디지털 타임 포렌식
포렌식 분석에 있어 시간 정보는 매우 중요하다. 시간 정보를 기준으로 사건 진행 과정을 순차적으로 정렬할 수 있기 때문이다. 그러나 포렌식 분석에서 이용하는 시간 정보는 일반적인 시간 정보가 아닌 디지털 시간(digital time) 정보로, 디코드(Dcode) 작업을 거쳐야만 확인이 가능하다. 포렌식 분석을 위해 디코드 작업을 통해 확인해야 하는 디지털 시간 정보에는 어떤 것이 있으며, 이를 디코드 하는 방법과 그 결과가 포렌식에서 어떻게 활용되는지 살펴보도록 하겠다.
컴퓨터는 시간을 기록하기 위해 다양한 시간 포맷을 사용한다.
이러한 기록은 파일 시스템의 MAC(Modification/Access/Creation) 시간(time) 정보, GPS 기록 시간, 웹 페이지 방문 시간, SMS 전송 시간, 소셜 미디어(Social Media) 포스팅 시간 등에서 찾을 수 있다. 이같이 다양한 시간 기록은 포렌식에 매우 중요한 데이터다. 기록된 시간을 바탕으로 타임라인(Timeline)을 작성할 수 있어 분석 대상(용의자 또는 의심스러운 사람)의 행위를 분석기 때문이다.
시간과 단위
포렌식 분석에 유용한 정보를 제공하는 디지털 시간에 대해 살펴보기에 앞서 ‘시간’ 자체에 대한 이해가 필요하다.
1. 시간 기준: UTC, GMT
UTC는 세계협정시(또는 협정세계시, 국제 표준시)로, Coordinated Universal Time의 머리글자를 조합한 것이다. (간혹 Universal Time code나 Universal Time Convention의 약자로 알고 있는 경우가 있는데, 이는 틀린 이해다.) 1972년 1월 1일부터 국제 표준시로 사용되고 있다.
또 다른 국제 표준시인 GMT(Greenwich Mean Time, 그리니치 평균시)는 1970년 1월 1일을 기점으로 그리니치 천문대에서 관측한 시간을 측정한 것이다. GMT와 UTC 간에는 매우 미세한 시간 차이가 존재하지만 대개 같은 의미, 즉 국제 표준시를 의미하는 것으로 통용되고 있다. GMT 시간 기점(1970년 1월 1일)과 UTC 시간 기점(1972년 1월 1일)의 시간 간격을 초 단위로 산정하면 ‘63072000 초’이다.
[그림 1] 세계협정시(UTC) 지도 (*출처 : 위키피디아)
2. 초(秒) 단위 시간 정보
디지털 시간은 다양한 형태로 표현되기 때문에 다음과 같이 하루는 몇 초인지, 1년은 몇 초인지, 또 1초는 몇 나노초인지 알아둘 필요가 있다.
| 1시간 = 3600 초 1일 = 86400 초 1년 = 8760 시간= 31536000 초 1초 = 1000000000 나노초 = 1000000 마이크로초 = 1000 밀리초 |
초 단위를 비롯해 각종 단위를 계산해 주는 웹 페이지를 통해 더 많은 시간 정보나 단위에 대해 알아볼 수도 있다.
* 참고 : 경찰청 사이버테러대응센터 http://www.convertworld.com/ko/time/Milliseconds.html
3. Big Endian/Little Endian
엔디안(Endian)은 바이트(Byte)를 배열하는 방법을 의미하며, 빅엔디안(Big Endian)과 리틀엔디안(Little Endian)으로 구분된다. 양쪽에 모두 속하거나 지원하는 것을 미들엔디안(Middle Endian)이라고 하지만, 이 글에서는 빅엔디안과 리틀엔디안만 언급하도록 하겠다.
바이트(Byte)는 256, 즉 Hex 0xFF 값을 표현할 수 있다. 1바이트는 256, 즉 8비트(Bit) 이다. 엔디안은 1바이트 단위를 하나의 단위로 사용한다. 4바이트로 표현할 수 있는 개수는 ‘0x12 0x34 0x56 0x78’ 등 4개가 된다.
