'정보보호'에 해당되는 글 2건

  1. 2007.05.30 아직도 낚시글에 낚이고 계십니까?
  2. 2007.03.07 개인정보 유출 방지를 10계명
 
랩 동아리에서 활발한 활동을 하고 있는 가난한 대학생 래퍼 S군. 그는 평소 자신이 원하는 노래를 인터넷 카페, 클럽 등을 통해서 얻는다. 그런데 최근 컴퓨터가 먹통이 되었다고 하소연을 하였다. 이유를 들어봤더니~

저는 MP3 카페에서 “음악 풀 세트를 다운받아 가세요”라는 제목을 보고는 목차를 살폈습니다. 제가 좋아하는 노래들이 가득하더군요. 그러나 파일들은 압축 파일로 묶여 있어서 사실상 내용물은 확인할 수 없었고요. 당장 다운로드를 시작하고 압축을 풀려고 혹시 사기가 아닐까 하는 마음에 제목을 확인하니 노래가 맞더군요. 그러나 다운로드된 내용들은 달랐습니다. 온갖 바이러스 치료제부터 바이러스까지 음악 파일과는 관계 없는 파일들만 가득했습니다. 이 프로그램 때문에 컴퓨터가 먹통이 되었습니다. 이런 낚시 글 정말 싫습니다. ㅠ.ㅠ

S군의 사례처럼 요새 뉴스, 블로그, 미니홈피, UCC 등을 통한 낚시 글 피해 사례는 어렵지 않게 찾아볼 수 있다. 그렇다면 이러한 낚시글을 쉽게 알아보고 어떻게 하면 낚이지 않을지 안철수연구소 시큐리티대응센터(ASEC) 스파이제로 팀과 그 해결책을 찾아보았다.

 

1. 낚시글의 종류와 쉽게 알아볼 수 있는 방법

최근 인터넷에 자주 등장하는 낚시글은 크게 두 가지 유형이다. 첫째는 단지 재미를 위한 낚시글이 있다. 이런 글들은 읽었을 때 단순히 속았다는 허탈감만 주므로 사용자가 느끼는 피해는 경미하다고 볼 수 있다.

둘째 유형은 상업적으로 악용하기 위한 낚시글이다. 이런 글들은 사용자의 컴퓨터에 스파이웨어나 애드웨어를 사용자의 동의 없이 무단으로 설치하기 위한 목적으로 작성된다. 실제 이렇게 해서 스파이웨어나 애드웨어를 설치하면 그 개수만큼 배포자에게 일정량의 수익을 배분해 준다. 따라서 이를 목적으로 한 낚시글이 지속적으로 등장하고 있다. 안타깝게도 이런 글들은 사용자를 속이기 위해 교묘하게 작성하므로 컴퓨터에 대한 전문 지식이 없으면 쉽게 구분하기 어려운 게 현실이다. 간단하게 살펴보면 제목만 보고 클릭했는데 ‘아무개 프로그램을 설치해야 내용을 볼 수 있다’라거나, ‘다른 곳을 다시 클릭해야 내용을 볼 수 있다’라는 글들은 한번쯤 의심해 볼 여지가 있다.

 
2. 낚시글 클릭 시 설치되는 액티브X 내용과 피해 양상
 
 

대부분의 낚시글은 인터넷을 통해 스파이웨어나 애드웨어를 배포하는 가장 효과적이고 쉬운 방법인 액티브X를 이용한다. 이렇게 설치된 스파이웨어나 애드웨어 중 다수는 삭제 프로그램 또는 방법을 제공하지 않거나 별도의 삭제 프로그램을 다운로드해서 실행해야만 삭제를 할 수 있으며 심지어는 루트킷(rootkit)이라는 특수한 기법을 사용해서 일반적인 방법으로는 삭제할 수 없도록 스스로를 보호하는 경우도 있다. 그리고 또 다른 애드웨어나 스파이웨어를 사용자 동의 없이 다운로드해서 설치하는 기능을 가지고 있어 지속적으로 피해를 입게 된다.

