 되는 것이 목표인 24살 청년. 목표를 이루기 위해 한 단계, 한 단계 나아가고 있는 그는, 대학생 시절 소중한 경험과 추억을 담아가기 위해 보안세상 대학생 기자로 활동 중이다.

대학생기자 대학생기자 허보미 / 이화여대 국어국문학과

봉긋한 꽃망울, 스쳐지나가는 바람에도 애정 갖기.
세상에 대한 호기심을 간직한 채 글로 소통하길 꿈꾼다.




대학생기자 고정선 / 서울시립대학교 경제학부
어둡다고 불평하기보다는 점차 익숙해지기를 기다려 작은 불빛을 내편으로 만드는 것이 더 낫다.  현재에 상황에 불평하기보다는 현재의 상황을 더 즐기는 방법을 찾는 것을 좋아한다.  좋은 시절의 꿈은 위대하듯 지금의 꿈을 더 크게 하기 위해 열심히 노력 중이다.


 



댓글을 달아 주세요

  1. 하나뿐인지구 2010.02.08 11:34  Address |  Modify / Delete |  Reply

    경찰서...신고하러 갔더니...복잡하던데...
    kt에...도용피해가 있어서...제 명의로 가입 못 하게 해달랬는데...그게 안 된다네요...
    이런 것만 있어도...도용피해 사례는 없을텐데요...
    ...
    ps>월드오브워크래프트하는 사람인지...중꿔인지...나쁘다는...

  2. 2010.02.08 11:39  Address |  Modify / Delete |  Reply

    비밀댓글입니다

  3. 스마일맨 2010.02.08 12:03  Address |  Modify / Delete |  Reply

    당하면...
    여기에 말하면 처리해 주시겠죠? ㅎㅎㅎ
    안당하길 바래야 하는데... ㅜㅜ

  4. 악랄가츠 2010.02.09 01:18  Address |  Modify / Delete |  Reply

    인터넷선부터 당장 뽑아야 되는군요! ㄷㄷㄷ
    후우... 아예 정말 중요한 자료는 인터넷 연결하지 않은,
    컴퓨터에서 작업해야겠네요! >.<

  5. 요시 2010.02.11 20:06  Address |  Modify / Delete |  Reply

    유익한 정보군요! ㅎㅎ

김홍선 CEO가 말하는 가정PC 노리는 위협

안랩人side/김홍선 前 CEO 2009. 9. 12. 15:56

 


최근 안철수연구소 김홍선 CEO는 색다른 경험을 했다. 백화점 문화센터가 주최하는 강연에 참석한 것이다. 주로 기업이나 공공기관에서 강연을 많이 한 터라 주요 청중이 다른 곳에서 어떻게 이야기를 풀어갈까 고심을 많이 했다는 후문이다. 당일 목동 현대백화점 문화센터 강의장에는 주부 외에 초등학생, 대학생, 중년 남성 등 매우 다양한 청중 100여 명이 자리를 가득 채웠다.

그래서 더 새로웠던 특강에서 김홍선 대표는 '한국 IT의 현주소를 통해 본 가족 PC의 보안 위협 상황과 예방법'을 주제로 이야기를 시작했다. 청중은 최근의 보안 이슈에 공감하며 이목을 집중했다. 김홍선 대표의 강연회 현장을 온라인으로 중계한다.

 

2009 7 7 DDoS는 우리 가족과 무관하다?

지난 7월 7일 DDoS 공격 발생 당시, 다른 공격과 달리 왜 그랬는지 그 의도를 알 수가 없어서 그 코드를 분석하기가 더 어려웠다. 기존 DDoS 공격은 공격을 중단하는 것을 대가로 돈을 요구하는 협박을 목적으로 하지만, 7.7 DDoS 공격은 아직까지도 그 정확한 의도를 파악하지 못했다.

그런데 이 DDoS는 과연 우리 가족과는 아무런 관계가 없을까? DDoS 공격은 인터넷 상의 수많은 PC들에 악의적인 공격용 프로그램을 무작위로 분산 설치하여, 특정한 날짜, 주기 또는 해커의 신호를 통해 특정, 불특정 목적지를 향해 다량의 패킷(packet)을 전송하는 공격이다.
즉, 개인이 사용하는 PC를 악용해 특정한 웹 서비스나 서비스를 제공하는 서버를 공격하는 것이다. 따라서 가정용 PC도 이 공격을 하는 주체가 되는 것이다.

 


급증하는 피싱, 예외는 없다!


대출을 미끼로 한 금융 사기나 악성코드(해킹)를 이용해 ID, 비밀번호를 유출하여 그 정보를 이용하는 사례가 끊임없이 나온다. 은행이나 전자상거래 기업 등 유명 기관을 사칭하여 피싱 메일을 보내고, 위장된 홈페이지에 개인 정보를 입력하도록 유도한 뒤 수집한 정보를 악용하는 신종 금융 사기 수법이다.

