BLOG main image
쉿쉿 -Σ- 우린 서로 모르는 겁니다.
한국마이크로소프트 김국현 부장의 공인인증체제, 우리에게 임박한 미래로부터의 리스크라는 글을 풀어서 써봤다. 내용이나 취지에는 십분 공감하는데, 다시 읽어보니 이거 앞뒤 문장의 뜻을 잇는 것도 벅차다. 대강 읽고 대강대강 납득해버린 내 머리에 이럴때만 경의를 표하고 싶다 -_-;;

아 물론 남의 글을 멋대로 손대면 안된다는 것은 잘 알고 있지만.. 원 글이 좀 해도해도 너무하더라고. 이런 글은 한명이라도 더 많이 읽혀야 하지 않겠어?

김국현(IT평론가)

웹에서의 금융결제 및 공인인증체제의 잠재적인 문제점, 또는 당면한 문제점과 그 개혁안에 대해서는 이미 많은 경로와 기회를 통해 이야기해 왔다. 그렇지만 2008년 여름 현재 아무 것도 바뀌지 않았다.

아마 어떠한 변화가 닥쳐 와도 현재 상태의 유지를 위한 범국가적인 기술 조정(tweaking)이 시도될 것이다. 체제의 관성이란 그런 것이다.

지금까지 금융권과 공공 분야 IT 인사들이 하나 같이 귀띔해준 것은, "보안에 관해서는 이야기를 꺼내지 말고 있는 그대로 받아 들이는 것이 상책"이라는 것이었다. 그도 그럴 것이 한 두사람이, 그리고 한 두개의 프로젝트가 바꿀 수 있는 규모란 뻔하기 때문이다. 괜히 나서서 입바른 소리했다가 통째로 책임지느니 그냥 묻어 가는 편이 속 편하다고 느끼기 마련이다.

게다가 상대는 법과 제도다. 기술 독과점 체제에서는 대형 사고가 터지지 않는다면 복지부동이 답이다. 합리적인 사정이다. 그러나 늘 그렇듯이 사회적 비용이란 뚜렷이 문제가 되지 않는 것처럼 보이던 것들이 하나씩 쌓이면서 발생한다.

현 체제의 근본적인 문제는 원칙도 없고 질서도 없으며 제멋대로인 체제국제적인 비준도 얻지 못한 채, 인터넷과 웹이라는 전세계적인 공간에 함부로 구조적 확장을 감행하여 스스로 필수 요소가 되려고 하는 것이다.

단기적인 해결책으로 금융이나 공공기관 사이트의 "불필요한" 추가요소들을 Java나 Silverlight 등의 비교적 플랫폼 독립적인 기술로 재개발하여 빼내면 되겠다고 생각할 수도 있지만, 이는 해법이 아닌 또 다른 미봉책일 뿐이다. 다른 나라는 굳이 하지 않는 일을 우리가 특별히 해야만 하는 이유가 있지 않다면 말이다. 정말 공인인증서란 것이 필요했었는지 스스로 회의를 품어보는 것이 더 본질적인 해법이다.

금융기관과 공공기관 웹 사이트를 실제로 통제하고 있는 국내의 공인 인증 체제는 기술적으로 반드시 필요해서 만들어진 것은 아니다. 다만 최근 몇 년동안 복잡하게 얽힌 상황이 우연히 정책으로 굳어진 것일 뿐이다. 그런데 왜 어째서 모두 이를 받아들이고 존속시키고 있는 것일까?

현재의 공인인증체제가 수행하고 있다고 보이는 일은 크게 두가지다.

1) '독자적인' 통신 암호화를 위한 인증서(비밀키) 기능

2) 거래 증빙 및 위조 방지, 부인 방지를 위한 전자서명 기능


수 차례 강조했듯이 첫 번째는 브라우저의 기본 기능으로 갈음할 수 있다. 오히려 현 체제보다 훨씬 많은 사람들이 훨씬 많은 시간을 들여 개발하였고 전세계적으로 검증되고 있는 제품이 바로 브라우저의 보안기능이다.

두 번째 사항은 금융거래 또는 공공기관 민원 제출시 해당 기관에 인증서를 제출하는 기능이다. 이는 현존하는 브라우저만으로는 불가능한데, 이것이 브라우저 내장 기능에 들어가 있지 않은 이유는 이렇게 사용자에게 불리한 일을 강요하는 국가가 대한민국 이외에는 없기 때문이다.

쉽게 말해서 문제가 생겼을 때 "내가 틀림 없이 이 거래를 했음"을 내가 해당 기관에 자진 신고하는 일인데, 이 얼개는 결코 '나'를 위한 것이 아니라 '시스템에는 책임이 없음'을 확실히 하기 위한 것일 뿐이다. 온라인 거래마다 '나'의 존재를 저당 잡히게 하는 의아한 제도인데, 덕분에 30만원짜리 쇼핑을 할 때마다 인감도장을 찍어야 한다는 넌센스가 그대로 남아있는 셈이다.

또한 이 제도가 반드시 존재해야 하는가에 대한 의문뿐만 아니라, 적용 효과에 있어서도 의문이 끊이지 않는다. 우리가 흔히 생각하고 있는 것과 달리 이 공인인증서는 그 자체로 실질 경제 주체인 '오프라인에서의 나'와 '온라인의 나' 사이를 직접 이어주지는 않아서, 비록 초기 발급 시에는 대면 검사를 필요로 한다고 하더라도, 발급 후에는 어떠한 현실 주체의 개입도 없이 사용되고 있다. 심지어 인증서 분실시의 재발급 절차는 굳이 본인이 아니더라도 계좌번호와 주민번호와 보안카드와 은행사이트에 등록된 ID만 있으면 온라인으로도 바로 신청이 가능하다.

그렇다면 그냥 이러한 정보들의 조합으로 인증해 주면 되는 것을 공인인증서라는 파일을 별도 생성하고 이를 마치 대단한 정보인양 우리에게 맡겨 놓는다. 사실 우리는 이미 같은 목적으로 '주민등록번호'라는 것을 지문날인까지 하며 부여 받은 바 있다.

점입가경인 것은 이렇게 쉽게 재발행된 인증서로 관공서 사이트에 갔더니 비밀번호는 커녕 주민번호만 넣으면 로그인과 계정 연결이 가능했다는 것이다. 일반인에게는 귀찮고 복잡한 미로를 만들고 그 곳이 안전하다고 착각하게끔 한다. 우리는 공인인증이라는 복잡 다단한 퍼즐 게임을 해왔음에 불과하다.