대부분 허위 안티 스파이웨어 또는 한글 키워드 도우미 서비스, 인터넷 익스플로러(Internet Explorer)의 툴바를 설치한다. 이런 프로그램들은 허위 또는 과장된 진단 결과를 보여주고 결제를 통한 치료를 유도하거나, 특정 인터넷 서비스의 트래픽을 높이기 위한 키워드 전송과 바로 가기 등을 제공한다.

이런 프로그램들이 계속 설치되면 컴퓨터의 자원을 많이 점유해서 컴퓨터의 속도를 느리게 하며, 동일한 기능의 프로그램들이 동시에 동작하므로 충돌 현상으로 인해 시스템에 심각한 악영향을 주기도 한다. 또한 이런 애드웨어나 스파이웨어를 제작하는 회사의 컴퓨터에 바이러스가 감염되어, 바이러스에 감염된 프로그램을 배포하는 업체 역시 종종 발견되고 있어 더 각별한 주의가 필요하다.

3. 낚시글 때문에 컴퓨터가 먹통이 된 경우 낚시글 올린 사람을 신고할 수 있는 방법

먼저 해당 글이 등록되어 있는 대형 포탈 사이트의 신고하는 페이지에 신고할 수 있다. 이렇게 하면 해당 업체에서 확인 및 검증해 해당 게시물을 삭제하며 해당 사용자에게 정해진 원칙에 따라 조치를 취한다. 사용자는 신뢰할 수 있는 업체에서 제작한 안티스파이웨어 제품으로 진단 및 치료하는 것이 좋으며, 만약 이상 증상이 해결되지 않으면 해당 안티스파이웨어 제품을 서비스하는 보안 업체에 신고해서 문제 해결을 요청하는 것이 좋다.

4. 낚시글의 예방책과 해결책

가장 중요한 것은 내 컴퓨터는 내가 지킨다는 보안 의식이다. 실제 우리들은 집을 비울 경우나 혹은 집에 있는 경우에도 문 단속을 꼭 한다. 만약 문 단속을 제대로 하지 않아 문제가 발생하면 그 책임은 본인에게 있다. 컴퓨터도 이와 동일하다. 하지만 컴퓨터는 눈에 보이지 않아 많은 사용자들이 소홀히 생각하고 지나칠 수 있다. 하지만 실제 문제가 발생했을 경우 돌이킬 수 없는 결과를 초래할 수 있으므로 각별한 주의가 필요하다. 다음 사항들에 대해 조금만 신경을 쓰면 낚시글로 인한 피해를 상당수 줄일 수 있다.

- 윈도우 보안 패치를 주기적으로 실시
마이크로소프트(Microsoft)사에서는 매달 둘째 화요일에 보안 패치를 발표하므로 이때 꼭 윈도 보안 패치를 적용해야 한다. 실제 취약점(exploit)을 사용해서 설치되는 스파이웨어의 경우 웹 페이지를 보는 것만으로도 스파이웨어나 애드웨어가 설치될 수 있으므로 무엇보다도 중요한 작업이다.

- 신뢰할 수 없는 액티브X는 설치하지 않음
게시물을 보고자 할 때 액티브X 설치를 요구할 경우 이를 제작하고 배포하는 곳을 알아보는 것이 좋으며, 믿을 만한 회사가 아니라면 설치하지 않는 것이 바람직하다. 액티브X 보안 경고창이 실행되었을 경우 해당 액티브X를 배포하는 곳에 대한 정보가 링크되어 있으므로 반드시 클릭해서 확인한 후 설치해야 한다.

- 주기적으로 설치된 프로그램 확인
이미 설치된 스파이웨어나 애드웨어는 사용자의 동의 없이 무단으로 다른 애드웨어나 스파이웨어를 설치하므로 실수로 설치했을 경우 이를 가능한 빨리 제거하는 것이 좋다. 방법은 [시작] -> [제어판] -> [프로그램 추가/제거] 순으로 클릭 후 자신이 설치한 적이 없는 프로그램인 경우 [변경/제거] 버튼을 눌러 제거해야 한다.

- 보안 제품 사용
안티바이러스, 안티스파이웨어, 방화벽 기능이 있는 통합보안 제품을 사용하는 것이 여러모로 유리하다. 스파이웨어 또는 애드웨어가 설치되는 것을 사전에 예방할 수 있을 뿐 아니라 이미 설치된 애드웨어나 스파이웨어를 가장 효과적으로 제거할 수 있기 때문이다.