 

또한, 작년 우리나라를 놀라게 한, 기업의 개인 정보 유출 사고로 인해 많은 국민이 피해를 입었다. 금융사기나 개인정보 유출은 친구 얘기도 아닌, 옆집 이웃 얘기도 아닌 바로 나의 이야기이다. 기업끼리의 개인 정보 공유로 그 피해가 더 커지고, 유출된 개인정보로 블랙 마켓이 형성되어 지금도 우리의 개인 정보가 서로 교환되고 있을지도 모른다. 이 블랙 마켓의 시장 규모는 짐작도 어려울 만큼 무한히 커가고 있는 실정이다. 이런 개인 정보 유출로 인해 보이스 피싱과 같은 2차 범죄로 이어질 가능성이 커서 개인 정보 보안에 더욱 더 관심을 가져야 한다


우리가 흔히 쓰는 컴퓨터, TV, 냉장고, 인터넷 이 모든 것이 IT이다. 그것을 작동하는 모든 것은 소프트웨어이다. 쉽게 말해서 껍데기에 생명을 불어넣는 것이 바로 소프트웨어라고 할 수 있다. 이런 모든 것 IT + software + creative + global 키워드가 유기적으로 연결되어 우리의 일생 생활에 편히 쓰인다. 아날로그 기반에서 인터넷 기반으로의 상호 유기적 연결의 변화로 우리 생활은 많은 변화가 이뤄지고 있다. 아날로그 전화와 아날로그 TV를 인터넷 전화와 인터넷 TV로 바꾸는 가정이 늘어난다.

하지만, 문제는 다양해진 감염 경로와 인터넷은 아직까지 신뢰할 수 없는 글로벌 공간이다이제는 TV, 인터넷 폰 모두 PC와 같아지고 있다. 이런 지식 기반 환경에서 
정보보안은 핵심이자 근간이다. 사용자 각자가 보안에 신경 써 정보보안이 더 튼튼해져야 지식 기반 사회도 튼튼해질 수 있다.

 

가정 PC 생활에서 나타나는 보안 위협

 

아버지의 PC 생활 – ‘오늘은 또 어떤 사건이 있었나?’

어머니의 PC 생활 – ‘어제 선덕여왕을 못 봤는데.. 우리 덕만이 어떻게 됐지…

아들의 PC 생활 – ‘친구한테 온 메일 체크해볼까?’

딸의 PC 생활 – ‘~~ 이번에 빅뱅 새 앨범이 나온다던데!!’

 

이런 단순한 일반적인 기사 스크랩, 정보 검색, 웹 검색, 드라마 다운로드 등 일상적으로 우리가 행하는 인터넷 생활은 곳곳에 악성코드가  많이 숨어있다
 

자동차가 개인 소유이지만 도로에 나올 때는 법, 규칙, 에티켓을 지켜야 하는 것처럼 PC 또한 개인 소유이지만 인터넷에 연결할 때는 자기 관리, 적극 참여, 에티켓을 지켜야 한다. 따라서 관리되지 않은 PC는 음주운전자의 자동차와 같다따라서, 자동차를 정기적으로 안전 점검하듯, 지속적인 관리가 우리 PC를 지키는 방법이다. Ahn

 

대학생기자 고정선 / 서울시립대학교 경제학부

어둡다고 불평하기보다는 점차 익숙해지기를 기다려 작은 불빛을 내편으로 만드는 것이 더 낫다.  현재에 상황에 불평하기보다는 현재의 상황을 더 즐기는 방법을 찾는 것을 좋아한다.  좋은 시절의 꿈은 위대하듯 지금의 꿈을 더 크게 하기 위해 열심히 노력 중이다.

 

댓글을 달아 주세요

  1. 요시 2009.09.12 20:41  Address |  Modify / Delete |  Reply

    안철수 연구소 사이트 가드가 지켜주세요!ㅋㅋㅋ

  2. 10대의비상 2009.09.14 10:43  Address |  Modify / Delete |  Reply

    ‘꺄~~ 이번에 빅뱅 새 앨범이 나온다던데!!’



    ..................

    어디선가 많이 본 ...........나의모습ㄷㄷㄷㄷㄷㄷㄷ

  3. 엔시스 2009.09.24 21:32  Address |  Modify / Delete |  Reply

    김대표님은 일반인들에게 자주 다가가는 기회를 많이 가지시는 것 같습니다. 건승하길 바라겠습니다..

    • 보안세상 2009.09.25 06:24 신고  Address |  Modify / Delete

      엔시스님 늘 관심과 배려 고맙습니다.

      김 대표님은 직원들에게도 소통을 가장 강조하고 계십니다. CEO로서 블로그 운영을 비롯 가장 솔선수범하시기도 합니다.

      행복한 하루되세요.

  4. 도용아닌mbti 2009.12.23 10:05  Address |  Modify / Delete |  Reply

    어제 선덕여왕 끝나는 거 봤는데...
    비담은...장비 같은 사람이 맞는 것 같다는...무식하고...단순하고...ㅋ...