빅엔디안은 상위 바이트부터 기록하는 것으로, 일반적인 숫자나 글자 기입 방식과 마찬가지의 순서라고 이해할 수 있다. 예를 들어 0x1234를 빅엔디안으로 배열하면 0x12 0x34로 표현된다. 반대로 리틀엔디안은 0x34 0x12로 표현된다. 4바이트 값을 예로 들면 ‘0x12345678’의 빅엔디안은 ‘0x12 0x34 0x56 0x78’이 되며, 리틀엔디안은 ‘0x78 0x56 0x34 0x12’가 된다.
<알고 보면 재미있는 IT 용어>
(*출처: 위키피디아) |
디지털 시간의 종류
1. Unix Time
유닉스 타임(Unix Time)은 1970년 1월 1일 00시 00분 00초부터 현재까지의 시간을 ‘초’로 계산한 시간으로, 밀리초(millisecond, 1000분의 1초), 나노초(nanosecond, 10억분의 1초), 마이크로초(microsecond, 100만분의 1초)로 표현된다. 그런데 세계협정시의 기준이 유닉스 타임의 기준보다 2년 뒤인 1972년 1월 1일 00시 00분 00초가 되면서 1970년부터 1972년까지의 시간이 존재하지 않는다.
이 시간의 간격, 즉 1970년 1월 1일 00시 00분 00초부터 1972년 1월 1일 00시 00분 00초까지의 초의 합계는 ‘63072000’이다. 이것을 밀리초로 변환하면 ‘63072000000’가 되고 마이크로초로 변환하면 ‘63072000000000’가 된다. 물론, Hex로 변환하여 빅엔디안과 리틀엔디안으로도 표시가 가능하다.
2. Windows 64bit Time
윈도우 64비트 타임(Windows 64bit Time)은 1601년 1월 1일 00시 00분 00초부터 현재까지의 시간을 나노초로 계산한 것으로, 나노초 합계를 주로 리틀엔디안으로 변환하여 사용한다. 실제 나노초는 1초에 ‘1000000000’ 값을 갖지만, Windows 64bit Time은 나노초로 표시하면서 뒤에 있는 ‘00’을 표시하지 않는다. 즉 ‘11707545600000000000’ 초에서 ‘00’을 제거한 ‘117075456000000000’으로 사용한다. ‘117075456000000000’ 나노초는 1970년 1월 1일 00시 00분 00초이며. 리틀엔디안으로 변환하여‘0x0000ccc681ef9f01’로 표시한다.
3. Windows FILETIME
윈도우 파일타임(Windows FILETIME)도 1601년 1월 1일 00시 00분 00초부터 현재까지의 시간을 나노초로 계산한 시간이지만, 윈도우 64비트 타임과는 표시 방법이 다르다. 윈도우 파일타임은 나노초 합계를 빅엔디안으로 변환한 후 앞의 4바이트와 뒤의 4바이트의 순서를 변경하여 ‘콜론(:)’으로 값을 이어주는 방법으로 표시한다. 예를 들어 ‘0x019fef81c6cc0000’ 나노초의 4바이트 0x019fef81c와 0xc6cc0000의 순서를 변경하고 ‘0xc6cc0000:019fef81’과 같이 콜론(:)으로 이어주면 된다.
4. Windows Cookie Date Time
윈도우 쿠키 데이트 타임(Windows Cookie Date Time) 또한 1601년 1월 1일 00시 00분 00초부터 현재까지의 시간을 나노초로 계산한 시간이지만, 역시 시간 표시 방법이 다르다. 윈도우 파일타임 시간에서 4바이트씩 나누어진 값을 10진수로 변환한 후 ‘콤마(,)’로 값을 이어준다. ‘0xc6cc0000:019fef81’라는 값을 예로 들면, 앞의 4바이트를 ‘3335258112’와 같이 변환하고 뒤의 4바이트를 ‘27258753’와 같이 변환한 다음, ‘3335258112,27258753’와 같이 콤마(,)로 이어준다.
5. Google Chrome Time
구글 크롬 타임(Google Chrome Time)은 1601년 1월 1일 00시 00분 00초부터 현재까지의 시간을 나노초가 아닌 마이크로초로 계산한 시간이다. 쉽게 예를 들면, ‘11707545600000000000’ 나노초에서 ‘000’을 제거한 값을 말한다. ‘000’을 제거한 값은 ‘11707545600000000’과 같으며, 이 값의 날짜는 1972년 1월 1일 00시 00분 00초이다.
