[보안 바로 알기 캠페인] #4 : 위장 악성코드 바로알기

보안라이프/이슈&이슈 2013. 7. 11. 11:07

Masquerade. 익숙하지 않은 영단어입니다. 뜻이 참 재미있는데요, 명사로 쓰일 때는 가장무도회가장이라는 뜻도 있고, 동사로 쓰일 때는 ‘~~인 체하다’, ‘~~라고 자신을 속이다’, ‘~~으로 변장하다라는 뜻이 있습니다. 갑자기 웬 영어단어 이야기냐구요? 안랩의 보안 바로알기(Know the security), 캠페인의 네 번째 이야기가 바로 이 위장 악성코드에 대한 것이라, 관련해서 재미있는 영어단어로 시작해 보았습니다.

 

악성코드임을 알면 누구도 그 파일을 내 PC에 설치하기 싫어할 겁니다. 그래서 악성코드 제작자들은 자신의 악성코드를 PC에 침투시키기 위해서 자연스럽게 위장이라는 방법을 택했습니다. 이 위장의 범위는 정말이지 너무나 다양해서 모두 설명하기는 어렵습니다. 한마디로 사람을 속일 수 있는 방법이면 뭐든지 다 사용하는데요, 지금부터 어떤 위장의 형태를 사용하고 있는지 대표적인 형태를 알아보겠습니다.

 

 

유명 프로그램 및 앱 위장

이 위장 형태는 그야말로 고전이라고 볼 수 있습니다. 컴퓨터 바이러스의 시조라고 할 수 있는 ‘Brain’ 바이러스도 컴퓨터 프로그래머 형제가 불법 복제하는 사람들에게 자그마한 복수를 하기 위해 자신들의 프로그램에다가 살짝 끼워넣은 것이니 위장이라면 위장일수도 있겠습니다.

 

위장(사칭)하는 프로그램은 일반 사무용 프로그램에서 인기 게임 고득점 프로그램까지 그야말로 다양합니다. PC에서 사용 가능한 모든 프로그램이 그 대상이라고 봐도 무방합니다. 재미있는 것은 악성코드로부터 PC를 지켜주는 백신 프로그램을 위장(사칭)하는 경우도 심심찮게 발견 된다는 것입니다. 특히, 특정 지역에서 인기가 높은 백신이 사칭의 대상이 되는데요, 우리나라의 경우 안랩의 V3를 사칭한 경우도 있었고, 외신을 살펴보면 맥아피사와 시만텍사의 제품을 사칭한 경우도 자주 보고되기도 합니다. 이 때문에 가끔씩은 제품에 문제가 있다는 오해를 사기도 하지만, 바꿔 말하면 가장 신뢰받는 제품을 위장 대상으로 삼는다고 할 수 있습니다.

 

최근에는 스마트폰을 비롯한 모바일 환경이 확산됨에 따라 모바일 악성코드도 기승을 부리고 있는데요, 이들도 대부분 인기 앱을 사칭하는 경우가 많습니다. 주로 인기 게임을 사칭하고, 여기서도 보안 제품을 사칭한 경우도 있었습니다.

 

따라서 PC나 모바일에서 프로그램(모바일의 경우 앱)을 다운로드 받을 때, 제작자를 반드시 확인하고, 출처가 불분명하거나 평판이 좋지 않다면 설치를 자제하는 것이 좋습니다. 또한, 업체에서 제공하는 보안 패치는 빠지지 않고 제때 설치해야 합니다.

 

문서 파일 위장

모르는 사람에게서 메일을 받았을 때, 첨부파일에 ‘.exe’파일과 ‘.pdf’파일 중 어떤 것을 더 쉽게 열어볼까요? 워드나 한글, PPT 등의 문서파일 등을 위장하면 사람들이 의심 없이 열어보기 쉽습니다. 열어 보더라도 실제 관련 내용을 보여주고, 보이지 않는 뒷단에서 악성코드 설치를 시도하기 때문에 사용자가 알아채기도 어렵습니다.