공인인증서가 무의미하고 또 사용자에게 불리함은 이렇듯 간단한 체험만으로 증명이 가능하다. 한국의 공인인증서는 이미 그 자체로도 충분한 브라우저와 운영체제(OS)의 보안 체계를 대체하려는 무모한 시도일 뿐이다. 이것은 보안을 강화하지도 않을 뿐만 아니라, 위와 같은 허점 때문에 현실의 나를 공히 대변하지도 못한다.

여기에 사용자의 온라인에서 행하는 모든 행위마다 그 사람이 "실제로" 한 거래라고 자동으로 추정하는 일은 기관의 편의를 위한 것이지 사용자는 아무런 혜택도 받지 못한다. 사용자가 이 체제로부터 얻는 것은 귀찮음이고 잃는 것은 시민으로서의 자유의지다. ‘공인’된 인감 도장을 모든 거래에 한 번씩 찍게 하는 기록형 통제 사회. 이 체제에 의미가 있다면 이러한 상징뿐이다.
(주: 법률용어로 '추정'은 확실하지 않은 사실을 그 반대 증거가 제시될 때까지 진실한 것으로 인정하여 법적 효과를 발생시키는 일)

우리에게 인증서와 같은 별도 서류를 소지하게 하는 이유는 이중요소인증(two factor authentication)에 대한 기대일 것이다.

이중요소인증의 기본은 '나만이 알고 있는 것', '나만이 갖고 있는 것' '나 자신' 중에서 둘 이상의 조합으로 인증을 강화하는 일이건만, 공인인증체제는 '나만이 알고 있는 것' 으로 '나만이 갖고 있는 것'을 온라인으로 만들어 낼 수 있게 하고, 그대로 인증을 통과하게 하는 모순을 지니고 있는 셈이다.
(주: 즉 A와 B의 조합이 아니라 A로 A'를 만들어서는 그것을 B로 삼는다는 말이다)

공인인증체제에 모순이 있다면 그 대안은 무엇일까? 원점으로 돌아가 이 체제가 해결하려 했던, 그럼에도 불구하고 해결하지 못한 맹점은 무엇이고, 그에 대한 대안이란 무엇인지 돌아볼 필요가 있다.

1) 통신 암호화를 위한 인증서(비밀키) 기능

현재 3대 브라우저(주: IE, Firefox, Opera 또는 Safari)의 자체 기능만으로 충분하다. 특히 이 기능을 '체험의 확장'을 위해 마련된 기술인 ActiveX로 구현하는 것은 무모한 일이다. ActiveX 기술 자체는 Win32라는 윈도우 프로그래밍 모델에 해당하므로 성숙된 기술이지만, 현재 그 주 용도와 사용처를 보면 플래시, 자바 애플릿, 실버라이트와 같은 '체험형' 런타임이 주가 된다.
(주: 더 아름답고 쓰기 편한 사용자 체험 (UX) 또는 사용자 인터페이스(UI)를 만들기 위해 쓰인다는 것)

물론 이것은 여전히 요긴한 기능이므로 Siebel처럼 기업 업무용으로도 유용하게 쓰일 것이다. 문제는 현재 ActiveX 컨트롤이 쓰이는 것을 보면
  • 크로스 플랫폼 런타임도 아니고,
  • 사용자 체험을 위한 공통 모듈도 아니면서,
  • 단발적이고 즉흥적인데다가
  • 원래 의도했던 목적이 아닌 보안과 같은 '구조적' 기능 확장에 이 기술이 남용되고,
  • 그것도 사실상 바이러스나 악성 프로그램과 크게 다를 바 없는 방식으로 오용되고 있었다는 점
이 문제다.
(주: 크로스 플랫폼이란, 한번 만들어 놓으면 윈도우에서도 맥에서도 리눅스에서도 돌아간다는 것임. '런타임'은 다른 프로그램이 돌아가도록 보조한다는 것. 즉 크로스 플랫폼 런타임을 아주 쉽게 설명하라면 '플래시' ㄳ)

그리고 대부분의 기능은 그 하부 구조에 더 잘 구현되어 있는 것의 재탕(reinventing the wheel)일 뿐이다. 인증 체제 및 결제 모듈은 물론 키보드 보안 모듈이나 은행에서 추가로 설치되는 파이어월 등 주변부 솔루션들도 다 이 부류에 해당된다. 해외의 예를 보더라도 이러한 방식으로 추가 설치를 강제하는 일은 매우 이례적이고 사용자에게 실례가 되는 일이기에 시행되지 않고 있다.
(주: 수레바퀴를 다시 발명하는 것처럼 쓸모없는 짓)

2) 거래 증빙 및 위조 방지, 부인 방지를 위한 전자 서명 인감으로서의 기능

집문서 계약도 아닌 일상의 금융거래에 인감을 반드시 요구하는 정책이 만들어진 계기는 본인 확인이 모호할 수 밖에 없는 온라인의 한계를 일시적으로 넘어서기 위함이었을 것이다. 다른 의도가 있었다고는 믿기 싫다.

그렇다면 지금 거래를 시도하는 사용자가, 자신이 주장하는 바로 그 인물임을 높은 확률로 증명해 주는 시스템을 만드는 일에만 철저히 해야 할 일이다. 지금같이 사용자에게 불리한 기능 대신, 지금 온라인에서 이 거래를 하고 있는 당사자가 오프라인의 나와 동일함을 서비스 사업자와 사용자 쌍방이 안심하고 확인하게끔 하면 그만인 것이다. 인증 자체가 뚫린 후라면, 전자 서명은 이미 아무런 효력이 없다.

그런데 모니터 앞에서 접속 중인 사용자가 정말 시스템 상의 그 사람이 맞는지 알 수 있을까? '인증'이라는 이 오랜 테마에 대한 기술적 시도는 끊임없이 이루어지고 있고, 그러한 노력의 결과물도 다양하게 상용화되고 있다. 공상과학의 단골 테마 중 하나였던 생체인식도 외국의 은행들에서는 이미 시도되고 있다.