6. Mac Absolute Time
맥 앱솔루트 타임(Mac Absolute Time)은 2001년 1월 1일 00시 00분 00초부터 현재까지의 시간을 초로 계산한 시간이다. 0초는 2001년 1월 1일 00시 00분 00초를 의미한다. 맥 앱솔루트 타임은 10진수와 16진수가 모두 사용되며, 4바이트 값으로 표현된다. 예를 들어 ‘283996800’, ‘0x10ed7280’은 2010년 1월 1일 00시 00분 00초이다.
7. HFS 32bit Time
HFS 32비트 타임은 1904년 1월 1일 00시 00분 00초부터 현재까지의 시간을 나노초로 계산한 시간이다. 4바이트 값으로 표현되며, 빅엔디안과 리틀엔디안이 모두 사용된다. 예를 들어 ‘0xffffffff’라는 값은 2040년 2월 6일 6시 28분 15초이며, 해당 시간이 되기 전에 시간 기준이 HFS 64비트 타임으로 변경될 것으로 예상된다.
8. MS-DOS 32bit Time
MS-DOS 32비트 타임은 4바이트로 표현되며, 먼저 4바이트 값을 전부 2진수로 변경한다. ‘01234567890123456789012345678901’과 같이 32개의 2진수를 만날 수 있다. 이 숫자는 32개를 표현하기 위해 0부터 9까지 사용하였으나 2진수로 변경하면 0과 1의 값으로 채워진 32개의 숫자로 표현된다. 해당 값을 아래와 같이 정렬하여 자른 후에 10진수로 변환하고, 기준 시간을 빼면 값을 구할 수 있다. 값을 계산하는 방법은 다음 같다.
| 년 : 년도를 마이너스 80을 한 후 이진수로 변경 (기준이 1980년이다.) 월 : 월을 2진수로 변경 일 : 일을 2진수로 변경 시간 : 시간을 2진수로 변경 분 : 분을 2진수로 변경 초 : 초를 나누기 2 한 후 2진수로 변경 |
2진수로 변경된 숫자는 [그림 2]와 같은 포맷으로 기입된다.
[그림 2] MS-DOS 32비트 타임으로 계산한 2진수 값 예시
[그림 2]와 같이 숫자를 정렬한 후, 16진수로 변환하면 MS-DOS 32비트 타임이 된다. 예를 들어 ‘1980년 1월 1일 00시 00분 00초’는 ‘00210000’이며 2진수로는 ‘1000010000000000000000’이다. 이 값을 [그림 2]와 같은 포맷으로 정렬할 경우 [그림 3]과 같다.
[그림 3] 1980년 1월 1일 00시 00분 00초를 2진수로 변환한 값
시간 정보의 디지털 포렌식 아티팩트
1. NTFS(New Technology File System) – $MFT(Master File Table)
NTFS에는 $MFT라는 시스템 파일이 존재한다. 이 파일은 디스크 볼륨 안에 있는 파일의 메타데이터를 담고 있다. 해당 메타데이터에는 디렉터리의 위치, 생성 수정 접근 시간 및 파일 크기 등이 기록되어 있다. 이 같은 다양한 기록 중 생성, 수정, 접근 시간에 대해 알아보자.
$MFT 파일 안에는 각각의 파일에 대한 17가지의 속성이 있다. 이들 중 시간 정보를 포함하고 있는 속성은 $STANDARD_INFORMATION과 $FILE_NAME 속성이다. 이 두 가지 속성에는 생성 시간, 수정 시간, MFT 수정시간, 접근 시간이 존재한다. 이 4개의 시간은 윈도우 64비트 타임(Windows 64bit Time)으로 되어 있으며, 리틀엔디안(Little Endian)으로 정렬되어 있다.
