OWASP Top 10 활용: 웹 애플리케이션 보안 취약점 진단 및 효과적인 방어 전략

OWASP Top 10을 기반으로 웹 애플리케이션의 주요 취약점을 진단하고, 각 취약점에 대한 구체적인 방어 전략을 비교 분석하여 안전한 웹 서비스를 구축하는 방법을 제시합니다.

OWASP Top 10 활용: 웹 애플리케이션 보안 취약점 진단 및 효과적인 방어 전략

빠르게 변화하는 디지털 환경 속에서 웹 애플리케이션은 비즈니스의 핵심이자 사용자 경험의 최전선에 있습니다. 하지만 이러한 편리함 뒤에는 늘 보안 위협이라는 그림자가 따릅니다. 민감한 사용자 정보 유출부터 서비스 마비에 이르기까지, 웹 애플리케이션 취약점은 기업과 사용자 모두에게 치명적인 결과를 초래할 수 있습니다. 여러분의 웹 서비스는 과연 이러한 위협으로부터 안전하게 보호받고 있나요?

웹 애플리케이션 보안은 단순히 방화벽을 설치하거나 SSL/TLS를 적용하는 수준을 넘어섭니다. 애플리케이션의 내부 로직과 설계 단계부터 보안을 깊이 있게 고려해야 합니다. 이때 가장 널리 활용되고, 신뢰할 수 있는 가이드라인 중 하나가 바로 OWASP Top 10입니다. 본 글에서는 OWASP Top 10이 무엇인지부터 시작하여, 각 주요 취약점을 어떻게 진단하고, 효과적인 방어 전략은 무엇인지 비교 분석을 통해 깊이 있게 다루고자 합니다.

📑 목차

• OWASP Top 10의 핵심 이해: 웹 보안의 나침반
• 주요 OWASP Top 10 취약점 분석 및 진단 전략
• A01: Broken Access Control (접근 제어 실패)
• A03: Injection (인젝션)
• A04: Insecure Design (안전하지 않은 설계)
• A05: Security Misconfiguration (보안 설정 오류)
• A07: Identification and Authentication Failures (식별 및 인증 실패)
• OWASP Top 10 기반 웹 애플리케이션 방어 전략 비교 분석
• 예방적 방어 vs 탐지 및 대응
• 정적 분석 (SAST) vs 동적 분석 (DAST)
• WAF (웹 방화벽) 활용의 한계와 보완책
• 효과적인 보안 강화를 위한 통합적 접근 방식
• 결론: 지속적인 보안 관심과 투자로 안전한 웹 생태계 구축

Image by analogicus on Pixabay

OWASP Top 10의 핵심 이해: 웹 보안의 나침반

OWASP (Open Web Application Security Project)는 웹 애플리케이션 보안을 개선하기 위한 비영리 커뮤니티입니다. 이들의 대표적인 프로젝트 중 하나가 바로 OWASP Top 10입니다. 이 목록은 전 세계 수많은 보안 전문가와 기관의 데이터를 기반으로 웹 애플리케이션에서 가장 흔하고, 가장 치명적인 보안 취약점 10가지를 정리하여 공개합니다. 이는 개발자와 보안 담당자들이 반드시 주목하고 해결해야 할 문제들을 우선순위화하는 데 중요한 기준점을 제공합니다.

OWASP Top 10은 웹 애플리케이션 보안의 동향을 반영하여 주기적으로 업데이트됩니다. 이러한 업데이트는 새로운 유형의 공격 기법이나 취약점이 부상할 때마다 목록에 반영됨으로써, 개발자들이 최신 보안 위협에 효과적으로 대비할 수 있도록 돕습니다. 예를 들어, 과거에는 존재하지 않았던 취약점이 부상하거나, 기존 취약점의 중요도가 변화하는 양상을 보여왔습니다. 이 목록을 이해하고 적용하는 것은 보안 개발 수명 주기(SDLC) 전반에 걸쳐 핵심적인 보안 활동을 수행하는 데 필수적입니다.

주요 OWASP Top 10 취약점 분석 및 진단 전략

이제 OWASP Top 10에 포함된 주요 취약점들을 개별적으로 살펴보며, 각각의 특징과 함께 구체적인 진단 및 방어 전략을 비교 분석해 보겠습니다. 각 취약점은 웹 애플리케이션의 서로 다른 보안 영역에서 발생하며, 그 심각성 또한 다양합니다.