 

최근에 북핵관련 문서, 출장보고서, 조류독감 안내문 등 다양한 주제의 문서를 위장한 악성코드가 발견되기도 했습니다. 이런 이 악성문서는 문서 편집 프로그램이나 뷰어 등에 에 존재하는 알려진, 혹은 알려지지 않은 보안 취약점을 이용해 PC에 침투합니다. 보안 패치가 되어 있지 않은 문서 편집 프로그램이나 뷰어로 악성문서를 열면 악성코드에 감염되는 것입니다.

 

이런 문서를 위장한 악성코드는 요새 APT(지능형 지속 위협)방식의 공격에 사용된 사례가 보고되기도 했습니다. 이러한 위협을 피하기 위해서는, 출처가 불분명한 문서파일을 받았을 때는 실행하지 않는 것이 좋습니다.

 

메일 위장

위장하면 주요 정보로 위장한 악성 이메일을 빼놓을 수 없습니다. 보안 업계의 자료에 따르면 APT공격의 90%에 악성코드를 첨부한 이메일이 사용되었습니다. 그 정도로 위장 메일은 보안 위협, 특히 표적 사이버 공격에 자주 사용되고 있습니다.

 

최근의 경우만 보더라도 은행 공지, 이메일 청첩장, 금융사 정보, 통화 및 카드 명세서, 유명 국제 운송회사 송장, 페이스북 관리자, 교통 범칙금까지 매우 다양한 내용 및 발신자로 위장한 악성메일이 발견되었습니다. 이런 악성메일은 대부분 첨부파일을 실행하도록 유도하고 있는데, 이를 실행하는 순간 PC에 악성코드가 침투합니다. 특히, 최근에는 국내에서는 실제와 구분하기 어려울 정도로 유사하게 제작된 신용카드 거래 명세서를 위장한 경우가 있었고, 해외에서는 글로벌 운송회사의 화물추적 및 운송장을 위장한 사례가 꾸준히 발견되고 있습니다.

 

피해 예방을 위해서는 메일의 발신자를 반드시 확인해야 합니다. 사칭한 메일 계정은 정상 계정과 비교해 어딘가 다른 부분이 있게 마련입니다. 또한, 호기심을 자극하는 내용이더라도 문법이 조금 틀리다거나, 어색한 표현 등 조금이라도 수상한 점이 보인다면 메일 및 첨부파일을 열어보지 않는 것이 좋습니다.

 

 

위의 경우 이외에도 악성코드가 위장하는 방법은 더욱 다양해지는 동시에 교묘해지고 있습니다. 악성코드 피해를 줄이기 위해서는 세가지만 기억하시길 바랍니다.  

1)백신 최신 버전 유지

2)프로그램 제작사에서 제공하는 보안패치 제때 설치

3)발신자가 불분명한 메일 및 첨부파일, 첨부 URL 실행 금지

 

회사나 가정에서 개인이 조금만 주의해도 보안위협은 크게 줄어들 수 있습니다.

 

* 보안 바로알기 캠페인의 각각 내용들은 현재 진행 중인 "안랩 UCC 콘테스트"의 소재로도 이용할 수 있습니다

댓글을 달아 주세요

  1. 임지연ㄴ 2013.07.11 21:42  Address |  Modify / Delete |  Reply

    좋은글 잘봤습니다!

[보안 바로 알기 캠페인] #3 : 보안 종결론

보안라이프/이슈&이슈 2013. 6. 20. 10:00

미모 종결자,게임 종결자, 동안 종결자 등등 참 종결할 일도,종결자도 많은 세상입니다.이런 추세를 탄 것인지 보안 종결론도 스르륵 등장을 했는데요,안랩의 보안 바로알기(Know the security), 캠페인 세 번째 시간은 보안 종결론에 대해 자세히 알아보겠습니다. 

보안 종결론은 그야말로 이것만 하면, 혹은 이것만 했었다면, 반대로 이것만 하지 않으면 보안은 모두 다 해결 된다는 주장입니다.현대의 보안은 다양한 측면을 가지고 있습니다.집을 예시로 들자면,현관뿐만 아니라 창문,담벼락,지붕과 마당 등 수많은 보안 포인트가 있습니다.보안 종결론은 이 수많은 포인트 중 하나만 지키면 절대 도둑이 들지 않는다는 주장과 다를 바가 없습니다.특히, 최근의 보안사고의 피해를 감안할 때 이는 매우 위험한 주장이라 할 수 있습니다. 

