DHCP와 DNS 보안
침해사고 대응
BCP/DRP
-
309.
DHCP Spoofing
- 공격자 컴퓨터는 자신을 경유하는 모든 패킷을 (정상)Default Gateway에 전달하는 능력을 갖춘다
- 공격자는 정식 DHCP 서버보다 타겟 클라이언트에 지리적으로 가까운 위치에 있어서,
정식 DHCP 서버의 패킷보다 위조된 DHCP Reply 패킷을 클라이언트에게 빠르게 전달한다
- 공격자는 위조된 DHCP 서버를 이용해 자동으로 IP를 구성하는 컴퓨터 사용자들에게 공격자 IP를 Default Gateway로 전달하여 모든 패킷을 수집한다
310.
DNS zone transfer
- TCP 53번 포트 사용
- zone transfer를 막기 위해서는 ACL이나 TSIG 보안설정 사용
- zone transfer는 불필요한 내부 정보를 유출할 수 있다
- master DNS 서버와 slave DNS 서버간 zone 정보를 동기화한다
311.
DNS 보안 취약점 : DNS Cache poisoning
- Recursive Query가 허용된 목표 네임 서버에 공격자가 의도한 도메인의 질의 및 위조된 응답 패킷을 전송한다
+ dns 정보 찾기 순번 : 캐시 -> hosts 파일 -> DNS 서버 -> 상위 DNS 서버
+ DoS : 수많은 질의를 한꺼번에 보내 네임서버가 정상적 요청을 처리하지 못하게 된다
+ hosts 찾는 정보가 존재하지 않으면 DNS 서버에 질의하고, DNS 서버는 상위 DNS 서버에 질의하는 것을 반복한다
312.
오래된 버전의 BIND DNS와 윈도우 서버의 DNS에서 캐시 오염방지 설정이 되어 있지 않은 경우
성공할 가능성이 높은 전통적인 공격 형태. DNS 질의 결과로 받아 둔 응답 메시지를 위변조한다.
DNS Transcation ID와 소스 포트 넘버를 부여할 때 예상하기 쉬운 랜덤 값을 생성하기 때문에 발생하는 보안 취약점을 이용한다
=> DNS Cache Poisoning
+ dns Sinkhole : DDoS 차단 기법(2차 피해 방지)
313.
DNSSEC이 제공하는 보안성
- 파밍 방지 (DNS 탈취 방지)
- 완전 무결성
314.
DNSSEC
- 서비스 거부 공격 방지 불가
- DNS 데이터 위변조 대응 가능
- 메시지 송신자 인증, 전자서명 제공
- 기밀성(암호화) 제공하지 않음
315.
DNSSEC 기술
- 전자서명 메커니즘을 사용하여 응답 메시지의 각 Section에 설정되는 리소스 레코드 데이터의 위변조를 방지한다.
(무결성 보장)
316.
데이터베이스 보안 유형
- 접근통제, 암호화, 허가규칙, 가상테이블(뷰)
317.
데이터베이스에 대한 추론 위협과 통제
- 통계적 자료에서 많이 발생하는 위협
- 완벽한 해결책은 존재하지 않음
- 질의에 대한 응답으로 제공되는 데이터를 한정하는 통제법이 있다 (쿼리제약)
+ 집성 : 낮은 보안 등급 정보 조각을 조합하여 높은 등급 정보를 알아내는 위협
318.
접근권한에 따라 논리적 DB를 분리하고 통제하는 것
=> 접근통제
319.
db 보호를 위한 접근통제
- 사용자의 접근권한에 따라 논리적으로 분리
- DBA는 누가 어떤 부분의 데이터에 어떤 수준까지 접근 가능한지 지정
- DBA는 사용자별 허용기능을 결정
- 시스템 객체에 대한 모든 직접적 접근이 보호정책에 따라 세운 모드와 규칙에 따라 상호 배타적이게 하는 것
+ 흐름제어 : 정보가 명시적으로 또는 암시적으로 보다 낮은 보호수준의 객체로 이동하는 것을 검사
320.
강력하고 안전한 db 보안 방안
- 보안 표준지침 구축
+ 기술적 방안 : SA 계정에 암호할당, 데이터 암호화, DBMS 접근통제, 방화벽 및 IDS 운용
( 보안 방안인 보안 표준지침 구축에 기술적 방안이 포함된다 )
321.