A01: Broken Access Control (접근 제어 실패)

접근 제어 실패는 사용자가 자신의 권한 범위를 넘어 다른 사용자의 데이터나 관리 기능에 접근할 수 있게 되는 취약점입니다. 예를 들어, 일반 사용자가 URL 조작만으로 관리자 페이지에 접근하거나, 다른 사용자의 개인 정보를 열람하는 경우입니다. 이는 웹 애플리케이션에서 가장 흔하게 발견되는 취약점 중 하나로, 데이터 유출이나 무단 기능 조작으로 이어질 수 있습니다.

• 진단 전략:
  • 역할 기반 접근 제어 (RBAC) 테스트: 사용자별로 할당된 역할(관리자, 일반 사용자 등)을 변경하며 각 역할이 접근할 수 없는 리소스에 접근을 시도합니다.
  • 수직적 권한 상승 테스트: 낮은 권한의 사용자가 높은 권한의 기능(예: 사용자 삭제, 설정 변경)을 수행할 수 있는지 확인합니다.
  • 수평적 권한 상승 테스트: 한 사용자가 동등한 권한을 가진 다른 사용자의 데이터(예: 다른 사용자의 주문 내역)에 접근할 수 있는지 확인합니다.
  • 강제 브라우징 테스트: 직접 URL을 입력하여 권한이 없는 페이지나 파일에 접근을 시도합니다.
• 방어 전략:
  • 최소 권한 원칙 적용: 모든 사용자 및 시스템은 필요한 최소한의 권한만을 가져야 합니다.
  • 서버 측 접근 제어 검증: 클라이언트 측에서만 접근 제어를 수행하는 것은 안전하지 않습니다. 모든 접근 요청은 반드시 서버 측에서 사용자 권한을 검증해야 합니다.
  • 세션 관리 강화: 예측 불가능하고 충분히 긴 세션 토큰을 사용하고, 로그아웃 시 세션을 즉시 무효화해야 합니다.
  • 접근 제어 매트릭스 구현: 각 역할이 어떤 리소스에 접근할 수 있는지 명확히 정의하고 이를 기반으로 접근을 통제합니다.

A03: Injection (인젝션)

인젝션은 공격자가 악의적인 데이터를 애플리케이션에 주입하여, 애플리케이션이 이 데이터를 코드의 일부로 오인하고 실행하게 만드는 취약점입니다. 가장 대표적인 예시는 SQL 인젝션으로, 데이터베이스 쿼리에 악의적인 SQL 코드를 삽입하여 데이터베이스를 조작하거나 정보를 탈취합니다. 이 외에도 NoSQL 인젝션, OS 명령어 인젝션, LDAP 인젝션 등 다양한 형태가 존재합니다.

• 진단 전략:
  • 자동화된 스캐너 활용: 상용 또는 오픈소스 웹 취약점 스캐너를 사용하여 인젝션 취약점을 탐지합니다.
  • 수동 테스트: 사용자 입력 필드에 ' OR 1=1 --', '; DROP TABLE users;'와 같은 악성 코드를 직접 입력하여 데이터베이스 반응을 관찰합니다.
  • 에러 메시지 분석: 애플리케이션이 반환하는 에러 메시지를 통해 백엔드 시스템의 종류나 쿼리 구조를 유추할 수 있습니다.
• 방어 전략:
  • 매개변수화된 쿼리 (Prepared Statements): 사용자 입력을 쿼리 문자열에 직접 삽입하는 대신, 매개변수로 처리하여 SQL 구문과 데이터를 명확히 분리합니다.

    // Java (JDBC) 예시
    String query = "SELECT * FROM users WHERE username = ? AND password = ?";
    PreparedStatement pstmt = connection.prepareStatement(query);
    pstmt.setString(1, username);
    pstmt.setString(2, password);
    ResultSet rs = pstmt.executeQuery();

  • 입력 값 검증 및 이스케이프: 모든 사용자 입력 값에 대해 엄격한 유효성 검사를 수행하고, 데이터베이스에 저장하기 전에 특수 문자를 이스케이프 처리합니다.
  • ORM (Object-Relational Mapping) 사용: 대부분의 ORM 프레임워크는 SQL 인젝션 방어를 위한 기능을 내장하고 있어 안전한 쿼리 작성을 돕습니다.
  • 최소 권한의 데이터베이스 사용자 사용: 웹 애플리케이션이 데이터베이스에 접근할 때 필요한 최소한의 권한만을 가진 계정을 사용합니다.