 
 
 
[출처]안철수연구소 사보 보안세상 5+6월호
Posted by 멋나미
사회적 파장이 큰 보안 사고가 나면, 방송이나 신문에서 기자들은 사용자가 해야 할 일에 대해 가장 많이 묻는다. 하지만 짧은 뉴스에 잠깐 나오기 때문에 길게 얘기해 봤자 소용이 없고, 결국은 백신 프로그램을 사용하고, 최신 엔진을 자동 업데이트할 수 있도록 설정해야 한다, 는 원론적인 수준의 얘기가 나가게 된다. 하지만 가끔 회사에서 운영하는 보안 커뮤니티를 들여다 보면, 이런 원론적 말이 사용자들에게 의미가 없겠다는 생각이 들 때가 있다. 인터넷을 쓰면서도 컴맹인 사용자들이 가끔 보이기 때문이다.

그래서 개인정보보호를 위해 네티즌들이 할 수 있는 일들을 자세하게 써 봐야겠다고 생각했다. 처음부터 완전히 새로 쓰는 것보다는 개인정보유출이 사회적 현안이 되었던 지난 2월에 안철수연구소에서 발표한 ‘개인정보유출 방지 10계명’을 중심으로 실제 개인들이 할 수 있는 일들을 정리해 보겠다. – 사실 ‘개인정보유출 방지’라는 말보다는 ‘개인정보보호’라는 말이 좀더 알맞은 표현이다. - 이것은 완벽한 기술적 대안이 아니라 인터넷에서 개인정보를 보호할 수 있는 ‘생활의 지혜’ 수준으로 이해하는 것이 좋겠고, 이 ‘십계명’도 조금씩 보완해야 할 것 같다.

1. 굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제한다. 온라인 이벤트 응모에 무분별하게 참여하면 개인 정보 노출이 많아지므로 유의한다.

사실 이벤트뿐 아니라 좀더 싸게 사려고 여기 저기 쇼핑몰에 등록하기도 하고, 일시적인 필요에 따라 e메일 계정을 여기 저기 만들기도 한다. 포털이나 언론사에 댓글을 쓰기 위해 아이디를 만드는 경우도 많다. 필자도 지난 2월에 찾아 봤을 때 약 30개의 사이트에 주민번호가 등록되어 있었다. 심지어는 9년 전에 한 쇼핑몰에 등록해서 그 관계사를 나온 뒤로 한번도 써 먹지 않은 아이디도 있었다. 이것을 해결하려면 단골을 만들어야 한다. 쇼핑몰도 2개 정도의 단골을 만들고, 일시적으로 싼 게 있는 쇼핑몰은 비회원 자격으로 구입하는 게 좋다. 특히 e메일은 한두 개 정도만 쓰고, 모두 지우는 게 상책이다. 예를 들어 지난 1달을 돌아 봐서 한번도 들어가 보지 않은 사이트가 있다면, 거기에 있는 아이디는 과감하게 지우는 게 좋다. 가입한 곳을 북마크에 따로 관리하는 것도 한 방법이다.

2. 피싱(Phishing) 사기 e메일을 조심한다. 개인정보, 계좌정보 등을 요구하는 수상한 e메일의 경우 신종 금융사기 수법인 피싱(Phishing)을 먼저 의심해 각별한 주의를 해야 한다. 금융기관으로부터 개인정보, 계좌정보 등의 업데이트나 정보 변경을 요구하는 e메일을 받으면 클릭하지 말고 해당 금융기관 사이트에 가서 직접 확인해야 한다.

피싱(Phishing)은 Privacy fishing의 합성어인데, 우리 말로 ‘개인정보 낚기’ 정도로 번역할 수 있다. 포털 게시판에서 ‘낚는다’는 것과 비슷한 개념인데, 포털에서는 조회 수를 늘리기 위한 방법이지만, 피싱은 개인정보를 수집해 악용하기 위한 것이다. 아직 피싱에 관해서는 두드러져 보이는 제품이 없어서 계속 개인이 조심하라, 는 기사가 나가고 있는데, 올해에는 피싱 방지 기능이 포함된 제품이 좀 나올 것 같다.