Siemens와 스위스의 Axsionics사의 지문 인식 카드는 지문이 맞으면 암호를 알려주는 약간 두꺼운 신용카드인데, 이미 유럽과 남아프리카의 은행들이 테스트하고 있다. 이러한 첨단 기술이 비용 등의 이유로 당장 추진되기 힘들다면 이미 국내 시장이 형성되기 시작한 OTP나 HSM, 이조차 번잡하다면 핸드폰으로 보내주는 U-OTP만 있어도 이중요소인증은 일단 커버된다.
(주: OTP는 일회용 비밀번호 생성기(카드식, 토큰식 등), HSM은 하드웨어 보안 모듈. 즉 스마트카드 리더 등의 장치, U-OTP는 핸드폰을 통해서 날아오는 일회용 비밀번호라고 생각하면 편함)

어떠한 '실물'(주: OTP/HSM) 또는 이것으로 발송하는 (U-OTP) 개인 식별 번호와 내가 기억하는 개인정보의 조합은 현 시스템이 제공하지 않는 제대로 된 이중요소인증이다. 여기에 한창 탄력을 받고 있는 음성 인식 기반의 생체 인식이나, 다소 원시적이지만 전화 승인 서비스도 보조적인 역할을 할 수 있다. 우리 주위에는 현 체제를 벗어날 대안이 잔뜩 있다.

이렇게 인증이 '확실하게' 된 후라면 온라인에서 전자 서명이 필요한 순간은 오프라인에서 인감이 필요한 순간으로 한정해야 할 것이다.

또한 이 때에도 본인 인증이 충분했다는 전제로, 외국처럼 인증서가 아닌 키보드 타이핑으로 갈음하는 것도 괜찮다. 만약 정 불안하거나 꺼림칙하다면 웹이 아닌 전용프로그램이나, 음성 서명(voice signature), 영업점 내방을 유도하는 것이 올바를 것이다.

길도 있고, 대안도 있다. 우리의 선택에 의해 구조 개혁이 달성된다면 지금과 같이 은행마다 관공서마다 쇼핑몰마다 서로 다른 '구조의 확장'을 사용자 시스템에 강행하는 부조리는 대부분 해소될 것이고, ActiveX는 그 본연의 기능에 충실할 수 있도록 해방시켜 줄 수 있을 것이다.
(주: 쓰잘데기 없는 말 빼면 보안이라든지, 인증이라든지 하는 식으로 원래 의도되지 않은 목적으로 사용되지 않을 것이라는 이야기. 한국이 비스타, IE7, IE8 나올때마다 벌벌 떠는 이유는 '원래 그렇게 쓰라고 만든게 아닌 것을' 억지로 만들어 써서 생기는 문제임)

우리는 가끔 백지 위에서 더 광활한 망상을 하며 더 큰 비전을 가질 필요가 있다. 2008년, 지금은 정말 그 시점이다. 지금 이렇게 표준에 기반한 웹을 꿈꾸는 것은, 단지 다른 OS, 다른 브라우저 등을 쓸 수 있게 되어 선택지를 늘릴 수 있기 때문만이 아니라, 우리가 미처 상상하지도 못했던 다양한 방법으로 웹을 액세스하고 서비스하는 그날에 대비하기 위함이다.

온갖 모바일, 유비쿼터스 시나리오에 임베디드, 그리고 매시업에 클라우드 컴퓨팅까지. 우리는 소프트웨어와 웹이 뒤섞여 발전해갈 미래에 따라갈 수 있을까?

정말 걱정해야 할 리스크란 이런 것이다.
Posted by 알 수 없는 사용자

적어도 노 전대통령이 말하는 민주주의론이 몰려다니며 린치는 아니었을 것 같은데..
싫은 사람도 있을 수 있고, 실제로 피해를 본 사람이 있을 수도 있고, 정책 방향이 잘못되었다고 느끼는 사람도 있을 수 있는 것은 당연한 것이 아닌가. 내가 생각하기에도 부동산 정책 실패등은 확실히 설익은 정책이 늦게 발동된 것으로 보이는데도 일단 조중동 탓부터 하네. (반은 맞지만)

정말로 몰라서 탓한다고 치더라도 '그건 네가 몰라서 그러는 거야' 하고 달려드는 것하고, 조용한 자리에서 '일리가 있지만, 이렇게 생각해보면 어떨까요?' 하는 것하고 어느 쪽이 더 받아들이기 쉬울까? 서로간에 의견차를 좁히려면 상대를 공격하는 것이 빠를까, 인정해주면서 설득하는 것이 빠를까?

올블로그에서는 어떠한 편향성이 느껴져서 반쯤 노빠였던 내가 봐도 섬뜩하다.

아무리 새 대통령이 선거 과정과 인수위에서 보여준 자질 낮음에 실망한 나머지 전 대통령이 역으로 조명을 받는다고 하더라도, 잘못한 것은 잘못한 것이다. 그것이 잘 하려다가 그렇게 된거라도 일단 실패는 실패이고, 미화할 것 없이 왜 실패했는가를 따져서 그렇게 되지 않도록 하면 되는 것이지, 그걸 감싸서 되는 일은 없지 않을까?

괜히 몰려다녀서 세를 과시해봐야 생겨나는건 ME**-M*N 같은 귓구녕 막은 꼴통뿐. 님들 자제좀여.

Posted by 알 수 없는 사용자
소프트포럼, PKI 솔루션 제큐어웹 GS인증 획득

..음 XecureWeb이 Good Software 인증을 받았단 말이지요. 흠좀무..

조금 기분이 착잡해지네요. 물론 XecureWeb은 nProtect처럼 악성 소프트웨어는 아니고, 소프트포럼에서 만든 프로그램들은 그나마 어느 회사의 Key*rypt처럼 시스템을 맛가게 할 정도의 충돌이 있는 것은 아니라 저도 조금은 호의적이라지만.. 그게 문제가 아니지요.

XecureWeb이 하는 역할은 크게 두가지입니다. 하나는 한국의 '독자 기술'이자, 한국 밖에서는 전혀 의미가 없는 기술인 '(한국 내) 공인 인증서'를 사용한 전자 서명 기술입니다. 나머지 하나는 독자적인 보안 통신 기능이지요. 한국의 금융권 웹 사이트들을 죄다 병신 크리티컬로 만들어 놓은 바로 그 기능입니다.