[그림 4] $MFT 파일에 존재하는 시간 정보
2. HFS+(Hierarchical File System+)
HFS+는 매킨토시에서 사용하는 파일 시스템이다. 해당 파일 시스템에는 파일의 정보를 관리하는 카테고리 파일(Catalog File)이 존재한다. 카테고리 파일의 정보를 살펴보면 파일의 시간 정보와 퍼미션, 크기와 위치 정보가 기록된 것을 확인할 수 있다. 이 때 시간 정보는 HFS 32비트 타임으로, 빅엔디안(Big Endian)을 사용하여 저장된다.
[그림 5] HFS+의 카테고리 파일(Catalog File)에 존재하는 시간 정보
3. EXT2/3(Extended File System 2/3)
EXT의 아이노드 테이블(Inode Table)에서 파일에 해당하는 아이노드(Inode)로 이동하면, 파일에 대한 메타데이터를 확인할 수 있다. 해당 파일의 아이노드 테이블의 0x08 위치부터 시간 정보를 확인할 수 있다. 시간 정보는 접근, 변경, 수정, 인노드 수정 시간 순으로 저장된다. 이들 4개의 시간 정보는 유닉스 타임(Unix Time)을 리틀엔디안으로 변경한 시간으로 저장된다.
[그림 6] EXT의 아이노드 테이블(Inode Table)에 저장된 시간 정보
4. Prefetch
프리페치(Prefetch) 파일의 확장자는 pf이며, “%SystemRoot%\Prefetch\” 폴더 안에 존재한다. 윈도우 부팅 시, 필요한 파일을 한번에 로드시키기 위해 사용된다. 부팅이 자주 필요하지 않은 윈도우 서버군에서는 기본 설정으로 생성되지 않지만, 부팅이 잦은 데스크톱용 윈도우는 기본 설정으로 프리페치 파일을 생성한다. 프리페치 파일 안에 기록되는 다양한 정보 중에는 프리페치가 마지막으로 실행된 시간 정보(Last Launch Time)도 포함되어 있다. 이 정보는 윈도우 64비트 타임(Windows 64bit Time)/리틀엔디안으로 기록되어 있다.
[그림 7] 프리페치(Prefetch) 파일 내에 존재하는 시간 정보
5. 이벤트 로그
이벤트 로그는 감사 설정을 바탕으로 ▲애플리케이션 ▲시스템 ▲보안 로그를 기록한다. 이벤트 로그 파일은 “%SystemRoot%system32\config”/“%SystemRoot%System32\winevt\Logs” 경로에 저장된다.
이벤트 로그 파일 안에는 각각의 이벤트의 시간 정보가 기록되어 있다. 이벤트 로그는 윈도우 비스타(Windows Vista) 이전에 Evt라는 확장자로 사용되었으며, 윈도우 비스타부터는 Evtx 확장자로 파일을 생성한다. Evt 파일은 생성 시간, 작성 시간을 기록하며 Evtx는 생성시간만 기록한다. Evt 확장자의 시간은 유닉스 32비트 헥스 타임(Unix 32bit Hex Time)/리틀엔디안으로 기록된다.
[그림 8] Evt 확장자에 기록된 시간 정보
Evtx 확장자의 시간은 윈도우 64비트 타임/리틀엔디안으로 기록된다.
[그림 9] Evtx 확장자에 기록된 시간 정보
6. Link
윈도우 링크(Windows Link) 파일은 프로그램을 실행시키거나 바로가기를 생성할 경우 만들어진다. 링크 파일의 확장자는 LNK이며, 링크 파일 안에는 생성 접근 수정에 대한 시간 정보가 기록되어 있다. 이러한 시간 정보는 윈도우 64비트 타임/리틀엔디안으로 설정되어 있다.
[그림 10] 링크(Link) 파일에 저장된 시간 정보
7. 휴지통 파일
윈도우에서 삭제한 파일은 휴지통으로 이동하게 된다. 휴지통의 경로는 윈도우 버전마다 조금씩 다르다. 윈도우 NT/2K/XP는 “
[그림 11] 휴지통에 들어있는 삭제된 파일들
INFO2 파일과 $로 시작하는 파일은 파일이 삭제된 시간을 기록하고 있다. INFO2의 삭제된 시간은 윈도우 64비트 타임/리틀엔디안으로 저장된다.
[그림 12] INFO2 파일에 저장된 파일 삭제 시간
$로 시작하는 파일 역시 윈도우 64비트 타임/리틀엔디안으로 저장된다.
