507.
User01이 S 테이블을 생성한 후 동료인 Staff01에게 S테이블 레코드를 볼 수 있도록 접근권한을 부여한다
=> GRANT SELECT ON S TO Staff01
( 읽기 권한 = SELECT )
508.
데이터베이스 키 유형
여러 개의 후보키 중에서 기본키로 선정되고 남은 나머지 키
=> Alternate Key 대체키
+ Candidate Key 후보키
509.
DB 보안 위협 요소 : 추론
대응책 : 다중 인스턴스화(다중 사례화 Polyinstantiation). 두 가지 버전의 동일 객체를 생성하여 낮은 수준 주체가 실제 정보를 알지 못하게 하고 거짓정보를 제공하여 추론에 대응한다
510.
DB 보안통제기법
추론제어
- 간접적으로 노출된 데이터를 통해 다른 데이터를 추론하지 못하게 방지
- 빅데이터 같은 대규모 데이터의 통계분석에서 많이 발생
- 허용 가능한 질의를 제한하고 질의 응답 데이터 한정
+ 흐름제어 : 정보가 명시적, 암시적으로 보다 낮은 객체로 이동하는 것을 검사
511.
db 보안정책
- 최고 경영자 승인 필요
- 모든 임직원에게 이해하기 쉽고 적절한 수단, 방법을 통해 교육 및 홍보되어야 한다
- 모든 임직원에게 적절하게 배포되고 자유롭게 최신 버전의 정책에 접근가능
- 정기 혹은 비정기적으로 검토, 갱신
512.
데이터베이스 접근제어
- 접근을 요청하는 능동적인 개체 : 주체
- 접근대상이 될 수동적인 개체/아이템 : 객체
- 어떤 주체가 어떤 타깃에 대해 어떤 목적을 갖고 어떤 조건하에 접근할 수 있는지
- 접근권한 메트릭 구현기법 : Table, Access list, Capability lists, Authority item list 등
513.
데이터베이스 보안 솔루션
조직의 보안정책 구성에 따라 사용허가 및 로깅여부 결정
독립된 서버로 구축되어 이중화 구성 필요
네트워크를 우회하여 접근할시 취약점
독립된 서버로 다중 인스턴스 통제 가능
=> 데이터베이스 접근제어 솔루션
+ 데이터베이스 감사 솔루션 : 모든 접근에 대해 로그를 기록하여 추적성 확보
+ 암호화 솔루션 : 민간데이터는 암호화 수행, 조회시 복호화후 확인
514.
전자화폐 시스템 구조
사용자 < - 지불 프로토콜 - > 상점 서버
상점서버 < - 예치 프로토콜 - > 금융기관
사용자 <- 인출 프로토콜 - > 금융기관
* 상점-금융 : 예치 헷갈리지 않도록 암기
515.
전자지불시스템
- 이중 사용
- 위조
- 거래부인
- 누명면제
- 무결성, 프라이버시, 익명성
516.
신용카드 CVC 코드
- 인터넷 카드의 소유번호를 확인하기 위한 것으로 뒷면 서명란의 마지막 3자리를 의미함
517.
전자지불 프로토콜 SET
- 전자봉투, 이중서명
518.
SET에서는 대칭키 방식의 암호화를 위해 송수신자간 비밀키 교환을 한다
전자봉투 생성에 필요한 것은 비밀키와 수신자 B의 공개키이다
( 비대칭키 암호모드: 수신자의 공개키로 암호화하고, 수신자의 개인키로 복호화한다 )
519.
SET 프로토콜의 목적
- 기밀성, 무결성, 상호확인
520.
전자상거래 SET 보안 프로토콜
- 송신자는 메시지를 압축하고 압축된 메시지를 다시 [송신자의 개인키]로 암호화하여 [전자서명]을 만든다
- 전자서명 첨부 후 이를 [대칭키]로 암호화
- 사용된 [대칭키]를 다시 [수신자의 RSA 공개키]로 암호화
전자서명 : 송신자 개인키 -> 송신자 공개키
RSA 비대칭키 암호모드 : 수신자 공개키 -> 수신자 개인키
521.