금융권에서 인터넷 뱅킹이라든지 하는 보안이 필요한 사이트를 구성하면서 HTTP를 그냥 사용할 수는 없습니다. 사용자 아이디와 암호, 민감한 금융 정보가 암호화되지 않은 상태로 휙휙 날아다니면 누가 믿고 사용하겠습니까. 그래서 HTTPS (Secured)라는 암호화 기술이 있는 것이고요. 문제는 한국이 막 회선을 깔아대던 90년대 후반에는 미쿡의 기술 통제로 낮은 수준의 암호화만 사용할 수 있었다는 것이고, 독자 암호화 기술을 개발하게 된 이유중 하나입니다.

속담에 '바퀴를 다시 발명한다' 라는 말이 있습니다. 물론 바퀴에 특허권이 걸려있어서(!!) 다른 것을 만들어야 하는 상황이라면 어쩔 수 없는데, 지금은 그런 상황도 아닌데 아직도 XecureWeb을 써야 할까요? 어차피 전자 서명이 필요하고 -> XecureWeb을 어느 시점에선가 써야 하므로 -> 세션 전체를 XecureWeb으로 암호화하는게 편하다고 생각한 걸까요?

점유율이 미미한 '타 브라우저'를 지원해야 한다고 거창하게 말하려는 것이 아닙니다. 까짓것 그냥 IE를 쓰면 됩니다. 다만, 저러한 컨트롤 설치를 '강요'하는 사이트들이 엄연히 살아있고, 저 컨트롤 자체가 일종의 장벽 역할을 해서 암호화될 필요가 그다지 없는 정보의 접근까지도 막아버린다는 겁니다. 아니, 왜 멀쩡한 브라우저 표준 기능을 놔두고 컨트롤 설치를 따로 해야만 한다는 건가요? 컨트롤 설치가 쉽고 보안상 아무 문제가 없나요? 왜 오늘자 환율을 보려는데 컨트롤을 안깔았다고 바보만드나요? 왜 펀드 기준가를 보기 위해 컨트롤을 설치해야 하나요? 윈도우에 IE가 아니면 이동통신사 고객센터에 접근하지 못하는게 정상인가요?

이 나라의 폐단중 하나는 '다수를 따라가지 않으면 병신 만드는' 것이라고 생각합니다. '모두 군말없이 잘 깔아쓰는데 뭐 그리 불만이 많냐'는 것이지요. 그리고 XecureWeb은 거기에 일조를 하고 있다고 생각이 드네요.
Posted by 알 수 없는 사용자
관심이 가는 기사가 있군요. 동의없이 설치되는 '액티브X'는 스파이웨어
스파이웨어 분류기준을 개정한다고 합니다.

물론 각종 악성 프로그램들은 '사용자의 동의'를 얻었다고들 하지만.. 규제가 항상 한발짝 늦었던 것이 사실이라서요.

기사의 재미있는 부분만 발췌해보기로 하죠.

다만 액티브X 설치 방식을 모두 스파이웨어 프로그램으로 분류할 경우 금융기관 또는 전자정부 사이트의 액티브X와 같이 안전한 서비스 이용을 위해 설치해야 하는 프로그램까지 포함되는 문제를 막기 위해 '이용자가 방문한 사이트에서만 실행되고 그 사이트를 벗어나면 실행되지 않은 프로그램'은 예외로 허용키로 했다.
→ 이 부분은 별 문제가 안될 것 같습니다. 안그래도 그전엔 K모 은행 홈페이지에서 방화벽 띄워놓고 다른 사이트에서 웹서핑을 하곤 했지만 요샌 그 사이트 벗어나면 그대로 종료되죠.

잠깐 그런데 우리의 악성 프로그램 nProtect가 새끼를 치려는 시도는 어찌되나? 예를 들어 nProtect Toolbar 같은 프로그램은?

아울러 정상 프로그램의 운영을 방해·중지·삭제하는 행위와 정상 프로그램의 설치를 방해하는 행위 뿐만 아니라, 호스트 파일 변경 등 시스템의 설정 변경 또는 운영 방해·중지·삭제도 악성행위에 포함하는 것으로 규정했다.
어이쿠 이런. 걸리는 데가 너무 많군요.
지멋대로 서비스 깔아대고 시스템 맛가게 하는 우리의 악성 프로그램!

또한 현행 기준은 컴퓨터 키보드 입력 내용 또는 화면 표시 내용을 수집·전송하는 행위만 규정하고 있으나, 스파이웨어가 파일·레지스트리 등 시스템 정보를 수집해 전송하는 경우도 이를 기준에 포함시켰다.

이제 뭔 데이터든 맘대로 수집해서 보내면 안됩니다. 당연한 변화..

솔직히 지금 '보안'이랍시고 설치는 프로그램들이 보안을 제일 위협하는 놈들 같지만..
일단은 제일 나쁜 x인 nProtect부터 좀 된서리를 맞았으면 싶습니다.

Posted by 알 수 없는 사용자
리눅스가 대중화 되기 힘든이유

원 글과 죽 달린 리플을 읽어보고 나니 제목과 같은 생각이 들었습니다.

현재 오픈 소스 대중화의 가장 큰 적은 사용자들입니다.

한번 써볼까 싶은 마음이 들다가도, 원래 쓰던 사람들에게 도움 요청 한번 했다가 돌아오는 답변이 병맛 크리에, 태도가 참 재수없어서 돌아설 것 같네요.

'리눅스 환경에 적응해보려는 노력도 하지 않는 사람의 불평' 따위를 운운하는 순간 이미 퍼뜨리려는 생각은 접었다고 봐야죠. 맥 정도로 길게 이어져온 사용자 층이 있는 것도 아니고, 그렇게 오래 다듬어진 UI도, UX도 아닌 마당에, 기본적으로 자신에게 익숙한 방법을 그대로 쓸 수 있도록 해주는 것이 아니라 배우라고 호통을 치는 자세에서 이미 글러먹었다고 해야 하지 않을까요?

맨날 터미널 쓰라고 합니다. 그게 훨씬 편하다고 합니다. 물론 가르쳐주는 사람 입장에서는 편리하고, 괜히 GUI로 어설프게 래핑된 것보다 훨씬 간단할 수도 있습니다. 그러나 그게 배우는 사람 입장에서도 편리한가요?

또한 맥이 Mac OS X부터 BSD 계열의 커널을 쓰고 있다는 식으로 '우리 아키텍쳐가 뛰어나다'는 식의 주장을 해봐야 헛짓입니다. Mac OS X의 포장 솜씨는 아직도 어딘가 어설픈 현재의 리눅스 데스크탑과 분명히 다르니까요. 지금의 Windows 운영체제도 '기본'은 그렇게 허술하지 않습니다. 그 위에 올라간 많은 기술에 헛점이 많았고 보완하려는 노력이 늦어져서 지금처럼 동네 북처럼 까이게 된거죠.