일단 금융기관에서 개인정보를 갱신하라는 메일을 받는다면, 무조건 의심해 보는 게 좋다. 실제로 금융기관이 그런 방식으로 개인정보를 갱신시키는 경우는 아직 한번도 보지 못했고, 앞으로도 그렇지 않을 가능성이 매우 높다. 필자도 가끔 피싱 메일로 의심되는 메일을 받는데, 이것이 피싱 메일인지 확인하기 위해 그 안에서 표기된 사이트를 클릭하고 들어 가서 그것의 실제 도메인과 검색엔진에서 알려 준 해당 사이트의 인터넷 주소(도메인 이름)를 비교한다. 실제 IE에서는 ‘속성’에서, firefox에서는 ‘#####    ‘에서 알 수 있다. 도메인으로 구별하기 어려운 경우에는 정보를 변경하라고 알려 준 링크를 도메인 이름만 변경하여 검증해 보거나, 도메인의 소유주를 찾아 보기, 검색엔진에서 찾은 사이트와 비교해 보는 방식으로 판단한다. 물론 그 어느 경우에도 내 정보를 입력하지는 않는다.

3. 인터넷에서 아무 자료나 프로그램을 함부로 다운로드하지 않는다. 정품이 아닌 복제 프로그램에는 트로이목마 등의 바이러스가, 공개 프로그램에는 스파이웨어가 포함되어 있을 수 있으므로 설치하지 않는 것이 좋다.

사실 인터넷을 찾는 가장 큰 목적 중의 하나가 자료나 프로그램을 다운로드하기 위한 것이다. ‘함부로’ 다운로드하지 않는다는 것은 무슨 뜻인가? 이것 역시 한 마디로 단골을 만들라는 것이다. 필자도 가끔 공개 소스를 찾기 위해 인터넷을 찾는데, 프로그램은 GNU, W3C, sysinternals 등의 잘 알려진 해외 사이트나 보물섬 등지에서 프로그램을 다운로드하면 악성코드를 함께 다운로드할 확률은 크게 줄어 든다. 각 사이트에서 잘 관리하기 때문이다. 물론 프로그램을 다운로드한 이후에 필수적으로 백신으로 해당 파일의 악성코드 감염 여부를 검사해야 한다.

4. 웹사이트 방문 시 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의한다. 무심코 설치에 동의하면 스파이웨어나 악성 코드가 설치될 수 있다.

스파이웨어의 일상적인 설치 경로는 2년 전이나 지금이나 역시 인터넷 카페들이다. 특히 성인 사이트들은 스파이웨어의 천국이다. 아마도 스파이웨어를 배포하면, 해당 스파이웨어 업체에서 그 사이트에 돈을 주기 때문인 것 같다. 이게 스파이웨어 비즈니스의 일반적인 방식이다. 특히 요즘에는 압축 파일 하나에 대여섯 개의 서로 다른 프로그램들이 들어 있어서 한번 잘못 클릭하면 여러 개의 프로그램들이 자동 설치된다. 스파이웨어가 점점 더 독해지는 추세다.

인터넷 익스플로러(IE)의 ‘보안 경고창’은 프로그램을 설치해도 되는지를 묻는 ‘설치 확인창’이 아니다. 컴퓨터 외부에서 프로그램을 다운로드하여 설치하는 것이 보안에 매우 위험하기 때문에 액티브 엑스(Active/X)를 설치하는 데 고객에게 조심하라고 경고하는 창이다. 사실 사용자가 그 프로그램의 위험을 판단할 만한 근거가 거의 없기 때문에 실질적인 도움은 되지 않지만 말이다. 사실 보안 측면에서만 본다면 액티브 엑스는 IE의 치명적인 결함이다.