SET 프로토콜
- 주문정보는 상점의 공개키로, 지불정보는 은행의 공개키로 암호화
- 공개키, 비밀키 암호 알고리즘
- 무결성은 전자서명과 해시 알고리즘으로 확보
522.
SET 프로토콜
- 기존 신용카드 기반을 그대로 활용
- RSA 동작은 속도를 저하시킨다
- 암호 프로토콜이 복잡
- 상점에 소프트웨어 요구됨
- 카드 소지자에게 전자지갑 소프트웨어 요구됨
- SSL의 단점(상인에게 지불정보 노출)을 해결함
- 지불 게이트웨이에 별도 하드웨어/소프트웨어 요구됨
523.
SET 프로토콜
- 디지털 서명의 공개키 알고리즘 : RSA
- 비밀키 알고리즘 : DES
- 해시 알고리즘 : SHA-1
524.
이중서명
- 구매자의 지불정보와 주문정보를 분리시켜 서명하여 금융기관에 제공되는 정보를 최소화한다
+ 은닉서명 : 서명 이용자의 신원 노출이나 문서정보 노출없이 서명을 받고 싶을 때 사용
525.
이중서명의 개념도
- 사용자의 주문정보는 상점 공개키로 암호화하고, 지불정보는 은행 공개키로 암호화한다
- 해시와 서명을 사용하여 전송 데이터가 올바른지 검증할 수 있다
526.
이중서명
- 분쟁에 대한 대비를 위해 구매정보, 지불정보 두 메시지 간의 연관성이 구현되어야 한다
- 구매자는 마지막 해시를 자신의 개인 서명키로 암호화하여 이중서명 생성
- 지불정보와 주문정보 각각의 해시를 구하고 해시를 합해서 다시 한 번 해시에 적용
527.
WPKI
- 무선 인터넷 상에서의 인터넷 뱅킹, 정보 누출, 외부 침입 등 보호받을 수 있도록 하는 무선 인터넷 공개키 기반 구조
- PKI 기술 핵심인 비밀성, 무결성, 신원확인, 부인방지 등을 무선환경으로 구현
- 규격 내용 : 전자서명, WTLS 인증서 프로파일, 인증서 DN, 인증서 및 알고리즘 관련 OID 등.
- 국내 무선 기술인 WAP와 MME에 모두 사용 가능함
528.
WPKI 인증서 발급 절차
1) CA -> 단말: nonce 전달
2) 단말 : nonce를 이용한 계산
3) 단말 -> CA : SignedContent 전달
4) CA : SignedContent에서 M 출력
529.
사이버 범죄 유형
사이버 테러형 범죄 - 해킹, 악성 프로그램
일반 사이버 범죄 - 사기, 불법/유해 사이트, 디지털 저작권 침해 등
530.
디지털포렌식
- 무결성 원칙, 신속성 원칙, 재현 원칙, 정당성, 연계보관성
531.
침해사고 대응
사고 전 준비 -> 사고 탐지 -> 초기 대응 -> 대응전략 체계화 -> 사고 조사 -> 보고서 작성
* 준비 -> 탐지 -> 초기대응 -> 대응 체계화 -> 조사 -> 보고서
532.
디지털 증거
- 매체독립성, 비가시성, 다양성, 취약성, 대량성
533.
데이터 복구 기법 피하기Data Sanitization
- 디가우징, 물리적으로 디스크 파괴, 데이터 덮어쓰기
534.
저장매체의 물리적 구조와 논리적 구조의 차이로 발생하는 낭비공간
=> 슬랙 공간
535.
봇넷
- 리퍼 : 봇넷의 일종. 안드로이드 폰, 태블릿, 가정용 공유기 등이 노출된다
536.
봇넷이 설치된 컴퓨터는 지속적으로 [command & control] 서버와 연결되어 통제가 이루어진다
537.
살라미 공격
- 눈치채지 못할 정도의 작은 금액을 빼내는 컴퓨터 사기수법
538.
샌드박스Sandbox
Anti apt 제품군에 사용되는 기술
실제 환경과 동일한 조건으로 만든 가상환경에서 의심요소를 실행시킨 후 의심행위가 발생하면 침입으로 판단
+ 휴리스틱Heuristic 분석 : 검사된 개체코드나 실행된 애플리케이션 행위를 분석해 그 결과가 미리 정의된 규칙과 얼마나 유사한지 판단해 악성코드 여부를 결정
539.