더 말할 것도 없지만, 밑에 kanie라는 사람의 리플이나 까면서 마무리를 해봅니다.

  1. 프로그램 설치/제거가 쉬운 것은 윈도우도 마찬가지입니다.

    윈도우의 프로그램 추가/삭제라는 애플릿이 어설퍼 보이지만, 이것도 이미 95년부터 나왔던 것이고 그 기본 사용방법은 12년째 동일합니다. 이미 사람들이 익숙해져 있기 때문에 제어판의 프로그램 추가/삭제에서 뭘 하라고 하면 다 알아듣습니다.

    필요한 프로그램을 찾아서 깔기 위해 인터넷 사이트를 뒤지고 다닐 필요가 없다고 했는데, 대부분의 배포판들과 freebsd 등에서 port를 제공하는 것을 말씀하시는 것 같습니다. 이걸 지금 장점이랍시고 말하는거라면 착각인데..

    1. 현재는 나와 있는 프로그램이 다 리스팅 가능할만큼 적어서 그런 것이라는 사실을 간과했고,
    2. 일단 포트 내에서 자신이 원하는 프로그램을 찾기도 쉬운 편이 아니며,
    3. 이 포트가 배포판이 업그레이드 되면 더이상 유지되지 않는 경우도 봤습니다.
      (FC7 업글되니 FC6 포트가 지원이 안되더라고요?)

    윈도우나 타 운영체제나, Windows Installer를 쓰느냐 rpm / yum / sudo apt를 밑에서 쓰느냐의 차이이고 결국 다를 것은 별로 없어보입니다. 조용히 설치된다는 것을 강조하고 싶다면 - 윈도우의 설치 마법사 시스템은 이미 모든 이가 익숙합니다. 그것을 까봐야 별 소득이 없다고 생각하는데요.

  2. 다중 데스크탑 지원이 윈도우에서 안될 리도 없고, 결정적으로 사람들이 쓰질 않습니다.

    익숙해진 사람들에게는 굉장히 편리한 기능일지 모르나, 안쓰던 사람들에게 그걸 왜 써야 하는지 납득시키기는 어려워 보입니다. 야한 사진이라도 보다가 갑자기 누가 들어와서 가상 데스크탑 돌려야 하나요?

    운영체제 기본 쉘에 그 기능이 들어가 있지 않은 것은 그만큼 필요성이 적었기 때문입니다. 아무리 편하다고 해봐야 그 필요성을 못느끼는 사람이 더 많으면 별 의미가 없지요.

  3. 바이러스가 '적'다는 것은 리눅스의 강점일지도 모르긴 합니다.

    바이러스나 malware가 적은 것은

    첫째, 현재 데스크탑에서 리눅스가 듣보잡이기 때문이고 (감염시켜 얻을게 적음),

    둘째, 윈도우가 지금까지 보안에 굉장히 허술한 구조였기 때문인 점도 있습니다.
      특히 킬링앱스인 인터넷 익스플로러의 플러그인 체제에 구멍이 숭숭 뚫려있었지요.

    셋째, "요새는" 운영체제에서 기본적으로 다 틀어막기 때문입니다.
      이것도 진작부터 이렇게 하지 않은 것을 마소 사람들이 뭐잡고 반성해야 합니다. 요새 악성 프로그램이 들어오는 구멍은 CD나 디스켓 등이 아니라 열려있는 포트를 통해 보안에 허술한 서비스를 뚫고 들어오거나, 사용자가 인터넷을 브라우저로 돌아다니다가 감염되거나 프로그램을 설치하여 감염되는 경우가 대부분입니다.

      요즘 배포판들 기본적으로 방화벽 깔아놓고 시작합니다. 그리고 "없애기가 참 어렵죠." 윈도우도 2004년부터 서비스팩 2에서 방화벽을 내장했지만 지금도 자꾸 땍땍거린다고 방화벽 끄고 사는 사람 많습니다. XP 서비스팩 2가 불편하다고 설치하지 않는 사람도 봤고요.

    사람들은 처음부터 안되는 것은 체념해도, 되다가 안되는 것에는 환장합니다. 이 점에서 마소는 할 말이 없죠.

  4. 재부팅이 왜 필요가 없습니까.

    커널 패치만 재부팅이 필요한 것이 아닙니다. 그래피컬 환경인 KDE나 GNOME에서 사용하는 라이브러리가 업데이트 되면 재부팅을 하라고 할까요, 안할까요? 이건 아무리 봐도 본질을 호도하는 것 같습니다.

    윈도우 보안 업데이트가 5분마다 물어보는 것은 오히려 요새 와서 추가된 기능입니다. 그전엔 없었어요~

리눅스 왜 이런 것도 안돼? 하고 생각하는 사람에게 그게 리눅스 자체의 문제가 아니라고 백날 말해봐야 소용 없습니다. 아무리 말해도 한귀로 듣고 한귀로 흘리게 되지요. 사람이 없는 것조차 문제라고 한다면 문제일 수 있습니다. 이렇게 뛰어난데 왜 아무도 안쓰지 라고 생각해봐야 사용자 안옵니다. 그런 문제점조차 극복할 수 있는 강력한 '이유'가 있어야 사람들이 좀 써줄까 말까인데, 그나마도 써볼까 말까하는 유저를 내쫓는 우는 범하지 말아야죠.

Posted by 알 수 없는 사용자
알약의 개인정보 수집 관련 답변입니다.

알약의 목적은 분명히 개인 대상 애드웨어가 되겠지만, ALBNCollector.exe에 대한 헛발질에 이어 이제는 지금 수집하는 자료를 가지고 뻘소리를 써놨길래 간단히 한마디만 더 덧붙입니다.
광고를 위한 정보수집 방법에는 여러가지가 있으나, 그 사용자의 쿠키를 통한 분석이 대표적입니다. 쿠키를 사용하는 이유는 그것을 통하면 사용자(소비자)의 인터넷 습성이나 각종 빈도, 통계 추정에 유리하기 때문입니다. (eg. 자주 방문하는 포털, 사이트, 쇼핑몰, 인터넷을 사용하는 시간대 등...)그리고 이상의 사안들은 광고주에게는 반드시 필요한 정보입니다.
물론, 이스트소프트의 주장대로 쿠키 파일을 분석하는 것만으로 개인의 신상이나 정보가 100% 드러나지는 않습니다.
하지만, 쿠키 파일 안에는 사용자의 사이트 아이디, 로그인 기록, 방문시간대 등이 명시된다는 점에서, 쉽사리 "비 개인정보"다 라고 정의할 수 있는가에 대해서는 회의적입니다.
따라서 이스트소프트의 쿠키 파일 수집 여부에 관한 답변도 필요할 것 같습니다.
헛소리도 좀 정도껏..