특정 솔루션/방법론 종결론

특정 솔루션 혹은 방법론만 도입하면 보안에 대한 걱정은 안하셔도 됩니다!” 이렇게 듣기 좋고, 편한 말이 또 있을까요?하지만 쉬운 길과 어려운 길이 있을 때 대부분의 해답은 어려운 길이라는 말처럼 보안에 왕도 혹은 100% 보안은 존재하지 않습니다. 

최근 대형보안 사고가 생긴 이후, 다양한 국내외 보안업체에서 공격적인 마케팅 메시지를 전파했고, 그 중에는 자사의 특정 제품이나 방법론을 도입하면 모두 해결 된다고 오해할 만한 소지가 있는 내용도 있었습니다. 

예를 들어, 최근 핫 이슈로 떠오르고 있는 망분리라는 방법론이 있습니다. 이는 외부 인터넷망과 내부 업무용 망을 분리해서 인터넷을 타고 들어오는 악성코드가 내부 시스템에 침입하는 위협을 줄인다는 아이디어입니다. 쉽게 말하자면 인터넷 전용 PC와 업무용 프로그램 전용PC, 두 대를 사용한다고 생각하면 되겠습니다. 실제로 두 대를 쓰는 경우도 있고, PC에서 두 대처럼 사용하는 방법도 있습니다. 실제로 두 대를 쓰는 경우도 있고, PC에서 두 대처럼 사용하는 방법도 있습니다. 이런 분리방식은 분명 보안 위협을 많이 줄일 수 있습니다. 

이와 관련해 안랩의 망분리 솔루션의 기획자는망분리가 완료된 영역에 대해서는 지속적인 관리를 하고, 각기 다른 기업 IT 환경에 의해 망분리가 불가능한 영역에 대해서는 집중적으로 방어책을 보완한다면 조직 내 보안 위협을 획기적으로 감소시킬 수 있다고 말합니다. 

하지만도입만 해 놓으면 별다른 노력 없이 모든 보안 공격을 다 막을 수 있다는 생각은 금물입니다. 이는 마치 훌륭한 방패를 사서 유지관리 없이 계속 전쟁에 사용하는 것과 같습니다. 지속적인 관리노력이 없다면 방패는 언젠가 깨져버릴 것입니다. 

백신 종결론도 이와 같은 맥락으로 볼 수 있습니다. 보안 바로알기 캠페인 첫 번째 시간에 백신만으로는 충분하지 않다는 내용을 이미 말씀 드린 바 있지만, (http://blog.ahnlab.com/ahnlab/1777) 아직까지도나는 백신 설치하고 자동 업데이트를 해놨으니까 괜찮아라고 생각하시는 분들이 대단히 많습니다. 

다시 한번 정리를 드리자면. 백신은 알려지지 않은 악성코드(unknown)에 대한 선제적 예방(Proactive)솔루션이 아닌알려진 악성코드에 대한 대응적(reactive) 방어책입니다. 백신의 대응은 새로운 악성코드 수집에서 분석, 엔진 업데이트까지 시간차가 발생할 수 밖에 없습니다. 따라서 백신 설치로만 모든 악성코드와 보안 위협을 모두 막을 수 있다는 생각은 금물입니다. 

이와는 반대로, 백신이 아무 소용 없다는백신 무용론도 등장하고 있습니다. 이는 몇 번 도둑을 맞았다고 현관의 자물쇠를 없애버리는 것과 같은 것입니다. 최근의 APT 공격과 같은 보안 위협은 기업 및 조직의 서버나 네트워크에 직접 침투하는 것이 아니라 개인 PC에 먼저 침투하고, 내부 중요 IT인프라에 침입하는 방식이 주를 이루고 있어, 백신은 기본 옵션으로 생각해야 합니다. 

진정한 보안 종결자는?

여러분입니다.,이 글을 보고 있는 여러분 말입니다.이 말은 모든 보안 사고의 책임이 개인 사용자에게 있다는 말이 아닙니다.이는 기관과 기업,개인이 모두 보안위협과 하루하루 맞서서 보안에 대한 노력을 꾸준히 기울여야 한다는 뜻입니다. 