DB 서버의 보안 강화
- 여러 단계 방화벽으로 보호되는 내부망에 DB 서버를 두어 외부공격으로부터 최대한 차단
- DB 서버의 시스템 파일의 읽기, 쓰기 권한을 제한함
- 보안 수준이나 사용자 집단이 다른 데이터베이스는 물리적으로 분리된 각각 다른 DB 서버에 배치한다
- DB 응용프로그램은 DB 서버와 분리하는 것이 권장됨
322.
데이터베이스 암호화 솔루션이 제공하는 DBMS 자체 암호화 방식
- 데이터베이스 서버의 DBMS 내에서 암복호화 수행
- 소형 데이터베이스는 약한 수준의 성능저하, 대형 데이터베이스는 많은 성능 저하
- DBMS에 내장 또는 옵션으로 제공되는 암호화 기능인 TDE 방식과 유사
+ API 방식 : 어플리케이션 서버에서 암복호화 (차세대 시스템 개발)
+ Plug-in, TDE 방식 : DBMS 서버에서 암복호화
323.
클라우드 보안
- SecaaS : 클라우드 컴퓨팅 환경 하에 인터넷을 통해 보안 서비스를 제공하는 것.
Stand-alone으로 클라우드 기반 보안서비스를 제공하거나, 클라우드 서비스 제공 업체가 자사 고객에게 보안기능을 제공하는 방식으로 나뉜다
보안서비스를 asp 형태로 공급하는 측면에서 넓은 의미의 SaaS로 볼 수 있다
- 클라우드 환경의 보안 위협은 VM 상호 간의 공격, 다중임대 클라우드 서비스의 클라이언트 및 서버 시스템 등에서 발생할 수 있다
324.
전자화폐 & 전자 투표 시스템에 공통으로 요구되는 사항
- 익명성
+ 투표 : 완전성 (정확한 집계), 익명성(투표 결과로부터 투표자 구별X), 적임성(권한이 있는 사람만 투표)
+ 화폐 : 익명성(프라이버시 보호), 양도성
325.
SET의 이중서명을 사용하는 이유
- 서명 대상 정보의 보호
( 은행은 지불정보를 알지만, 상점은 알 필요 없다 )
+ 지불정보 : 은행O, 상점X, 주문정보 : 은행X, 상점O
326.
SET 프로토콜이 지원하는 서비스
- 트랜잭션 정보의 비밀성
- 데이터 무결성
- 상인과 고객의 상호 확인
327.
SET 프로토콜을 이용한 전자상거래
- 구매요구 : 상인은 주문 정보만 알고 매입사는 지불정보만 알아야 한다
- 고객과 거래처간에 서보 신분을 확인할 수 있는 인증에 대한 내용 포함
- 인터넷 상에서 메시지를 안전하게 주고받을 수 있는 암호화 기법 내용 포함
- 지불(결제)정보는 은행의 공개키로 암호화
328.
이중서명
- 구매자의 주문정보 - 판매자, 지불정보 - 금융기관에 전달
- 분쟁에 대한 대비로 주문정보와 지불정보의 연관성이 구현되어야 함
- 구매자는 해당 주문에 대해 지불되었음을 지불정보과 주문정보에 각각 해시값을 구하고 두 해시값을 다시 한 번 해시값으로 구한다
- 최종 해시값은 카드사용자의 개인키로 암호화
329.
SET 프로토콜의 단점
- 암호 프로토콜의 복잡성
- RSA 동작은 프로토콜 속도를 저하시킨다
- 지불게이트웨이에 거래를 전자적으로 처리하기 위한 별도 하드웨어와 소프트웨어가 요구된다
- 카드 소지자에게 전자지갑 소프트웨어가 요구됨
- 상점에 처리를 위한 소프트웨어가 요구됨
330.
이중서명
- 카드결제에서 계좌정보나 구매물품 노출을 방지하는 효과
- 판매자가 결제정보를 위변조 하는 것 방지
- 이중서명에 대한 검증은 판매자가 수행
- 이중서명의 검증은 위변조여부 확인과 사용자 인증까지 포함
331.