사용권 동의서(EULA)에 수집하는 정보의 내용에 대해 일부 적혀있네요. 또한 추가 포스팅에 이렇게 적어놨는데
업데이트 통신 모듈은 알툴즈 서버에 접속하여 최신 버전 여부를 확인한 후 PC에 자동으로 최신 버전을 다운로드 받을 수 있는 편리한 기능을 제공하고 있으며,
이를 위해 서버와 통신 시 PC의 설치되어 있는 현재 알약 제품의 버전 정보, 엔진 및 데이타베이스 업데이트 정보를 보냅니다.

알약은 날로 진화하고 새로워지는 외부의 위협 요소들로부터 PC를 안전하게 보호하기 위해 항상 최신의 버전을 유지해야 하며, 이는 자동으로 지원됩니다.
에 러 리포팅 모듈은 프로그램 사용 중 예상치 못한 에러가 발생하였을 때 보다 적극적인 해결을 위해 제공되며 사용자가 전송 버튼을 누를 때에 한해서 사용자의 시스템 사양 및 오류 정보, 오류가 발생한 제품 정보를 에러 리포팅 서버로 보냅니다.
이렇게 보고된 에러 리포트는 고객지원 팀 및 개발자팀의 검토 후 빠르게 처리되도록 하고 있습니다.
즉 업데이트를 위해 프로그램의 버전 정보를 보내고, 프로그램이 죽었을 경우 어디서 죽었나, 시스템 기본 사양은 어떤가에 대해 보낸다는 내용인데, 이걸 어떻게 해석하면 쿠키 수집이 되는지 참으로 궁금합니다. 프로그램이 죽었을 때의 환경 정보를 수집하는 프로그램이 요새는 많은데, 모질라 파이어폭스도 그중 하나이고, 심지어 여러분이 쓰시는 윈도우 운영체제에도 오류 보고를 보내는 기능이 있습니다. 시스템 등록정보 - 고급 - 오류 보고를 눌러보세요 :) 또한 요새 온라인 게임에도 상당수 들어가 있는 기능입니다. (물론 사용자한테 확인받지 않고 조용히 보고하는 것은 논란의 여지가 있습니다만)

그렇게 수집되는 정보는 보통 시스템 사양, 프로그램 버전, 프로그램이 사망한 지점 등입니다. 보통은 이것만 가지고 '특정 개인을 지정할 수 있는 정보'가 될 수 없는 것은 당연하고요. 파이어폭스(Mozilla Quality Feedback Agent)는 심지어 같이 떠있던 프로세스 목록까지 수집하기도 하는데, 이쯤이면 '어떤 프로그램이 얼마나 쓰이는가'에 대한 정보는 수집할 수 있을지도? 와 불여우는 악성 프로그램이었잖아? 이거 무서워서 어떻게 쓴담.

전에는 UDP 53으로 나가는 DNS Query를 가지고 봐라 개인정보가 빠져나가지 않느냐 하더니, 이젠 자동 업데이트와 오류 보고를 가지고 시비를 거네요.

자, 파이어폭스도, 윈도우도 애드웨어라고 할 건가요?


어느 병맛나는 블로그 덕분에 그렇게 싫어하던 이스트를 옹호하고 있으니 나도 참 시간 많군...
Posted by 알 수 없는 사용자
반쪽짜리 무료백신을 내세워서 또 한번 시장을 어지럽히는 이슷소프트의 알약을 쵸쵸유명하신 블로거님이 까주셔서 감사해야할 판인데도!

병맛이 느껴지는 이유.

병맛 1.
ALBNConnector.exe라는 수상한 프로그램을 깐 것은 좋은데, 어 이거 개인정보 유출은 아니지 않나요? 하는 글에 졸라 병맛나게 응대하셨음.
당연하죠.. 의혹이라는 것 자체가 원래 추측입니다..
문제는 그 추측이 얼마나 신빙성이 있느냐 입니다..
신빙성 여부를 따지는 것이 중요하지, 추측을 추측이라 하며 논지를 흐리는 일은 싸우자는 것 밖에 되지 않죠..

그렇다면 왜 제 추측이 신빙성이 있는가를 말씀드리죠..
ALBNCollector에 대한 위 스샷을 잘 보세요..
"protocol : UDP Out"
남의 글에 대고 추측이니, 난무니 하며 단정할 수 있는 정도의 지식과 수준이라면 UDP가 어떤 프로토콜인지, Out이 뭔지 정도는 알겠죠?
UDP 53번 포트는 DNS 질의가 맞거든염?
의심가시면 포트 스니핑 프로그램 띄워놓고 몇번 포트로 아웃 나가나 보시면 되거든염?
웹브라우저에 사이트 주소를 입력하면 UDP 53번 포트로 DNS Query가 나갈테니 웹브라우저도 수상한 프로그램으로 판단하시면 되겠습니다 ㄳ

의혹을 제기할 때는 '확실한' 증거와 함께 제기하는 좋은 습관을 꼭 들이시도록.

병맛 2.
젭알 루트킷에 대한 개념탑재부터 일단 했으면 하네효.

보안업계에 종사하시는 분이 친절하게 설명을 적어놓았는데도 아군 적군 구별도 못하고 (알약은 자기도 본문에서 깠잖아?) 일단 자기 글을 지적하는 것 같으니 아래와 같이 써놓는데,
정상세포를 hooking한 암세포도, 해당 부분만을 삭제하고, 원세포를 복구하면 치료가 가능합니다..
그런식의 이론적인 논법이라면 세상에 안 되는 일이 없죠..
그리고 어감을 듣자하니 대부분의 루트킷은 치료가 가능하고, 일부만이 불가하다는 투로 들리는데, 제가 아는 바와 전혀 다르군요..
한 번 사례나 치료법이 실린 백신 사이트, 보안 사이트 등을 제시해 주세요..
루트킷에 감염된 것을 말 그대로 "치료"하고(삭제가 아니라), 그 소프트웨어 본연의 기능을 100% 그대로 사용할 수 있는 소프트웨어나 사례가 있으면..
흥미 있게 참고하겠습니다..
시스템이 루트킷에 감염되었다는건 프로그램이 자신을 숨겨놓고 있는 것이니 당연히 그 프로그램을 '삭제'하면, 그게 '치료'이지 거기에 말꼬리 잡는 꼬락서니 하며..