최근 보안위협의 경향은 상대적으로 보안이 약한 개인 사용자를 노리거나,표적 기업에 종사하는 개인의 PC를 감염시킨 후, 권한 상승을 통해 내부 시스템에 접근하는 방식입니다. 

기업이나 정부 관련 부처의 경우 진정으로 보안을 종결짓기 위해서는 먼저 진화하고 있는 보안위협을 이해하고 이에 대한 최적화된 방어책 및 제도를 수립하는 것이 필요합니다. 여기에 그치지 않고 주기적인 보안교육, 실제와 같은 보안 훈련 및 상황 체크 등을 실시해 보안 위협을 줄여나가는 것이 필요합니다.이 과정에서 보안 책임자에 대한 권한과 책임 부여도 매우 중요한 부분입니다.

개인의 경우,자신의 작은 행동이 조직이나 사회 전체에 대한 보안 위협의 시작이 될 수 있음을 인식하고 보안과 사용자 편의성을 조금 교환하는 자세가 필요합니다.이런 마음과 함께 1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다. 

* 보안 바로알기 캠페인의 각각 내용들은 향후 있을 "안랩 UCC 콘테스트"의 소재로도 이용할 수 있습니다

댓글을 달아 주세요

[보안 바로 알기 캠페인] #2 : APT 바로 알기

보안라이프/이슈&이슈 2013. 6. 12. 08:21

최근 신문이나 방송에 나오는 보안뉴스 중 빠지지 않고 등장하는 것이 바로 ‘APT.’ 도대체 이 APT가 무엇이길래 이렇게 자주 등장할까요? 일부에서는 현 보안 기술로는 도저히 막을 수 없는 공격으로까지 말하고 있지만, 적을 알고 나를 알면 못 막을 공격이란 없습니다.

 

APT 공격은 아파트 공격?

옛날 악성코드 공격엔 낭만이 있었다!” 최근에 들은 어느 보안 전문가의 농담 아닌 농담이었습니다. 실제로 최초의 악성코드는 자신들이 만들던 소프트웨어 불법복제에 대한 조그마한 복수(?)였고, 초창기 악성코드의 경향을 살펴보면 자신의 실력 과시용이 대부분이었으니 저런 푸념도 영 틀린 것은 아니라 할 수 있겠습니다.

 


이런 낭만의 시대(?)를 거쳐 보안위협은 APT라는 새로운 장을 열게 됩니다. 지난 포스팅에서도 잠깐 말씀 드렸듯 세계적 언론사 뉴욕타임스 정보유출, 007처럼 중동지역 국가기관을 상대로 다년간 정보유출을 시도한 플레임악성코드, 소니와 해커들간의 대결, 주요 IT 기업의 기밀 탈취 공격인 오퍼레이션 오로라’, 이란 원전 시스템을 노린 스턱스넷 악성코드, 그리고 국내 방송사와 금융기관을 노린 3.20 사이버테러까지 모두 APT 공격이었습니다.

 

APT 공격이란 아파트 공격이 아니라 ‘Advanced Persistent Threat’의 약자로 지능형 방법으로(Advanced), 지속적으로(Persistent) 특정 대상에게 가하는 보안 위협(Thereat)’을 뜻합니다. 특히, 여기서 과거의 불특정 다수를 노렸던 보안위협과 가장 차별화 되는 부분이 바로 하나의 대상을 정해서 성공할 때까지 공격한다는 점입니다.

 

영화 같은 APT 공격의 유형

영화에서 나오는 해커는 항상 허름한 청바지에 롹음악을 시끄럽게 들으며, 감자칩과 콜라를 먹던 손으로 어떤 시스템에 접속하기 위한 암호를 입력하고 있습니다. 물론 여기서 화면은 영화를 처음보는 사람이라도 알기 쉬울 정도로 친절하게 구성되어 있구요. 그리고 해커는 약간 표정을 찡그리다가 이내 웃으며 빙고~’라고 외치며 내부 시스템에 접속합니다.

 

해커의 방이나 옷차림은 개인의 영역이니 간섭할 수 없지만 현재의 APT 공격은 이보다는 더 복잡한 아래와 같은 과정을 거칩니다.