내부망 보안을 위한 방법
- 무분별한 usb 사용 제한
- 물리적으로 내부와 외부 망을 분리
- 내부망에도 침입차단시스템같은 보안장비 설치
+ 물리적 분리 : pc 2대 / 비용 비쌈 / 보안↑ / 효율성 저하
+ 논리적 분리 : pc 1대 / 비용 저렴 / 보안↓ / 효율성 좋음(관리용이)
332.
파일시스템의 슬랙Slack 공간
- 파일시스템이 재생성(포맷)되기 전까지 유효하다
- 물리적 구조와 논리적 구조의 차이로 발생
- 물리적으로 할당되어 있지만 논리적으로 접근할 수 없는 구역
- 악성코드를 숨기거나 중요 파일을 숨길 수 있다
- 종류는 램, 드라이브, 파일, 볼륨 등
333.
증거수집 대상 중 휘발성 데이터 (메모리 공간)
- 시간정보, 로그인 사용자 정보
- 프로세스 정보, 프로세스 사용파일(서비스) 정보
- 클립보드 데이터
334.
이미지 백업을 위한 컴퓨터 포렌식 전용도구
- Encase
+ 아카이브 : tar
+ 압축 : gzip
+ netcat : nc (네트워크에서 데이터를 읽고쓰는 유틸리티)
335.
사람의 행동을 대신해 동작하는 프로그램
웹 사이트를 방문하여 검색엔진 색인을 위한 콘텐츠 수집 프로그램
공격자 프로그램을 의미하기도 함
=> 봇 (에이전트 역할 수행)
+ Joke : 심리의 위협이나 불안을 유발하는 프로그램
+ Hoax : 가짜 바이러스
336.
Botnet(봇에 감염된 컴퓨터들로 연결시킨 형태) 탐지 및 대응기술
- Behavior Detection : 시그너처 기법
- DNS Sinkhole : 디도스 대응책, c&c 서버와 좀비pc간의 통신을 단절시킴
- Honeynet : 공격자 정보를 수집하기 위한 허니팟의 모음
337.
봇넷
- 봇넷이 설치된 컴퓨터는 지속적으로 Command & control 서버와 연결되어 통제가 이루어진다
338.
봇에 감염된 다수 컴퓨터들이 네트워크로 연결되어있는 형태를 봇넷이라고 하고,
이 봇들을 통제하는 권한을 가진 봇마스터에 의해 원격조종된다.
봇 좀비들에게 명령을 내리고 제어하는 서버를 c&c 서버라고 한다
339.
APT: 장기간 특정한 공격 대상에 지속적이며 효율적으로 적용된다. 조직의 기밀정보 획득을 위해 사용됨
백도어: 정상적인 인증 과정을 우회하는 기법
익스플로잇: 하나 이상의 취약점에 특화된 코드
봇: 다른 기계를 공격하도록 감염된 기계에 활성화되는 프로그램
340.
정보보호와 비즈니스 관계
- IT 인프라에 대한 정보보호는 비즈니스 보호와 가치를 증대시키는 중요한 활동
- 비즈니스와 정보보호가 상충되지 않도록 함
- 자산의 위협, 취약성, 공격으로부터 보호하기 위해 정보보호 관리가 요구됨
- 비즈니스를 운영할 때 법률 준거성을 우선적으로 고려하여 정보보호 대책을 구현
+ 정보보호 : 비즈니스 요구사항의 하나, 기업목표와 전략, 위험관리계획, 법적요구사항, 최상위 정책과 연계
341.
정보보호 조직의 구성원과 책임
- 최고 경영자 : 정보보호 총괄 책임
- 정보보호 관리자 : 조직적 정보보호 정책, 표준, 대책, 실무 절차를 위한 설계, 구현, 관리, 조사 책임
- 데이터 관리자 : 정보시스템에 저장된 데이터의 정확성, 무결성 유지. 데이터 중요성 및 분류 결정 책임
- 정보 시스템 감사자 : 보안 목적이 적절하고 정보보호 정책, 표준, 대책, 실무 및 절차가 조직의 보안목적에 따라 적절한지 독립적인 입장에서 관리자에게 보증할 책임
- 정보보호 위원회 : 중간관리자급 이상, 보안 활동을 지속적으로 조직 전체에 인식시키는 역할
342.