일단 말하는 싸가지는 좀 제쳐놓고.. 우선 본문을 인용해봅니다. 여기도 정말 병맛이 제대로 느껴지는데,
그런데 의아한 것은 루트킷을 치료했다는 바로 저 문구입니다..
루트킷의 침투는 본질적으로 Hooking에 의한 기법을 사용합니다.. 함수, 프로세스, 커널 등에 침투하여 스스로를 은닉시킨 후 최고 관리자 권한을 얻거나, 프로세스와 동시에 활동합니다.. 그래서 뿌리(Root)라는 단어가 들어갑니다..
따라서 루트킷의 삭제는 거의 불가합니다.. 현재 전 세계 어느 백신도 완벽하게 루트킷을 치료하지 못합니다..
일부에서 의미하는 치료는 통상적으로 알려진 그 치료가 아닙니다.. 조류독감에 걸린 오리를 폐사시키듯, Hooking된 프로세스까지 함께 파괴시켜버리는 것을 말합니다.. 결국, PC가 어제 그 상태 그대로 복구되지 못합니다..
요는, 분명히 작동하지 않거나 문제를 일으키는 프로그램이 존재해야 한다는 것입니다..
하지만 필자가 테스트한 PC는 말짱합니다..
알약의 의미 그대로 받아들이면 너무너무 완벽하게 루트킷이 치료되었습니다..
알약 개발자는 MS의 빌 게이츠에게 이메일을 보내야 할지도 모릅니다.. 노벨상까지는 좀 오바고, 당장에 MS 수석 프로그래머로 채용될 수 있을 것 같습니다..
루트킷을 최초로 발견한 Mark Russinovich가 경탄을 금치 못할 겁니다..
좋아요. 요새 백신들이 루트킷 제대로 못잡아서 나도 가끔 룻킷땜시 고생할 때면 백신 업체들이 원망스러운게 사실이긴 하지. 그런데 기본적인 팩트는 좀 확인하고 까야될 것 아녀.. rootkit이 시스템의 뿌리를 뒤흔든다고 해서 rootkit이라고 하신 것부터, 자신의 무지를 감추려 목청을 오히려 높이는 모습에서 감칠맛나는 병맛이 느껴집니다.

마크 루시노비치씨가 NT 루트킷을 '최초로 발견' 했다는 곳에 이르면 눈에서 땀이 다 나네효. 마크 루시노비치씨는 밥맛이 풍기는 소니 DRM을 보고서 최초로 NT 루트킷을 발견했다고 하신거군효? 그 양반은 그런 적이 없을텐데 어찌 그리 당당히 써놓지.

바이러스가 다른 프로그램을 감염시킬 때 원래 파일을 파괴하면 당연히 복구시키지 못하지요. 그런데 룻킷은 보통 감염시키는게 아니라 프로그램 하나가 시스템을 '후킹'하여 설치되는 것이라고 자기도 말해놓고? 따라서 룻킷 본체를 떨어뜨리고, 파일을 지우면 보통 복구됩니다. 왜냐면 애초에 후킹을 안하면 원래대로 돌아가는 거거등.. 물론 개중엔 레지스트리에 이상한 장난을 쳐놔서 복구해줘야 하는 경우도 있지만. 이걸 가지고 '어제 그 상태 그대로 복구되지 못하는거 아니냐'라고 하면 참..

그럼 스파이웨어나 팝업 띄우는 악성 코드등은 어떻게 '완벽'하게 치료하는 건가효?

혹시 rootkit unhooker나 gmer라는 프로그램은 아시나효?
후킹된거 찾아내서 다 풀고 숨겨진 프로그램을 찾아냅니다. 모르면 찾아서 써보등가.
이번에 루트킷에 대해 나온 책이 에이콘 출판사에서 나왔거든효. 찾아서 읽어보등가.
'내가 왜 해야 하냐'고? 당신이 뭘 좀 알아야 팩트를 제대로 전달할 것 아닙니까.
딴지는 아니지만, 느닷없이 튀어 나온 API 예는 재미있습니다..
소프트웨어의 제작이나 규약을 논하는 것이 아니라, 그것을 파괴하거나 침투하는 멀웨어 이야기를 하는데 갑자기 API가 나오는군요..
예가 틀렸다는 말은 아닙니다.. 오해 마시길.. API에도 전염은 가능하겠죠..
다만, API에 루트킷이 침투한 것도 모르고 사용하는 개념없는 프로그래머를 상상하니 조금 우스웠고,
API, IoControl code, 모듈 등등의 전문적인 용어를 차용해가며 애써 글을 쓰시는 모습이 재미있었습니다.. 이거 뭐 무서워서 저같은 범인들이 대항이나 하겠습니까? ㅋ
모르면 제발 모른다고 해요. 병맛나게 좀 그만 깐죽대고. 당신 도우려는 사람한테 그게 뭡니까?
개념없는 프로그래머? 루트킷이 제대로 숨어들면 보통 뭘 해도 안드러나요. 님하가 리뷰하신 F-PROT BlackLight 가지고도 못찾는거 존내 많다고효. 안티룻킷 스캐너들도 제대로 찾는거 얼마 없는 마당인데 '개념없는 프로그래머'라.

특정 포트를 여는게 보이지 않느냐고 하신다면.. 로컬 컴퓨터에서는 뭘 해도 안찾아지고, 요새는 외부 컴퓨터에서 포트 스캐닝을 하는 것도 회피하려고 온갖 꼼수 다쓰는 놈이 많은데 뭇슨..

진짜 쓰다가 '뭔가 이상하다' 하고 감이 느껴져서 이거저거 다 뒤져보니 있는 경우는 있었지..

알툴즈는 존내 싫어하지만 저런 식으로 아집에 똘똘 뭉쳐서 자기 도우려던 사람까지 적으로 만들면 좀 곤란하지.. 알약이 뻥치는 것을 까는 것도 좋고, 소비자 입장에 서는 건 좋다 이겁니다. 근데 하지도 않은 짓을 했다고는 하지 말아야지. 프로그램이 뻥을 친다고 자기까지 뻥을 치면 좀 곤란하지.