1) 목표 설정 및 사전 조사 -> 2) 악성코드 최초 감염 -> 3) 내부망으로 확대 및 백도어 및 툴 설치 -> 4) 권한 상승 및 탈취 -> 5) 내부인프라 장악 -> 6) 보안 사고유발

 

위의 단계에서 가장 영화와 같은 부분이 사전 조사 및 최초 감염의 단계입니다. 목표를 설정한 후에 해커는 내부에 침입하기 위해 부단한 노력을 합니다. 처음부터 중앙 시스템이나 서버 등에 접근할 필요가 없습니다. 왜냐하면 사실 기업/기관의 중요 시스템에 대한 보안은 대단히 단단해서 이를 처음부터 뚫기란 매우 어려운 반면, 개인PC를 먼저 장악한 뒤 합법적인 권한을 획득해 내부로 들어가는 것이 훨씬 더 쉽기 때문입니다.

 

최초감염 된 이후에 해커는 들키지 않고 내부망을 돌아다니며 취약점을 찾거나 지속적으로 정보를 유출합니다. 중동지역의 정부기관이나 기업을 노린 플레임악성코드는 약 2년간 PC에 상주하며 화면에 표시된 내용과 특정 대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화 내용 녹화, 메신저 내용 탈취 등 각종 기밀 정보를 탈취해왔습니다. 따라서 최초감염이 가장 중요한 단계라고 보안 전문가들은 이야기하고 있습니다.

 

최초 감염을 하기 위해 해커는 회사 홈페이지, 컨퍼런스 참여 정보, 행사 정보를 통해 임직원의 이름과 연락처를 수집하거나 SNS, 블로그, 인터넷 쇼핑몰 등에서 표적으로 삼은 시스템, 프로세스는 물론 내부직원과 협력업체 직원 등 목표에 접근할 수 있는 모든 부분을 조사합니다. 이후 믿을만한 지인이나 회사 등으로 가장하는 사회공학적(social engineering)기법의 공격을 감행합니다. 또한 목표기관이 사용하고 있는 백신이 자신이 만든 악성코드를 탐지 하는지 못하는지 사전에 테스트를 하기도 합니다.

 

사회공학적 기법이란 쉽게 말해, 여러분의 호기심을 자극하는 방법입니다. 만약 여러분이 직장 인사팀이름으로 온 연봉계약서 통지라는 메일을 받는다면? 학교 교수/선생님 이름으로 온 학기 계획표라는 메일을 받는다면? 메신저 프로그램으로 친구에게 같이 찍은 사진이라며 URL링크를 받는다면? 프로그램 신규 업데이트를 실행하라는 메시지를 받는다면? 이를 실행하지 않을 사람이 몇 명이나 될까요? 참고로 해외 기관의 조사에 따르면 APT성 공격에 가장 많이 사용된 것은 악성 피싱 이메일 (Spear phishing mail)’이라고 하네요.

 

그런데 그것이 나랑 무슨 상관?

네 맞습니다. 이런 APT 위협의 대상은 대부분 기업입니다. 해커에게 주로 금전적 이익이 되는 정보들은 기업이 가지고 있기 때문입니다. 그런데 문제는 이런 돈 되는 정보가 대부분 나의 개인정보와 관계가 있는 경우가 많다는 점입니다. 실제로 최근에는 이렇게 탈취한 개인정보와 안드로이드 악성코드를 결합한 것으로 추정되는 소액결제 피해를 입은 실제사례가 발생하기도 했습니다. 결국 기업을 노린 APT공격이 개인에게까지 피해를 입힌 셈입니다.

 

그리고 APT가 정보유출만 관련 된 것이 아닙니다. 만약 해커가 예전 스턱스넷 악성코드로 원전을 노렸던 것과 같이 국가 기간 시설을 공격할 시에는 더 큰 피해가 발생할 수도 있습니다. 전기사용이 끊기고 전산망이 마비되면 금융거래가 멈출 수도 있고, 주식을 사고 팔 타이밍을 놓칠 수도 있고, 내가 주문한 옷이 주문 삭제가 되었을 수도 있으며, 기껏 만들어놓은 기말 레포트가 사라질 수도 있습니다.