정보시스템 관리 책임자의 주요 임무
- IT 보안 프로그램 실행 감독
- 조직 IT 보안 정책과 지침 유지
- 조직 전반적인 보안 인식 프로그램 관리
+ 보안담당자(중간관리자): IT 대책의 구현 및 사용 모니터링
+ 실무자 - 보안담당(중간관리) - 책임자
343.
최고 책임자 : 정보보호 총괄 책임
데이터 관리자 : 데이터 정확성, 무결성 유지, 분류 결정
정보시스템 감사자 : 보안목적, 보호정책, 표준, 대책, 실무 등등 적절한지 독립적 입장에서 관리자에게 보증
정보호호 관리자 : 조직적 정보보호 정책, 표준, 대책, 실무 절차를 위한 설계, 구현, 관리, 조사 책임
344.
위험관리 절차
1) 자산식별
2) 위험 분석 및 평가
3) 정보보호대책 수립
4) 정보보호계획 수립
5) 주기적 재검토
식별 -> 분석 평가 -> 보호대책 -> 보호계획 -> 재검토
345.
위험관리 방법론
- 국내 ISMS 인증체계 & ISMS-P
- ISO/IEC 27001 (정보보호 관리체계 요구사항)
- ISO/IEC TR 13335-3 (=ISO/IEC 27005, 위험관리 프로세스 적용 지침. 위험 수용/감소/전이/회피)
+ ISO/IEC 15408: CC (정보보안 인증을 위한 평가기준)
346.
위험관리, 위험관리 세부과정
- 위험을 평가하고 피해자가 수용할 수 있는 수준까지 위험 부담을 줄이기 위한 조치를 강구하는 것
- 대책산정은 허용가능 수준으로 평가된 위험을 줄이기 위해 적절하고 정당한 대책을 식별 및 산정
- 위험분석은 통제되거나 받아들여질 필요가 있는 위험을 확인하는 것. 자산의 가치평가, 위험, 취약성 포함. 위험을 평가하고 식별.
347.
위험관리 과정의 위험분석 방법
* 상세위험 접근법
- 자산의 가치를 측정하고 자산에 대한 위협의 정도와 취약점 분석. 정보시스템의 경우 업무중요도가 높거나 자산가치가 높은 경우에 적용한다
+ 기준선baseline 접근법 : 체크리스트, gap 분석
+ 전문가informal 판단법 : 전문가 개개인의 경험과 지식에 의존
+ 복합적combined 접근법 : 고위험(상세), 기타(기준선)
348.
위험분석
- 위험분석을 실시할 때 보호대책 선택에 필요한 시간과 노력을 감소시킬 수 있다
- 분석중 자원을 확보할 필요는 없음
- 기본적인 보호대책이 너무 높게 설정되면 비용이 높아진다
- 보호대책이 너무 낮게 설정되면 일부 시스템에 보안결핍 초래
349.
위험분석 전략의 장단점
- 복합 접근 : 자원과 비용이 가장 큰 이익이 있는 곳에서 사용될 수 있고 높은 위험은 고수준 접근(상세) 사용
- 상세위험분석 : 많은 시간과 노력, 전문성이 필요하다
- 기준선 접근 방법 : 자원을 확보해둘 필요가 없다
350.
조직은 정보자산의 식별을 통해 목록을 만들고 자산의 가치와 중요도를 산출하며 정보자산과 업무처리와의 관계를 알아낼 수 있다.
351.
시나리오법
- 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에 위혐에 대한 발생 가능한 결과들을 추정하는 방법
- 발생 가능한 사건의 이론적인 추측
352.
자동화된 위험분석 도구 (정량적 위험분석에 사용)
- 위험분석의 일반적인 요구사항과 절차를 자동화한 도구
- 수작업 시 실수로 인한 오차를 줄일 수 있어서 신뢰도가 높다
- 분석 과정에서 정확한 자료의 입력이 중요
- 단, 위험분석에 소요되는 시간이나 비용이 줄어들지는 않음
+ 정량적 위험분석 : 계산이 복잡하고 시간, 노력, 비용이 많이 든다. 수작업이 어려워 자동화도구를 사용하는데, 도구에 따라 신뢰도가 달라진다
353.