거버넌스 체계에 있어서 정보보호에 대한 경경진의 관심 및 참여가 정보보호 목표 달성에 있어 제일 중요한 요소이다
경영진 참여 사항
- 경영진 참여가 이루어질 수 있도록 보고, 의사 결정 등의 책임과 역할을 문서화하여 정기적으로 보고해야함
- 정보보호위원회를 구성하여 중요 의사결정을 할 수 있음
- 내부 위임전결 등의 규정이 있을 때는 정보보호 담당 책임자가 경영진 의사결정을 대행할 수 있다
540.
정보보호 정책
- 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술
- 정책은 포괄적Broad, 일반적General, 개괄적Overview으로 기술되어야 한다
541.
정보보호 정책 구현 요소
- 표준 : 요구사항을 정의한다. 의무적 활동, 행위, 또는 규칙. 강제성을 가진다
542.
데이터 관리자 : 정보시스템에 저장된 데이터의 정확성과 무결성을 유지하고 데이터 중요성 및 분류를 결정할 책임
프로세스 관리자 : 정보시스템에 대한 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임
정보시스템 감사자 : 보안목적이 적절하며 정보보호 정책, 표준, 대책, 실무 및 절차가 보안 목적에 따라 적절하게 이루어지고 있음을 독립적으로 관리자에게 보증할 책임
543.
조직의 정보보호 교육 대상자
- 조직이 제공하는 정보를 이용하는 일반 외부 이용자 그룹, 최고 경영자, 신입직원, 외주용역, 임시직원 등
544.
위험관리 계획 과정
- 효과적인 보안에는 자산에 대한 보안 계층을 제공하는 다양한 대책의 조합이 요구된다
- 위험분석 : 모든 시스템에 대한 간단한 초기분석을 통해 불필요한 시간, 자원의 투자없이 실행 가능
- 위험관리 : 위험분석, 위험평가, 대책 설정
545.
정보보호 대책 적용 후 잔류 위험
- 정보호호 관리는 비즈니스 목적을 충족시키면서 수용가능한 수준으로 위험을 낮추는 것이다. 위험 자체는 완전히 제거될 수 없다.
546.
위험분석
자산의 [취약성]을 식별하고 존재하는 [위험]을 분석하여 이들이 [발생가능성] 및 [위협]이 미칠 수 있는 영향을 파악하여 보안위험의 내용과 정도를 결정하는 과정
[위험]은 잠재적인 [위협]이 현실화되어 나타날 경우의 손실액과 발생할 확률의 곱이다
547.
자산가치기준 - 정성적
- 자산의 업무 기여도, 자산이 영향을 미치는 조직 또는 업무
548.
위험분석 방법론
시나리오법 : 어떤 사건도 기대대로 발생하는 않는다는 사실에 근거
델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하여 토론 분석
549.
위험완화방법
- 회피 : 위험한 프로세스나 사업 포기
- 이전 : 비용을 제3자에게 이전, 할당
- 감소 : 위험을 감소시킬 대책 구현
- 수용 : 위험을 받아들이고 비용 감수
550.
위험분석을 위한 연간예상손실 ALE
- 자산가치, 노출계수, 연간발생률
( ALE = 연간발생률 * 단일 예상 손실(=노출계수 * 자산가치))
551.
업무연속성관리BCM 지침
- 책임과 역할, 업무의 중요도 및 영향 분석
- 복구전량 수립, 교육 및 훈련
- 사후관리, 비상연락망
552.
업무연속성계획BCP의 접근 5단계
1) 프로젝트 범위 설정 및 기획
2) 사업 영향평가
3) 복구전략 개발
4) 복구계획 수립
5) 프로젝트의 수행 테스트 및 유지보수
* 범위설정 -> 영향평가 -> 전략개발 -> 계획수립 -> 수행 테스트
553.
업무연속성 5단계 방법론
사업영향평가
- 업무연속성 계획 수립 과정에서 수행하는 업무로 주요 업무 프로세스 식별, 우선순위화, 프로세스별 복구 목표시간, 복구 목표수준 산출 등 각 사업단위가 받게 될 재정적 손실 영향도 등을 파악
554.