A04: Insecure Design (안전하지 않은 설계)

안전하지 않은 설계는 보안 통제에 대한 부족한 설계나 구현, 또는 아키텍처적 결함으로 인해 발생하는 취약점입니다. 이는 특정 코딩 실수라기보다는, 설계 단계부터 보안을 충분히 고려하지 않았을 때 발생하는 광범위한 위험을 포괄합니다. 예를 들어, 중요한 비즈니스 로직에 대한 명확한 보안 요구사항이 없거나, 위협 모델링 없이 기능을 개발하는 경우입니다.

• 진단 전략:
  • 위협 모델링 (Threat Modeling): 시스템 설계 단계에서 발생 가능한 위협과 공격 경로를 식별하고, 이에 대한 방어책을 수립합니다.
  • 보안 아키텍처 검토: 시스템의 전체적인 보안 아키텍처가 적절한지, 보안 원칙(예: 최소 권한, 심층 방어)을 잘 따르고 있는지 검토합니다.
  • 보안 요구사항 명세 검토: 각 기능에 대한 보안 요구사항이 명확하게 정의되어 있고, 설계에 반영되었는지 확인합니다.
• 방어 전략:
  • 보안 중심 설계 (Security by Design): 개발 초기 단계부터 보안을 핵심 요소로 고려하고 설계에 반영합니다.
  • Privacy by Design (PbD): 개인 정보 보호를 설계의 근본적인 부분으로 포함합니다.
  • 참조 아키텍처 및 라이브러리 활용: 검증된 보안 참조 아키텍처나 보안 기능을 내장한 라이브러리를 사용합니다.
  • 개발자 보안 교육: 개발자들이 보안 설계 원칙과 패턴을 이해하고 적용할 수 있도록 지속적인 교육을 제공합니다.

A05: Security Misconfiguration (보안 설정 오류)

보안 설정 오류는 서버, 데이터베이스, 프레임워크, 애플리케이션 등 모든 계층에서 잘못된 보안 설정으로 인해 발생하는 취약점입니다. 기본 계정/패스워드 사용, 불필요한 서비스 활성화, 에러 메시지를 통한 정보 노출, 패치되지 않은 소프트웨어 사용 등이 대표적인 예시입니다. 이는 공격자에게 시스템 접근 권한을 부여하거나 민감한 정보를 노출시키는 결과를 초래할 수 있습니다.

• 진단 전략:
  • 보안 설정 감사: 운영체제, 웹 서버(Apache, Nginx), 애플리케이션 서버(Tomcat, WAS), 데이터베이스 등의 모든 설정 파일을 정기적으로 검토합니다.
  • 자동화된 설정 검증 도구: CIS Benchmarks와 같은 표준을 기반으로 서버 설정을 자동으로 검증하는 도구를 활용합니다.
  • 불필요한 서비스 및 포트 스캔: 외부에서 접근 가능한 불필요한 서비스나 포트가 열려있는지 확인합니다.
  • 에러 메시지 확인: 상세한 에러 메시지가 사용자에게 노출되어 시스템 정보를 유추할 수 있는지 확인합니다.
• 방어 전략:
  • 강화된 보안 설정 적용: 모든 서버 및 애플리케이션 컴포넌트에 대해 기본 설정을 변경하고, 보안 베스트 프랙티스를 따릅니다.
  • 불필요한 기능 및 서비스 제거: 사용하지 않는 포트, 서비스, 기능, 계정 등은 모두 비활성화하거나 제거합니다.
  • 최신 보안 패치 적용: 운영체제, 미들웨어, 프레임워크, 라이브러리 등 모든 소프트웨어를 최신 버전으로 유지하고 보안 패치를 즉시 적용합니다.
  • 정보 노출 최소화: 에러 메시지나 배너 정보를 통해 시스템 내부 정보가 노출되지 않도록 설정합니다.
  • 개발/테스트/운영 환경 분리: 각 환경별로 적절한 보안 정책을 적용하고, 민감한 정보가 개발/테스트 환경에 존재하지 않도록 합니다.