정량적 위험분석 : 계산에 대산 노력이 많이 든다. 정보의 가치가 논리적으로 평가되고 비교적 납득이 더 잘 된다. 수작업이 어려워 자동화도구를 사용할 시 신뢰도가 벤더에 의존된다.
정성적 위험분석 : 위험평가 과정과 기준이 주관적이어서 전문가에 따라 달라질 수 있다.
354.
운영하는 홈페이지에서 고객의 개인정보를 수집하면서 수집 및 이용 동의를 받지 않았다
위험분석 과정에서 관련 문제점이 법을 위반하는 사항으로 과징금 및 형사처벌 대상이라는 이슈가 도출됨
=> 위험감소 처리 전략을 사용하여야 한다
355.
업무연속성관리BCM
- 재난이나 재해 발생시 중요 자산, 서비스를 적시에 복구하여 업무를 진행할 수 있는 위기관리
- 재난, 재해 등 위기 상황에서도 핵심 서비스와 제품 생산 활동을 복구하여 업무를 수행할 수 있는 위기관리 능력
- 전략수립 단계(2단계) : 잔재적 영향 및 위험 평가, 위험감소 및 업무 프로세스 복구를 위한 여러 옵션들을 파악해야 하고 평가하여 비용 효과적인 전략을 수립한다.
+ 예방통제 : 예방할 목적으로 행사하는 통제, 능동적 대처
356.
업무연속성계획BCP 순서
1) 사업상 중대 업무 규정
2) 자원의 중요도 결정
3) 발생 가능한 재난에 대한 예상
4) 재난 대책 수립
5) 재난 대책 수행
6) 테스트 및 수정
+ 5단계일 경우
프로젝트 범위 설정, 기획 -> 사업영향 평가BIA -> 복구전략 개발 -> 복구 계획 수립 -> 프로젝트 수행 테스트 및 유지보수
357.
업무연속성 관리 단계 BCM
1) 시작: 업무연속성 관리에 대한 정책을 수립하는 단계. 수립된 업무연속성계획이 적절히 통합되는 것을 보장하고 제반사항을 준비함
2) 전략수립: 위험감소 및 업무 프로세스 복구를 위한 여러 옵션을 들을 파악하는등, 비용 효과적인 전략을 수립하는 프로세스
3) 구현: 설비를 구현하며 필요한 업무 복구를 위한 계획 및 절차를 작성하고 수행
4) 운영관리: 테스트 , 유지보수, 적절한 교육 및 훈련 프로그램 수행
358.
웜 사이트
- 부분적으로 설비를 가지고 있는 백업 사이트
주 컴퓨터는 가지고 있지 않는 재난복구 서비스의 일종
+ 핫 사이트 : Active-Standy 상태
+ 콜드 사이트 : HVAC, 장소만 마련해둔 상태
359.
재해복구 테스트 유형
- 체크리스트
- 시뮬레이션
- 구조적 점검 테스트
- 병행테스트
- 완전중단 테스트
360.
정보보호 정책 및 조직
- 조직에 미치는 영향을 고려하여 주요 업무, 서비스, 조직, 자산 등을 포함하여 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화한다
- 정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계 수립
- 최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적 운영이 가능하도록 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행시 필요한 자원을 확보한다
- 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책 수립. 국가나 관련 산업에서 정하는 관련 법, 규제를 고려한다
361.
정보보호정책 (지침과 규약)
- 최고경영자의 승인을 받아야 한다
- 정기적으로 검토하여 필요시 개정
- 모든 임직원에게 이해하기 쉬운 형태로 전달되어야 한다
- 상위 조직의 정책과 방향이 같아야 한다
362.
위험분석
- 위험수준의 감소를 위해 선정한 정보보호대책은 위험처리의 시급성, 예산 할당, 구현에 요구되는 기간에 따라 우선순위를 정하고 계획수립, 지속적으로 관리
- 위험감소를 목표로 전략을 수립하거나 위험회피, 위험전가, 위험 수용 등의 방안을 선택할 수 있다
- DoA 수용 가능한 목표를 초과하지 않는 위험 중, 위험수준이 상승할 가능성이 있거나 중요하다고 판단될 경우 필요시 보호대책 수립이 가능
- 자산 용도, 사양, 관리부서, 자산가치 등이 동일하다면 그룹핑하는 것도 좋은 방법
363.