가용성
- 정보시스템의 가동시간
- 정지시간
- 평균 장애시간MTTF
- 평균 복구시간MTTR
555.
재난복구서비스 : 핫 사이트
- 재난 발생으로 영향을 받는 업무 기능을 즉시 복구할 수 있도록 전산 센터와 동일한 모든 설비와 자원을 보유하고 있고 수시간 안에 가동이 이루어질 수 있음
+ 미러 > 핫 > 웜 > 콜드
556.
복구목표시간RTO
- 미러 : 즉시
- 핫 : 수 시간 이내
- 웜 : 수 일 ~ 수 주
- 콜드 : 수 주 ~ 수 개월
557.
재해복구 테스트 유형
- 체크리스트, 시뮬레이션, 구조적 점검 테스트(워크스루), 병행테스트, 완전중단 테스트
558.
CC(Common Criteria)
PP평가 -> ST 평가 -> TOE 평가
PP : 완전성, 일치성, 기술성
ST : 보안목표명세서
TOE : 평가목표시스템
559.
ISMS-P 인증심사 관리체계 수립 및 운영 4단계
1) 관리체계 기반 마련
2) 위험관리
3) 관리체계 운영
4) 관리체계 점검 및 개선
* 기반마련 -> 관리 -> 운영 -> 점검개선
560.
정보보호 정책 통제 목표
- 정책의 승인 및 공표, 체계, 유지관리
561.
정보보호 및 개인정보보호 정책의 수립 및 운영 결함
- 위원회에 안전으로 상정하지 않고 최고책임자 및 보호책임자의 승인을 근거로 정책서를 개정함
- 관련 부서 및 임직원에서 공유 전달하지 않음
- 임직원이 열람할 수 있도록 제공하지 않음
562.
외부 및 협력업체 인력 보안
- 계약시 보안관련 사항 포함
- 회사업무 수행시 내부 직원과 동일한 수준으로 정보보호 정책 준수
- 중요정보에 접근 허용시 한시적으로 제한하고 주기적 점검 필요
563.
외부자 보안
- 위탁하거나 외부 시설, 서비스를 이용시 식별하고 법적요구사항 및 외부조직과 서비스로부터 발생하는 위험을 파악하여 대책 마련
- 관련 내용을 계약서나 협정서에 명시
- 보호대책 이행 여부는 주기적인 점검, 감사, 관리, 감독 필요
- 업무수행중 취득정보의 비밀유지확약서 징구 등의 보호대책
564.
관리적 보호대책 중 보안서약
- 임직원뿐만 아니라 일반직원도 퇴직시 별도의 비밀유지에 관한 서약서가 필요
565.
공개서버 운영시의 보안
- 외부 네트워크에 공개되는 서버는 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보수집, 저장, 공개 절차 등 강화된 보호대책을 수립하고 이행해야 한다
- 공개서버는 내부 네트워크와 분리된 dmz영역에 설치한다
566.
정보시스템 도입 및 개발 보안
- 개발 및 시험 시스템은 운영시스템과 분리한다
- 운영시스템에 대한 데이터 생성, 이용 및 관리, 파기, 기술적 보호조치 절차 수립 및 이행
567.
주요 직무자 지정 및 관리
- 파견근로자, 시간제근로자를 포함하여 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록 관리
568.
정보보호 사전점검 제도
- IT 서비스 구축단계에서 정보보호 위협 및 취약점 분석, 위험분석 등의 절차를 통해 사전에 취약점을 제거하고 보호대책을 수립하는 일련의 보안 컨설팅 활동
- 정보시스템 구축에 필요한 투자금액이 5억원 이상인 정보통신서비스 또는 전기통신사업이 권고대상
569.
GDPR 적용대상
- EU 주민의 개인정보를 처리하는 기업이 적용대상
570.
국가사이버안보에 심각한 영향을 초래할 수 있는 상황에 대해 미리 예측하는 사이버위기경보
경계 단계
- 복수 정보통신서비스 제공자ISP 망에 장애 또는 마비가 발생하였을 경우
심각 단계
- 국가적 차원에서 네트워크 및 정보시스템 사용 불가능
571.