A07: Identification and Authentication Failures (식별 및 인증 실패)

식별 및 인증 실패는 사용자의 신원을 제대로 확인하지 못하거나, 세션 관리가 부실하여 발생하는 취약점입니다. 취약한 암호 정책, 불안전한 세션 관리, 다중 인증(MFA) 부재 등이 여기에 해당합니다. 이는 공격자가 합법적인 사용자로 위장하여 시스템에 접근하거나, 세션을 가로채는 등 무단 접근을 가능하게 합니다.

• 진단 전략:
  • 무작위 대입 공격 (Brute-force) 및 사전 공격 테스트: 흔히 사용되는 암호나 예측 가능한 암호를 사용하여 로그인 시도를 합니다.
  • 계정 잠금 정책 테스트: 일정 횟수 이상 로그인 실패 시 계정이 잠기는지, 그리고 잠금 해제 절차가 안전한지 확인합니다.
  • 세션 토큰 예측 가능성 테스트: 세션 토큰이 예측 가능한 패턴을 가지고 있는지, 또는 충분히 무작위성이 높은지 확인합니다.
  • 세션 만료 및 무효화 테스트: 로그아웃 시 세션이 즉시 무효화되는지, 일정 시간 비활성 시 세션이 자동으로 만료되는지 확인합니다.
• 방어 전략:
  • 강력한 암호 정책 구현: 복잡성 요구사항(문자 종류, 길이), 정기적인 암호 변경, 이전에 사용된 암호 재사용 금지 등의 정책을 적용합니다.
  • 다중 인증 (MFA) 도입: 암호 외에 추가적인 인증 수단(OTP, 생체 인식 등)을 요구하여 보안을 강화합니다.
  • 안전한 세션 관리: 안전하고 예측 불가능한 세션 토큰을 사용하고, HTTPS를 통해서만 세션 쿠키를 전송하며, HttpOnly 및 Secure 플래그를 설정합니다. 세션 타임아웃을 적절히 설정하고, 로그아웃 시 서버 측에서 세션을 즉시 무효화합니다.
  • 암호화된 저장: 사용자 암호는 절대로 평문으로 저장하지 않고, 솔트(salt)와 함께 강력한 단방향 해싱 알고리즘(예: bcrypt, scrypt, Argon2)을 사용하여 저장합니다.
  • 로그인 실패 처리: 로그인 실패 시 사용자에게 너무 많은 정보를 노출하지 않으며, 특정 임계치 초과 시 계정 잠금 또는 지연을 적용합니다.

Image by SylwesterL on Pixabay

OWASP Top 10 기반 웹 애플리케이션 방어 전략 비교 분석

OWASP Top 10 취약점을 효과적으로 방어하기 위해서는 다양한 접근 방식을 이해하고 적절히 조합하는 것이 중요합니다. 여기서는 주요 방어 전략들의 특징을 비교 분석해 보겠습니다.

예방적 방어 vs 탐지 및 대응

보안 전략은 크게 예방적 방어와 탐지 및 대응으로 나눌 수 있습니다. 각각의 장단점을 살펴보면 다음과 같습니다.

구분	예방적 방어 (Preventive Defense)	탐지 및 대응 (Detection & Response)
목표	취약점 발생 원천 차단 및 공격 시도 무력화	발생한 공격 또는 침해 행위 신속히 인지 및 조치
적용 시점	개발 초기 설계 단계부터 배포 후 운영 단계까지 전반적 적용	주로 운영 환경에서 실시간 모니터링 및 분석
주요 활동	보안 코딩 가이드 준수, 입력 값 검증, 강력한 인증/인가 구현, 보안 설정 강화	로그 분석, 침입 탐지 시스템(IDS)/침입 방지 시스템(IPS), 보안 정보 및 이벤트 관리(SIEM) 시스템 운영
장점	근본적인 취약점 제거, 보안 사고 발생 가능성 최소화, 장기적 비용 절감	실시간 위협 대응, 알려지지 않은 공격(Zero-day)에도 일부 대응 가능, 가시성 확보
단점	초기 개발 비용 증가, 모든 취약점 예측 어려움, 개발자의 보안 역량 요구	사고 발생 후 조치, 오탐/미탐 발생 가능성, 고도화된 위협에 대한 한계

가장 이상적인 전략은 예방적 방어를 최우선으로 하되, 탐지 및 대응 시스템으로 이를 보완하는 것입니다. 아무리 견고하게 시스템을 구축해도 완벽한 방어는 불가능하기 때문입니다. 특히 OWASP Top 10 취약점들은 대부분 예방적 방어 기법으로 해결할 수 있는 경우가 많습니다.