사용자들은 여기 저기 돌아 다니다 들어 간 사이트에서는 IE의 ‘보안 경고창’이 뜨면서 프로그램을 설치하겠느냐고 물어 보면 절대로 ‘예’를 눌러서는 안된다. 나도 가족에게 신신당부하는 것이 아빠가 없을 때 그런 창에서 ‘예’를 누르지 말라는 점이다. 필요하면 아빠 있을 때에 하라고 한다. 물론 윈도 XP SP2가 설치된 컴퓨터에서는 액티브 엑스가 기본으로 차단되기 때문에 모르고 설치하는 위험은 줄어 들긴 했지만, 설치 여부를 판단하기 위한 근거는 여전히 없다. 해당 서비스를 이용하기 위해 그것이 필요한지를 확인하려면, 일단 ‘아니오’를 선택한 뒤에 해당 서비스를 써 보고, 그래도 안 되면, 설치하는 것도 한 가지 생활의 지혜다.

5. PC방 등 누구에게나 개방된 컴퓨터에서는 가급적 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. ID와 패스워드를 가로채는 트로이목마가 설치되어 있는 경우 내 정보가 유출되어 금융 사고가 발생할 수 있다. 불가피하게 사용할 경우 백신 및 PC방화벽이 설치 실행되는 곳에서만 이용한다.

이것은 더 이상 말할 필요가 없다. PC방에서 개인정보나 금융정보를 입력하는 일은 절대로 하지 않는다.

6. 백신, 안티스파이웨어 제품, PC 방화벽, 키보드 보안 제품 등을 설치해 자동 업데이트 기능을 이용해 항상 최신 버전을 유지한다. 실시간 감시 기능을 설정해두고 최소 일주일에 한 번 이상 최신 버전의 보안 제품으로 PC를 검사한다.

'자동 업데이트' 기능을 이용하는 것이 매우 중요하다. 대부분의 백신 제품군들이 자동 업데이트 설정 기능을 두고 있고, 대다수의 사용자들이 이 기능을 이용하고 있는데, 가끔 이 기능을 사용하지 않는 사용자들이 있다. 매우 위험한 일이다. 백신 제품의 경우 요즘은 하루에도 여러 번씩 새로운 엔진이 나오므로, 최소한 하루에 한번은 새 엔진을 받도록 설정하는 것이 좋다. 실시간 감시 기능을 설정하는 것, 1주일에 한번은 수동 검사를 직접 하거나 수동 검사가 실행될 수 있도록 예약 설정해 두는 것이 필요하다. 여러 가지 이유로 내가 해 놓은 프로그램 설정이 바뀐 경우가 종종 생긴다. 필자 역시 가끔 자동 업데이트 설정을 확인하고, 엔진 버전이 최신인지 오늘 날짜와 비교해 보곤 한다.

7. 최신 윈도 보안 패치를 적용해 최신 윈도 보안 패치를 모두 설치한다.

이걸 보면서 이게 가능할까, 하는 생각을 하게 된다. ‘최신’ 윈도 보안 패치를 ‘모두’ 설치하는 것은 사실 매우 어려운 일이다. 그리고 가끔 보안 패치 자체에도 버그가 있어서 악성코드가 이미 나와 있는 취약점에 관한 긴급 패치가 아니라면, 최신 패치가 나오자마자 적용하는 것은 개인 사용자들로서 별로 바람직한 일도 아니다. 이것 역시 주기적으로 하는 게 좋다.

8. 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다. (타인이 쉽게 추정할 수 있는 비밀번호 사용 금지. 예)주민등록번호, 전화번호, 생일날짜, 차량번호 등 개인 정보)

좀 오래 된 통계이긴 한데, 패스워드 중 가장 많이 쓰는 것은 ‘password’라고 한다. 사람들의 무신경을 알려 주는 지표이다. 국내에서는 생일을 워낙 많이 써서 비밀번호를 유추하기가 쉽다. - 비밀‘번호’라고 부르니까, 사용자들이 전화번호나 주민번호, 생일 등을 이용하게 된다. ‘암호’라고 바꾸는 게 좋겠다. - 암호를 알아 내는 공격 방법 중 사전 기반 공격(dictionary attack)이 있다. 패스워드로 많이 쓰는 단어 사전을 만들어 놓고, 그것을 한번씩 넣어 보는 방법이다. 웬만큼 쉬운 영어 단어로 암호를 설정하면 다 공격에 뚫리게 된다. 아직 한국어용 사전이 제대로 없기 때문에 한국어 기반으로 암호를 설정하는 게  더 안전하다고 볼 수 있다.