개인정보보호법 - 개인정보보호위원회
위치정보 보호 및 이용 - 방송통신위원회
지방공기업법 - 행정안전부
전자서명 - 과학기술정보통신부
572.
개인정보보호법
- 고유식별정보 처리 제한
- 고정형 영상정보처리기기의 설치, 운영 제한
- 개인정보 수집, 이용, 제공 등 단계별 보호기준
+ 위치정보법 : 개인위치정보 등의 이용, 제공 제한
573.
개인정보
- 성명, 주민등록번호 등 영상등을 통해 개인을 알아볼 수 있는 정보
- 다른 정보와 결합하여 특정 개인을 알아볼 수 있는 정보
574.
개인정보보호법 - 정보주체
- 법인이나 단체가 아닌 살아있는 사람
- 처리되는 정보의 주체가 되는 사람
- 처리되는 정보에 의하여 알아볼 수 있는 사람
+ 개인정보처리자 : 개인정보를 처리하는 사람
575.
정보주체의 권리
- 처리에 관한 사항 공개, 열람 청구권
- 정확성, 완전성, 최신성 보장
- 필요한 범위내 적합하게 개인정보 처리
576.
정보주체 권리
- 처리 동의 여부, 동의 범위등을 선택하고 결정
- 처리 정지, 정정 삭제 및 파기 요구
- 처리에 관한 정보를 제공받음
- 처리로 인해 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
577.
개인정보보호위원회
- 개인정보보호 중요사항을 심의, 의결
- 개인정보보호 관련 정책, 제도 및 법령의 개선 권고
- 법 위반 사업자에게 과태료 부과 가능
- 국무총리 소속
578.
개인정보 보호법에서 최소한의 개인정보 수집에 대한 입증을 부담하는 담당자
=> 개인정보 처리자
579.
개인정보 파기
- 타 법령에 따라 개인정보를 보존해야 할 경우, 다른 개인정보와 분리하여서 저장, 관리한다
580.
정보주체의 동의가 없거나 법적근거가 없을 경우 적용되는 개인정보 처리 제한
- 민감정보 처리제한, 고유식별정보 처리제한, 주민등록번호 처리 제한
581.
민감정보
- 장애 등급, 지문 정보, 인종에 관한 정보
582.
고유식별정보
- 대통령령으로 정함
- 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 처리할 수 있다
583.
주민번호 수집 법정주의
- 주민번호 처리를 원칙적으로 금지하고 법으로 정한 예외적인 경우만 처리를 허용하는 제도
584.
개인정보보호 법령에 따른 고정형 영상정보처리기기의 설치, 운영과 관련하여 정보주체에게 안내해야 하는 기재항목
- 설치 목적, 장소, 촬영 범위, 관리책임자 연락처
+ 영상정보 보관기간은 기재하지 않아도 됨
585.
개인정보 보호책임자의 책임 및 역할
- 개인정보 유출 및 오남용 방지를 위한 내부통제시스템 구축
- 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
- 개인정보 처리와 관련한 불만의 처리 및 피해 구제
586.
개인정보 영향평가
- 처리하는 개인정보 수
- 개인정보 제3자 제공 여부
- 정보주체의 권리를 해할 가능성 및 그 위험 정도
- 민감정보 또는 고유식별정보의 처리 여부
- 개인정보 보유기간 등
587.
개인정보처리자의 내부관리계획 수립,시행
- 개인정보보호책임자 지정
- 개인정보처리시스템 접근통제
- 개인정보 암호화 조치
588.
개인정보보호법의 정기적인 활동 주기
내부 관리계획 이행 실태 : 연 1회 이상
개인정보처리시스템의 접속기록 점검 : 월 1회 이상
인터넷 홈페이지 고유식별정보 처리자 취약점 점검 : 연 1회 이상
백신 등 보안 프로그램 업데이트 : 일 1회 이상
* 접속기록 : 월단위
* 보안 프로그램 : 일단위
589.
사용자 계정 및 접근권한 등록 변경 삭제 해지 절차 수립 이행
- 정보시스템의 계정 및 권한은 해당 직원이 전보, 퇴직 등 인사이동 발생 시 지체없이 접근권한을 변경 또는 말소한다
590.