정적 분석 (SAST) vs 동적 분석 (DAST)

애플리케이션 취약점 진단 도구는 크게 정적 분석(SAST)과 동적 분석(DAST)으로 나눌 수 있습니다.

구분	정적 애플리케이션 보안 테스트 (SAST)	동적 애플리케이션 보안 테스트 (DAST)
분석 대상	소스 코드, 바이너리 코드 또는 바이트 코드	실행 중인 애플리케이션
분석 방식	코드 실행 없이 코드 패턴 분석	실제 공격 시나리오를 모방하여 애플리케이션 동작 분석
적합한 단계	개발 단계 (코딩 완료 후, 테스트 전)	테스트 및 운영 단계 (배포 전/후)
발견 가능한 취약점	인젝션, 접근 제어 실패, 안전하지 않은 설계 등 코드 레벨 취약점	인증 실패, 보안 설정 오류, XSS, CSRF 등 런타임 환경 취약점
장점	개발 초기 단계에서 취약점 발견 및 수정 용이, 개발자가 직접 활용 가능	실제 공격에 가까운 환경에서 테스트, 환경 설정 오류 등 발견 가능
단점	런타임 환경 이슈나 환경 설정 오류 발견 어려움, 오탐 가능성	소스 코드 접근 불가, 개발 후반부에 발견되어 수정 비용 증가

SAST와 DAST는 상호 보완적인 관계에 있습니다. SAST는 개발자가 코드를 작성하는 과정에서 잠재적인 취약점을 미리 발견하여 수정 비용을 절감하는 데 효과적이며, DAST는 실제 운영 환경과 유사한 조건에서 실질적인 공격 가능성을 검증하는 데 강점이 있습니다. OWASP Top 10 취약점들을 포괄적으로 진단하기 위해서는 이 두 가지 방법을 함께 사용하는 것이 가장 효과적입니다.

WAF (웹 방화벽) 활용의 한계와 보완책

WAF(Web Application Firewall)는 웹 애플리케이션으로 유입되는 트래픽을 모니터링하고, 알려진 공격 패턴과 비교하여 악의적인 요청을 차단하는 역할을 합니다. SQL 인젝션, XSS, 파일 업로드 취약점 등 OWASP Top 10에 명시된 다수의 취약점에 대한 일차적인 방어선을 제공합니다. 특히 즉각적인 코드 수정이 어려운 상황에서 시간을 벌어주는 임시 방편으로 유용하게 활용될 수 있습니다.

하지만 WAF만으로는 모든 위협을 막을 수 없습니다. WAF는 기본적으로 알려진 패턴에 기반하여 작동하므로, 새로운 유형의 공격(Zero-day attack)이나 복잡한 비즈니스 로직 취약점, 불안전한 설계(A04)와 같은 근본적인 문제점은 탐지하기 어렵습니다. 또한, 오탐(False Positive)으로 인해 정상적인 트래픽을 차단하거나, 우회 기법에 취약할 수 있습니다.

따라서 WAF는 종합적인 웹 보안 전략의 일부로 활용되어야 합니다. WAF를 통해 외부 공격을 1차적으로 방어하고, 애플리케이션 내부적으로는 안전한 코딩 원칙을 준수하며, 지속적인 취약점 진단 및 개선 활동을 병행해야 합니다. 마치 성벽과 성문이 외부의 침입을 막아주지만, 성 안의 방어 체계와 군사 훈련이 없다면 결국 함락될 수밖에 없는 것과 같은 이치입니다.

Image by RuslanSikunov on Pixabay

효과적인 보안 강화를 위한 통합적 접근 방식

웹 애플리케이션 보안은 단일 솔루션이나 일회성 프로젝트로 해결될 수 있는 문제가 아닙니다. 지속적인 노력과 통합적인 접근이 필요합니다. OWASP Top 10을 효과적으로 방어하고 안전한 웹 서비스를 구축하기 위한 방안들을 제시합니다.