9. e메일에 첨부된 파일이나 메신저로 전달되는 파일, P2P 프로그램을 통한 자료 다운로드 시 유의한다. 메신저로 URL이나 파일이 첨부되어 올 경우에는 반드시 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다. P2P 프로그램을 이용해 파일을 다운로드할 때는 반드시 악성 코드에 감염되어 있는지 보안 제품으로 검사한 후에 사용한다.

이메일을 통해 퍼지는 웜은 거의 대부분 사용자가 첨부 파일을 실행시킬 때만 전파된다. 즉 이메일을 본다 하더라도 첨부 파일을 실행시키지 않는다면, 대부분의 e메일 웜은 전파되지 않는다는 것이다. 그럼에도 불구하고 아직도 이메일 웜이 매달 고객 피해신고 통계의 상위를 차지하는 것은, 호기심을 자극하는 첨부 파일을 열어 보는 사용자가 많다는 것을 말한다. 이발신자 이름을 모르겠거나 발신자 아이디가 의미없는 알파벳의 마구잡이 조합으로 이뤄져 있는 이메일에 첨부 파일이 있다면, 쓸데없는 스팸이나 이메일 웜일 가능성이 매우 높다. 나는 그러한 메일은 그냥 지운다. 2005년부터 P2P나 메신저로 퍼지는 웜의 피해가 약 5%를 차지하면서 웜의 한 경로로 확실하게 자리 잡았다. 위에서 제시한 것과 같이 발신자를 확인하거나 백신 제품으로 검사한 뒤에 사용하는 것이 위험을 줄일 수 있다.

10. 중요한 문서 파일의 암호를 설정하고 백업을 생활화한다.

문서 파일의 암호화는 최악의 경우에 해당 파일이 유출되더라도 다른 사람이 그것을 열어 보지 못하도록 하기 위한 것이다. 요즘 웬만한 프로그램에서는 그것을 통해 만들어진 문서를 암호화해서 저장하는 방식을 제공하고 있고, 일반적으로 문서를 암호화하는 툴이 있기도 하다. 문서를 암호화하는 것이 보안 측면에서 좋기는 하지만, 암호를 잊어 버렸을 때에 그 파일을 열어 보지 못하는 위험이 있기도 하다. 이를 보완하기 위해 이를 연상할 수 있도록 질문과 응답을 미리 적게 하기도 하고, 인증서 기반으로 암호화를 시키는 툴이 있기도 하다. 암호화 툴에 대한 정답은 아직 없다. 암호 설정시 암호를 잊어 버리지 않도록 하는 나름대로의 노하우를 쌓는 게 중요하겠다.

악성코드 때문에, 응용 프로그램을 깔다가, 윈도 운영체제의 문제 등등 여러 가지 문제로 하드디스크를 포맷할 필요가 생긴다. 이 때 미리 백업 받아 놓지 않은 걸 뼈저리게 후회하게 된다. 중요한 파일은 기가바이트 이상 제공하는 이메일이나, 웹 하드, USB 메모리, 외장 하드디스크 등 다양한 저장 매체에 저장해 놓는 게 필요하다.

보안업체에서 좋은 보안 제품을 만들고, 인터넷 사용자들은 보안제품을 구매하고 최신 엔진으로 늘 관리하면서 조심하고, 보안업체들도 네티즌들이 잘 사용할 수 있는 제품이나 서비스를 제공하고, 정부는 보안 시장을 바로 잡고, 제도를 보완하는 데 힘을 쓰고, 인터넷 서비스 제공업체들이 보안에 좀더 관심을 기울이고, 언론은 인터넷의 편리함과 함께 보안을 중시하는 사회적 분위기를 만들어 간다면, 좀더 우리 인터넷 세상은 지금보다 좀더 안전한 세상으로 발전할 수 있으리라 믿는다.

[이 글은 매경인터넷에 게제된 칼럼입니다.]

글쓴이: 강은성 상무(시큐리티대응센터장)
안철수연구소에서 사용자의 IT 자산을 지키는 보람과 즐거움으로 일하고 있는 강은성 상무는, 어린이들도 즐겁게 뛰놀 수 있는 안전하고 편안한 인터넷 세상을 만드는 꿈을 갖고 있다.
Posted by 멋나미