물리적 보호구역의 보안
- 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정. 각 구역별 보호대책 수립 이행
- 주요 시스템을 외부에 위탁운영시 관련 요구사항을 계약서에 반영하고 주기적으로 검토 수행
- 인가된 사람만이 보호구역 및 주요 설비, 시스템에 접근할 수 있도록 출입을 통제하고 책임추적성을 위해 출입 및 접근 이력을 주기적으로 검토
364.
시스템 개발 보안
- 개발/시험 시스템은 운영 시스템에 대한 비인가 접근 및 변경의 위험을 낮추기 위해 원칙적으로 분리
- 운영 환경으로 이관시 통제된 절차에 따라야 하고 실행코드는 테스트와 사용자 인수 후 수행
- 정보시스템 개발을 외주위탁시, 분석-설계-구현-이관까지 준수해야 할 보안요구사항을 계약서에 명시하고 이행여부 관리감독 필요
- 운영데이터 유출을 예방하기 위해서, 운영시스템에 대한 데이터 생성, 이용 및 관리, 파기, 기술적 보호조치에 관한 절차 수립 및 이행까지 진행되어야 한다
+ 소스 프로그램 보안 : 운영 환경에 보관하지 않는 것이 원칙
365.
시스템 보안 평가 인증제도
- TCSEC : 미국 평가 인증제도. 보안정책, 책임성, 보증, 문서화 등 요구
- ITSEC : 영국 및 유럽. 단일 기준으로 평가.
- 국내 보안등급체계 K1~K7이 있고, 6개의 보안기능요구사항과 보증요구사항이 있다
- CC는 국제정보보호표준으로 EAL1~EAL7로, 7개의 평가보증등급으로 구성
366.
ITSEC 보안 요구사항 (유럽, 물리적 보안 계통)
- 식별 및 승인
- 책임성 및 감사
- 접근제어
- 객체 재사용
- 정확성
- 서비스 신뢰성
- 데이터 교환
+ 논리적 보안 : 업무 지속성 관리
367.
국가정보원장은 사이버 공격에 대한 체계적 대응 및 대비를 위해 사이버공격 파급영향, 피해규모 등을 고려하여 수준별 경보를 발령할 수 있다
사이버 위기경보 단계
- 관심 : 피해발생 가능성 증가, 사이버 공격 국내 유입 우려, 탐지활동 강화
- 주의 : 침해사고가 일부기관에서 발생 또는 다수 기관으로 확산될 가능성 증가. 일부 네트워크 및 정보시스템 장애.
- 경계 : 복수 정보통신서비스 제공자망, 기간망 장애 또는 마비. 대규모 피해로 발전될 가능성. 다수 기관의 공조대응 필요
- 심각 : 국가적 차원에서 네트워크 및 정보시스템 사용 불가능. 국가적 차원에서 공동대처 필요
368.
OECD 정보보호 가이드라인
- 정보시스템과 네트워크 보호를 검토하고 재평가하여 정책, 관행, 조치, 절차를 적절히 수행해야한다
- 정보보호를 시스템과 네트워크의 핵심 요소로 수용해야한다 (설계와 이행)
- 정보보호 사고를 예방, 탐지, 대응하기 위해 적기에 협력해야 한다 (대응)
- 정보시스템과 네트워크 환경을 고려하여 필요한 경우 위험 평가를 시행해야한다. (위험평가)
+ OECD 정보보호 9원칙
1) 정책수준
- 인식
- 책임의식
- 대응
- 윤리
- 민주주의
2) 운영수준
- 위험평가
- 설계와 이행
- 보안 관리
- 재평가
'(필기) 정보보안기사&산업기사' 카테고리의 다른 글
| 필수기출1200 ~103 (0) | 2024.06.12 |
|---|---|
| 오답노트 및 메모 ~400 법규 (0) | 2024.06.10 |
| 오답노트 및 메모 ~308 (0) | 2024.06.06 |
| 오답노트 및 메모 ~292 (0) | 2024.06.06 |
| 오답노트 및 메모 ~241 (0) | 2024.06.04 |