[그림 13] $로 시작하는 파일에 저장된 삭제 시간
8. 레지스트리
윈도우 레지스트리 파일은 ▲DEFAULT ▲SAM ▲SECURITY ▲SOFTWARE ▲SYSTEM 등 총 5개로, “SystmeRoot%\system32\config\” 경로에 저장되어 있다. 레지스트리 안의 키에는 마지막 작성 시간이 기록되어 있으며, 윈도우 64비트 타임/리틀엔디안으로 저장된다.
[그림 14] 레지스트리 안의 키에 저장된 마지막 작성 시간 기록
9. 아이폰 SMS
아이폰(iPhone) SMS(Short Message Service)파일은 “Library/SMS/sms.db” 경로에 존재한다. 아이폰백업 파일에서 찾을 경우, “3d0d7e5fb2ce288813306e4d4636395e047a3d28”과 같은 파일명으로 찾을 수 있다.
sms.db는 SQLite 데이터베이스 형식으로 구성되어 있으며, SQLite 브라우저 도구를 사용하여 읽을 수 있다. [그림 15]와 같이 여러 열(column)의 값 중에 기록되어 있는 시간 정보는 문자가 발송된 시간, 문자를 받은 시간, 사용자가 문자를 확인한 시간, 첨부 파일을 보낸 시간 등이다. sms.db에서 시간을 기록하는 포맷은 맥 앱솔루트 타임(MAC Absolute Time)이다.
[그림 15] 아이폰 SMS의 sms.db에 기록된 시간 정보
10. Internet Explorer History
Index.dat는 인터넷 익스플로러(Internet Explore)의 쿠키(Cookie), 히스토리(History), 캐시(Cache), 다운로드 리스트(Download List)를 기록한다. Index.dat의 저장 장소는 시스템 숫자만큼 다양하며, 그 경로는 [표 1]과 같다.
[표 1] 운영체제에 따른 Index.dat의 저장 경로
Index.dat는 윈도우 64비트 타임으로, 마지막 접속 시간과 마지막 수정 시간을 기록한다.
[그림 16] Index.dat에 기록된 시간 정보
11. Google Chrome History
크롬은 히스토리(History)라는 SQLite 데이터베이스 파일에 히스토리를 기록한다. 경로는 [표 2]와같다.
[표 2] 구글 크롬 히스토리 파일 저장 경로
히스토리 파일을 SQLite 데이터베이스 브라우저로 확인해보면, URL 테이블과 방문(visits) 테이블에 각각 마지막 방문 시간, 방문 시간을 기록하고 있을 것을 알 수 있다. 이들 시간 정보는 구글 크롬 타임(Google Chrome Time)으로 기록된다.
12. Safari History
사파리(Safari)의 히스토리 파일은 History.plist이며, 경로는 [표 3]과 같다.
[표 3] 사파리(Safari) 히스토리 저장 경로
History.plist 파일은 XML로 되어있어 텍스트 에디터를 이용하면 간단히 확인 가능하다. XML에서 LastVisitedDate라는 키(key)를 확인할 수 있으며, [그림 17]과 같이 스트링(String)에서 시간 정보를 얻을 수 있다. 사파리 히스토리의 시간 포맷은 맥 앱솔루트 타임이다.
[그림 17] 사파리의 히스토리 파일(History.plist)에 저장된 마지막 방문 시간
13. Firefox History
파이어폭스(Firefox) 히스토리는 places.sqlite라는 SQLite 데이터베이스 파일로 구성되어 있으며, 파일 경로는 [표 4]와 같다.
[표 4] 파이어폭스(Firefox) 히스토리 저장 경로
places.sqlite의 주요 테이블은 moz_places와 moz_historyvisits이며, 각각 마지막 방문 시간, 방문 시간을 기록한다. places.sqlite 파일에 기록되는 마지막 방문 시간과 방문 시간은 유닉스 마이크로세컨드 타임(Unix Microsecond Time)으로 기록된다.