개인정보처리시스템 기획시 기본원칙
- 개인정보보호 관련 법령, 지침 등 관련 규정 세부 검토
- 개인정보 수집 최소화 ( 처리목적을 명확히 )
- 개인정보처리시스템 접근권한 등 기본 보안대책
- 개인정보 전송 및 저장시 암호화 알고리즘, 방식 결정
- 개인정보처리시스템 관련 개인정보 처리방침 수립
- 공공기관 개인정보처리시스템과 관련된 개인정보 영향평가 고려
591.
동의없이 개인정보 목적 외 이용 및 제3자에게 제공하고,
사이트를 통해 악성 프로그램을 유포한 행위
=> 개인정보보호법 위반
592.
정보통신망법상 전자문서
- 컴퓨터 등 정보처리능력을 가진 장치에 의하여 [전자적]인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 [표준화] 된 것
593.
정보통신망 이용촉진 및 정보보호에 관한 법률 제 44조의 9
일정규모 이상 정보통신서비스 제공자가 운영 및 관리하는 정보통신망을 통해
일반에게 공개, 유통되는 정보 유통을 방지하기 위한 불법촬영물 등
유통방지 책임자를 지정하도록 되어 있는 기준
- 아동청소년 성보호에 관한 법률 제2조 제5호에 따른 아동청소년 성착취물
- 성폭력범죄 처벌 등에 관한 특례법 제 14조의 2에 따른 편집, 합성, 가공, 복제물
- 성폭력범죄 처벌 등에 관한 특례법 제 14조에 따른 촬영물, 복제물
594.
정보보호 최고책임자의 정보보호 업무
- 정보보호 계획의 수립 시행 및 개선
- 정보보호 실태와 관행의 정기적인 감사 및 개선
- 정보보호 위험의 식별 평가 및 정보보호 대책 마련
- 교육과 모의 훈련 계획의 수립 및 시행
595.
정보보호 조직체계와 역할 및 책임
정보보호 최고책임자를 지정하지 않아도 되는 경우
- 전기통신사업법에 따라 부가통신사업을 신고한 것으로 보는자 & 소상공인기본법에 따른 소상공인 & 중소기업기본법에 따른 소기업 (전년도 말 기준 3개월 일 평균 이용자수 100만명 미만, 매출액 100억원 미만)
596.
정보통신기반보호위원회
- 국무총리 소속하 정보통신기반보호위원회 구성
- 위원장은 국무조정실장이며 위원은 대통령령으로 정하는 중앙행정기관의 차관급 공무원과 위원장이 위촉하는 사람
- 공공분야, 민간분야를 각각 담당하는 실무위원회 구성
- 위원장1인을 포함한 25인 이내
597.
국가안전보장에 중대영향을 미치는 주요정보통신기반시설
- 전력, 가스, 석유 등 에너지 수자원시설
- 도로, 철도, 지하철 공항, 항만 등 주요 교통시설
- 방송중계, 국가지도통신망 시설
- 원자력, 국방과학 첨단방위산업 관련 정부출연연구기관의 연구시설 등
598.
주요정보통신기반시설 관리기관이 취약점 분석, 평가를 의뢰하는 기관
- 정보공유분석센터
- 정보보호 전문서비스 기업
- 한국전자통신연구원
- 한국 인터넷 진흥원
599.
주요정보통신기반시설 관리기관 복무
- 주요정보통신기반시설 보호대책 수립, 시행
- 관계행정기관 또는 한국인터넷진흥원에 대한 침해사고 사실 통지
- 주요정보통신기반시설 보호대책 수립, 이를 주요정보통신기반시설 관할 중앙행정기관의 장에게 제출한다
- 정기적인 취약점 분석, 평가
600.
사이버 윤리
- 사이버 공간에서의 인간의 도덕적 관계에 관심을 갖는다
- 사이버 세계속 모든 인간의 책임과 의무 규정
- 일탈상황에 따른 구체적 행동 요령을 알아보는 실중적인 내용으로 연구됨
- 기존의 컴퓨터 윤리 개념을 포함한다
-- 600번까지 난이도 중~중상 --