 

내가 뜻하지 않게 가해자가 될 수도 있습니다. 예를 들어 내가 자전거 온라인 동호회 회원인데, 해커가 목표로 삼은 기업의 임()원도 같은 동호회의 회원이라고 가정합시다. 보통 APT공격자는 사전 준비 단계에서 이 정도는 다 조사합니다. 만약 내가 보안에 소홀해서 내 메일 계정과 동호회 ID가 해커의 손에 넘어간다면, 그냥 나와 같은 동호회에 가입한 죄밖에 없는 불쌍한 목표기업의 임원과 그 기업를 노린 APT공격은 반 이상 성공한 것입니다. 나의 동호회 계정으로 새로운 모임공지라는 내용의 가짜 메일에 악성코드를 살짝 묻혀 보낸다면 그 자전거를 좋아하는 불쌍한 임()원은 그 메일을 아무 의심없이 열어볼 확률이 매우 크기 때문입니다. 많은 보안 전문가들이 최초 침입을 하면, 이후에 들키지 않고 내부망을 돌아다니기는 매우 쉽다고 지적하고 있습니다.

 

전달자의 관점으로도 볼 수 있습니다. 내가 최신의 뜨거운 동영상을 받거나 기타 프로그램을 어둠의 경로를 통해 받았다고 했을 때, 아쉽게도 그런 파일에는 악성코드가 포함되어있을 확률이 큽니다. 그 파일을 나의 절친 사우와 공유하고 싶어 USB에 담아 회사에서 실행을 했을 때, 나는 악성코드 공격자의 충실한 배달의 기수가 되어 나의 회사나 조직에 엄청난 피해를 끼치게 되는 것입니다. 실제로 외부와는 분리된 망을 사용하던 원전을 노렸던 스턱스넷은 USB를 통해 내부로 침입한 것으로 추정하고 있습니다.

 

간단히 생각해서 내가 사업과 일상에서 얼마나 온라인을 이용하는가를 잠깐 되돌아보면 APT공격이 나와 얼마나 관련이 있는지 알 수 있습니다. 만약 인터넷을 전혀 사용하지 않고, 내가 속한 조직도 전혀 전산기기 없이 종이와 구두로만 업무를 하는 동시에 사회생활을 전혀 하시지 않는 분이시라면 지금 뒤로가기를 누르셔도 좋습니다. 이 웹페이지에서 글을 보고 있는 당신은 아닙니다. 

 

이렇게 APT 공격은 나와는 상관없이 보이지만, 결국 나와 밀접한 관계가 있는 것입니다. 게다가 나의 부주의로 나뿐만 아니라 내 주변 사람들, 내가 속한 조직, 나아가서는 사회의 기반까지 흔드는 결과를 초래할 수도 있습니다. 이런 보안 위협을 방지하기 위해서 개인이 할 수 있는 노력은 아래와 같이 의외로 간단합니다.


1) 백신은 항상 최신 업데이트 유지하고 주기적 검사를 실행합니다: 사용자가 일주일만 백신 업데이트를 안 해도 최대 수백만 개 신/변종 악성코드에 감염될 위험에 노출된다는 점을 명심합시다.
2) 발신인이 불분명하거나 수상한 메일 첨부파일 실행을 자제합니다: 메일의 형식이나 내용을 자세히 살펴보면 무언가 수상쩍은 점을 발견할 수 있는 메일들이 있습니다. 무조건 클릭을 자제하고 신중하게 살펴봐야 합니다.
3) SNS 상에서 단축 URL 클릭 자제 및 신뢰할 수 없는 사이트 방문을 자제합니다.
4) 자신이 근무하는 기업/기관이 고객정보나 중요사안을 다룬다면 특히 조직 내에서는 사적용도의 인터넷 사용을 되도록 자제하여 앞서 언급한 위험을 최소화하는 것도 좋습니다.

 

이렇게 기초적인 보안 노력만으로도 APT 공격을 상당 부분 막아낼 수 있습니다.

해커의 공격 시작점도, 또 그것을 막을 수 있는 것도 여러분입니다.

안랩의 ‘보안 바로 알기 캠페인(Know the Security)’의 세 번째 순서는 "보안제품 및 솔루션만 쓰면 다 된다는 종결론에 관한 내용"으로 풀어가려고 합니다. 보안 바로 알기 캠페인의 각각 내용들은 향후 있을 "안랩 UCC 콘테스트"의 소재로도 이용할 수 있습니다. Ahn

댓글을 달아 주세요