[그림 18] places.sqlite 파일에 기록된 방문 시간 정보
디지털 포렌식 아티팩트 분석 도구
1. EnCase, FTK, X-Way Forensic
포렌식 분석 도구인 인케이스 포렌식(EnCase Forensic), FTK, X-레이 포렌식(X-Way Forensic)은 모두 상용 제품으로, 동글키가 없으면 사용할 수 없다. 이들 포렌식 도구로 다양한 시간 정보를 파싱(parsing)하여 살펴볼 수 있다.
[그림 19] 포렌식 분석 도구 인케이스 포렌식(EnCase Forensic)
2. PhotoME / ExifTool
포토미(PhotoME)와 ExifTool은 JPG 파일 안의 다양한 정보를 파싱해서 보여준다. 파싱된 데이터를 통해 GPS 정보, 다양한 시간 정보, 사진을 촬영한 장비 정보 등을 확인할 수 있다. 이러한 정보는 타임라인 분석이나 용의자 행위 조사에 매우 유용하다.
[그림 20] ExifTool을 이용한 JPG 파일 파싱
3. WFA(Windows File Analyzer)
WFA(Windows File Analyzer)는 썸네일(Thumbnail), 프리페치(Prefetch), 링크파일(Shortcuts), Index.DAT, 휴지통(Recycle Bin)을 분석할 수 있다. 이 중 링크파일 분석을 통해 파일의 시간 정보, 원본 위치, MAC 주소(MAC Address), 볼륨 일련 번호(Volume Serial Number) 등을 확인할 수 있다.
[그림 21] WFA를 이용한 링크파일(Shortcuts) 파싱
휴지통 파일인 INFO2 파일 또한 WFA로 파싱 가능하다. 휴지통 파일을 파싱한 내용에는 삭제 전의 파일 위치와 파일이 삭제된 시간 정보가 포함되어 있어 포렌식 분석에 유용하다.
[그림 22] WFA를 이용한 휴지통 파일 INFO2 파싱
4. WEFA(Web Browser Forensic Analyzer)
WEFA(Web Browser Forensic Analyzer)는 웹 브라우저가 남은 흔적을 분석하는 도구로 인터넷 익스플로러, 사파리, 크롬, 파이어폭스 등에 남은 정보를 해석한다. 해석된 내용에는 캐시, 히스토리, 쿠키, 다운로드 등에 대한 내용이 모두 담겨있어 악성코드 배포지나 다운로드된 흔적을 찾는 데 도움을 얻을 수 있다.
[그림 23] WEFA(Web Browser Forensic Analyzer)
5. REGA(Registry Analyzer)
웹 레지스트리에는 시스템의 다양한 정보가 저장된다. 이 중에는 서비스 목록, 자동 실행 목록, 최근 사용한 파일 목록 등 포렌식 측면에서 의미 있는 데이터도 다수 포함된다. 이들 데이터는 마지막 수정 시간이 기록되어 있어, 타임라인 분석에 유용하다.
[그림 24] REGA(Registry Analyzer)
6. Dcode, TimeLord
디코드(Dcode)와 타임로드(TimeLord) 프로그램은 디지털로 기록된 시간을 인코드(Encode) 또는 디코드(Decode) 하는데 사용된다. 다양한 시간 정보를 제공하기 때문에 시간 검색 시 자주 이용되는 프로그램이다. 검색하고자 하는 시간을 디지털 타임(Digital Time)으로 변환한 후 바이너리로 검색하면 원하는 시간에 해당되는 파일을 쉽게 조사할 수 있다.
[그림 25] 타임로드(TimeLord)
각종 단말기(device)들은 다양한 방법으로 시간 정보를 기록한다. 이 글에서는 이 같은 시간 정보가 어떤 형태인지, 어떻게 저장되는지 살펴보았으며, 특히 컴퓨팅 단말기 안에서 어떻게 사용되는지 확인해 보았다. 그러나 이 글에서 언급한 시간 정보가 전부는 아니다. 시간이 흐르면 언젠가 ‘시간 정보’에 변화가 있을 수 있다. 시간 저장 방법 또한 다양하게 변화될 것이다. 분석가는 변화하는 시간 정보를 반영하여 분석을 수행할 수 있어야만 한다. 따라서 더 많은 시간 정보에 관심을 기울임으로써 효과적인 분석을 해야 할 것이다.@
이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.
단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.
정보 이용 문의 : contents@ahnlab.com