1. SDLC(Software Development Life Cycle) 전반에 걸친 보안 적용 (SecDevOps):
   • 요구사항 및 설계 단계: 초기 단계부터 보안 요구사항을 명확히 정의하고, 위협 모델링을 통해 잠재적 취약점을 식별하며, 보안 원칙을 설계에 반영합니다.
   • 개발 단계: 보안 코딩 가이드라인을 준수하고, SAST 도구를 활용하여 코드 작성 중 취약점을 발견하고 수정합니다.
   • 테스트 단계: DAST, 수동 모의 해킹(Penetration Testing) 등을 통해 실제 운영 환경에서의 취약점을 검증합니다.
   • 배포 및 운영 단계: WAF, IDS/IPS, SIEM 등을 활용하여 실시간 모니터링 및 방어를 수행하고, 정기적인 보안 감사 및 패치 관리를 진행합니다.
2. 지속적인 보안 교육 및 인식 개선:
   • 개발자, QA 엔지니어, 운영자 등 모든 이해관계자가 OWASP Top 10과 같은 주요 보안 위협을 인지하고, 안전한 개발 및 운영 습관을 가질 수 있도록 정기적인 교육을 제공해야 합니다.
   • 보안은 특정 팀만의 업무가 아닌, 모두의 책임이라는 인식을 확산시키는 것이 중요합니다.
3. 자동화된 보안 도구와 수동 점검의 조화:
   • SAST, DAST, WAF 등 자동화된 도구는 효율적인 취약점 탐지 및 방어를 가능하게 하지만, 모든 취약점을 발견할 수는 없습니다.
   • 숙련된 보안 전문가에 의한 수동 모의 해킹은 자동화된 도구가 놓칠 수 있는 복잡한 비즈니스 로직 취약점이나 설계상의 문제점을 발견하는 데 결정적인 역할을 합니다. 이 두 가지를 균형 있게 활용하는 것이 중요합니다.
4. 보안 전문가와의 협력 및 정보 공유:
   • 내부 보안 역량이 부족할 경우, 외부 보안 전문 업체와의 협력을 통해 전문적인 진단 및 컨설팅을 받는 것을 고려해야 합니다.
   • 보안 커뮤니티나 정보 공유 채널을 통해 최신 위협 동향과 방어 전략에 대한 정보를 지속적으로 습득하는 것도 중요합니다.

결론: 지속적인 보안 관심과 투자로 안전한 웹 생태계 구축

OWASP Top 10은 웹 애플리케이션 보안 취약점을 이해하고 방어하기 위한 가장 실용적이고 핵심적인 가이드라인입니다. 이 목록에 명시된 취약점들은 웹 서비스가 직면할 수 있는 가장 흔하고 치명적인 위험을 대변합니다. 각 취약점의 특성을 정확히 파악하고, 이에 대한 진단 전략과 예방적/탐지적 방어 전략을 종합적으로 적용하는 것이 중요합니다.

보안은 한 번 구축하면 끝나는 것이 아니라, 끊임없이 진화하는 위협에 맞서 지속적으로 관리하고 개선해야 하는 영역입니다. 개발 수명 주기 전반에 걸친 보안 내재화, 자동화된 도구와 수동 점검의 조화, 그리고 모든 구성원의 보안 인식 함양을 통해 견고한 웹 애플리케이션 보안 환경을 구축할 수 있습니다. 여러분의 소중한 웹 서비스가 안전한 환경 속에서 사용자들에게 최고의 가치를 제공할 수 있도록, 지금부터라도 OWASP Top 10을 활용한 보안 강화에 적극적으로 투자하고 관심을 기울여야 합니다.

당신의 웹 서비스는 어떤 OWASP Top 10 취약점에 대비하고 있나요? 혹은 어떤 취약점을 해결하기 위해 노력하고 있나요? 경험과 생각을 댓글로 자유롭게 공유해주세요.

📌 함께 읽으면 좋은 글

• [이슈 분석] 시니어 개발자, 관리 vs. 기술 리더: 커리어 패스 선택과 성장 전략
• [개발 도구] Postman 활용 가이드: API 개발 및 테스트 효율을 극대화하는 방법
• [보안] OAuth 2.0 및 OpenID Connect 완벽 가이드: 웹 애플리케이션 인증/인가 구현 핵심

이 글이 도움이 되셨다면 공감(♥)과 댓글로 응원해 주세요!
궁금한 점이나 다루었으면 하는 주제가 있다면 댓글로 남겨주세요.