지금까지 열심히 리뷰하고 가이드쓰고 독자적인 영역을 구축하느라 애쓴거 뻔히 아는데, 가끔씩 보이는 병맛나는 포스팅이라든지, 나 혼자 다 안다는 독선은 눈살이 찌푸려지는 것을 넘어서 안쓰럽게 보이게 합니다. 포스팅 하나 올리면 항상 인기글에 뜨는 양반이면 좀 책임감있는 글을 적어야 하지 않겠습니까?

이 글에서 까는 원본 글은 무료 백신 알약에 대한 의혹과 아쉬움. 입니다 :)
Posted by 알 수 없는 사용자
왜 웹을 누더기로 만드는걸까? - 김국현의 낭만 IT

'드디어 된다' 라는 글을 읽었다.

..허탈했다.

결국 타 브라우저 플러그인이 더 늘어났을 뿐이지 않는가..

근본적인 문제는 아무것도 바뀐게 없다. 여전히 XecureWeb 플러그인을 깔아야 하고, 해외 어디서도 '공인'해주지 않는 한국의 '공인' 인증서 시스템은 그대로이다. 사용자는 자신의 컴퓨터에 무슨 짓을 할 지도 모르는 플러그인 설치에 아무런 저항감이 없고, 그렇게 깔린 플러그인은 컴퓨터를 휘젓고 다니면서 도대체 무엇을 하는지 알려주지도 않는다.

한국식 공인인증, 페이지 암호화 체계가 발달하게 된 계기는 미국의 기술 수출 제한으로 인한 56비트 암호화 제한이었다고 한다. 그것이 해결된 것도 꽤 오래되었지만, 이미 하나의 산업이 되어버린 이 빌어먹을 폐쇄적인 시스템은 이미 어떻게 해볼 수 없을 정도로 튼튼하게 뿌리를 박아버렸다. 그리고 아무도 알아주지 않는 이 독자적인 기술을 위하여 덕지덕지 플러그인을 깔다보면 원하지도 않던 것도 깔리게 되고, 유저는 차츰 '플러그인을 설치하는' 것에 대한 거부감이 희석되어 플러그인의 설치가 자연스러워진다. 길들여지는 것이다. 그 다음에는 뭐 좀 안되면 깊이 생각하지 않고 플러그인을 만들어서 유저에게 설치하기를 강요한다. 충분한 대안이 나오기 시작하니 이제는 기존에 만들어놓은 것과 비교를 하면서 주저주저한다.

어쩌자는거냐 대체. 그냥 타 플랫폼에서, 타 브라우저에서 가능하게 되었으니 그저 감사히 여겨야 하는가?
그놈의 특정 회사 플러그인 안깔고 맘편히 업무 처리를 할 수 없겠느냔 말이다.
Posted by 알 수 없는 사용자
5월의 작은 뭐시기라는 블로거께서 그전에 '인막녀'였나 '박지윤'이었나 하는 검색어를 구글이 막았던가 - 사실 정식으로 막은건지 어쩐건지는 모르겠습니다만 - 하는 사건에 대해 '구글의 이번 행위는 충격적으로 받아들여지고 있다' 라고 해서, 거기에 대해 좀 깐 적이 있습니다.

싸이월드 뒷조사, 검색엔진을 통한 뒷조사를 거쳐서 행하여지는 집단 린치가 얼마나 무서운지, 그것이 한 사람의 인생을 얼마나 망쳐놓을 수 있는지를 고려하면 당연히 할 수 있는 말이었다고 생각하는데..

권리침해신고가 들어갔네요 ^^*

http://anonymous.tistory.com/40/

..앞으로는 파워블로거님 의견에는 감히 깝죽대면 안될 것 같습니다 :P

안녕하세요, Daum 권리침해신고센터 강경숙 입니다.

회원님께서 작성하신 게시글에 대해 권리침해신고가 접수되었습니다.
접수된 내용은 티스토리 이용약관 제11조,
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의 2 규정에 의하여 삭제 조치 됩니다.
게시자께서는 아래 내용을 확인하여 주시기 바랍니다.

●주소 : http://anonymous.tistory.com/40

●문제된 글 : 대단하세요 '작은인장'님까칠한 소리/꽤 까칠한 소리 2007/04/30 23:11

●신고접수일 : 2007년 11월 15일

●신고내용 : 명예훼손

●정보통신윤리위원회 심의결과 :
[심의번호] : 805308
[심의근거] : 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의8항
[심의결정] : 시정요구 (삭제)
[결정일시] : 2007-11-14

●삭제일자 : 2007년 11월 15일
Posted by 알 수 없는 사용자
기사는 굉장히 정상적으로 국내에 정식 발매도 되지 않은 게임을 돌려보게 해주시는(?) R4의 부작용에 대해 논하고 있는데 제목이 낚시로 바뀌었네. 경향 너네도 이러기야?

낯뜨거운 휴대용 일제 게임기…‘신체접촉·추행’ 어린이들 노출

어느 플랫폼이든지 벤더의 영향력을 벗어나는 앗흥한 게임은 나오기 마련이고, 그것이 유통과정에서 자연스럽게 차단되기 마련인데, 이것이 dark force의 관할로 들어가면 그때부터는 단속이고 뭐고 불가능해진다. 그 이전에 대체 언제까지 '음란물'이 뒤에서는 신나게 돌아다니면서 앞에서는 경끼를 일으키는 '척' 하는 상황이 반복되어야 하는지도 사실 궁금하고.

또한 지하철에서 당당하게 마녀신판을 하고 있는 x끼는 대체 상식이라는 것이 있는 건가...
'너를 위해서라면 죽을 수 있어' & '아기는 어디에서 오나요' 시리즈도 들고다니면서 못한 나는 대체?..
('너를 위해서라면 죽을 수 있어'는 무려 NDS 최초 발매시의 동시 런칭 타이틀이었기도 하고)

※ 저 기사로 인하여 일단 웹하드들 정리부터 좀 들어가면 그것처럼 반가운 일도 없겠다.
Posted by 알 수 없는 사용자

카테고리

분류 전체보기 (78)
까칠한 소리 (71)

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백

달력

«   2024/03   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

글 보관함