날씨 플러그인에서 접근 제어 결함 완화//2026-05-22에 게시됨//CVE-2026-7249

WP-방화벽 보안팀

WordPress Location Weather Plugin Vulnerability

플러그인 이름 워드프레스 위치 날씨 플러그인
취약점 유형 접근 제어 결함
CVE 번호 CVE-2026-7249
긴급 낮은
CVE 게시 날짜 2026-05-22
소스 URL CVE-2026-7249

“위치 날씨” 워드프레스 플러그인에서의 접근 제어 취약점 (CVE-2026-7249) — 사이트 소유자가 지금 알아야 할 것과 해야 할 것

날짜: 2026년 5월 21일
심각성: 낮음 (CVSS 4.3)
취약한 버전: <= 3.0.2
패치된 버전: 3.0.3
CVE: CVE-2026-7249
연구 크레딧: momopon1415

관리형 웹 애플리케이션 방화벽을 운영하고 수천 개의 사이트에 대한 실질적인 보호를 제공하는 워드프레스 보안 팀으로서, 우리는 접근 제어 취약점을 심각하게 받아들입니다 — “낮음”으로 평가된 것조차도 — 왜냐하면 이러한 취약점이 더 광범위한 공격의 발판으로 사용될 수 있기 때문입니다. 최근 인기 있는 위치 날씨 플러그인(버전 3.0.2까지)에서 접근 제어 취약점이 보고되었습니다. 이 버그는 인증된 사용자(기여자 역할)가 적절한 권한 확인 없이 블록(위젯) 설정을 수정하고 플러그인의 캐시를 삭제할 수 있게 합니다.

이 게시물은 이 취약점이 의미하는 바를 일반적이고 기술적인 용어로 설명하고, 사이트 소유자가 노출을 신속하게 감지할 수 있는 방법, 위험을 줄이기 위해 즉시 해야 할 일, 그리고 향후 유사한 문제를 방지하기 위한 장기적인 강화 및 개발자 지침을 제공합니다.


TL;DR (간단 요약)

  • 무엇: 위치 날씨 플러그인에서 누락된 권한 확인으로 인해 인증된 사용자(기여자 역할)가 블록 설정을 변경하고 캐시를 삭제할 수 있었습니다 — 이러한 행동은 더 높은 권한을 가진 역할에만 허용되어야 합니다.
  • 영향: 프론트엔드 블록/위젯에 대한 무단 구성 변경 및 강제 캐시 삭제. 관리자에 대한 전체 권한 상승은 아니지만, 기여자는 사이트 콘텐츠나 동작에 영향을 미치는 변경을 할 수 있습니다.
  • 심각성: 낮음 (CVSS 4.3). 버전 3.0.3에서 패치 가능 — 즉시 업데이트하십시오.
  • 즉각적인 조치: 플러그인을 3.0.3으로 업데이트하고, 기여자 계정을 감사하며, 가능한 경우 역할을 제한하고, 로깅 및 모니터링을 활성화하고, 즉시 업데이트할 수 없는 경우 WAF 규칙이나 가상 패치를 적용하십시오.

왜 접근 제어 취약점이 중요한가 (심지어 “낮은” 문제에 대해서도)

접근 제어는 사이트에서 누가 무엇을 할 수 있는지의 기초입니다. 취약한 기능이 제한적일 때도 (예: 기여자), 그 결과는 의미 있을 수 있습니다:

  • 기여자는 콘텐츠를 수정하거나 초안을 작성할 수 있습니다. 그들이 여러 페이지에 걸쳐 표시되는 블록/위젯 설정을 변경할 수 있다면, 사이트 전반에 걸쳐 프론트엔드 경험을 변경할 수 있습니다.
  • 수정된 블록 설정은 악성 링크를 삽입하거나 조작된 데이터를 표시하거나 외부 리소스를 가리키는 데 악용될 수 있습니다.
  • 캐시 삭제는 반복적인 비싼 작업을 강제로 수행하게 하거나 (자원 고갈을 초래할 수 있음) 새로운 (악성) 콘텐츠를 즉시 노출하는 데 악용될 수 있습니다.
  • 공격자는 종종 낮은 심각도의 문제를 연결하여 수평 이동을 합니다 — 예를 들어, 기여자 수준의 잘못된 구성과 잘못 구성된 미디어 업로더를 결합하여 악성 파일을 업로드하거나, 편집자를 사회 공학적으로 조작하여 악성 변경을 승인하도록 합니다.

따라서 CVSS 등급이 “낮음”이라 하더라도, 이 문제는 여전히 조치를 취해야 하며 신속하게 해결해야 합니다.


취약점이란 무엇인가 (기술 개요)

취약한 위치 날씨 플러그인 (<= 3.0.2)에서는 일부 코드 경로가 인증된 사용자(기여자 역할 또는 그 이상)가 적절한 기능 또는 권한 확인이 없는 엔드포인트나 기능에 접근할 수 있도록 허용했습니다. 구체적으로:

  • 블록(위젯) 설정 수정 루틴 — 더 높은 권한(예: edit_theme_options, manage_options 또는 플러그인 특정 기능)이 필요한 — 기여자 수준의 사용자가 호출할 수 있었습니다.
  • 캐시 삭제 작업 — 프론트엔드 캐시된 출력을 전 세계적으로 영향을 미치는 — 호출자가 캐시를 삭제할 권한이 있는지 제대로 확인하지 않았습니다.

이러한 문제를 초래하는 일반적인 구현 실수는 다음과 같습니다:

  • 누락된 권한 확인(현재 사용자 권한 확인 없음 또는 동등한 기능).
  • REST 경로에 대한 누락된 REST API permission_callback.
  • admin-ajax 또는 양식 제출에 대한 누락된 nonce 확인(check_admin_referer / check_ajax_referer).
  • 인증된 모든 사용자로부터 요청을 수락하는 지나치게 관대한 훅.

이러한 것은 일반적인 접근 제어 실수이며 AJAX 핸들러, REST 엔드포인트 또는 admin-post/admin-ajax 논리에 존재할 수 있습니다.

중요한: 우리는 여기에서 악용 코드를 게시하지 않을 것입니다. 우리의 목표는 사이트 소유자에게 정보를 제공하고 사이트를 보호하는 데 도움을 주는 것입니다.


현실적인 공격자 시나리오

아래는 악의적인 기여자 수준의 사용자가 이 문제를 악용할 수 있는 그럴듯한 방법입니다. 이러한 시나리오는 귀하의 대응 및 탐지 전략을 형성해야 합니다.

  1. 사이트 전반에 걸쳐 블록 설정 수정
    – 일반적으로 게시물을 추가하거나 수정할 수 있는 기여자가 여러 페이지에서 사용되는 날씨 블록의 설정을 변경할 수 있습니다. 이는 악의적이거나 기만적인 콘텐츠(신뢰할 수 없는 링크, 추적 픽셀 또는 잘못된 정보)를 삽입할 수 있습니다. 블록은 종종 전 세계적으로 또는 사이드바에 렌더링되기 때문에 영향이 클 수 있습니다.
  2. 즉각적인 변경 또는 리소스 남용을 강제하기 위해 캐시 삭제
    – 공격자는 캐시를 반복적으로 삭제하여 사이트가 페이지를 다시 렌더링하고 제3자 리소스(APIs)를 다시 요청하도록 강제합니다. 이는 콘텐츠 변경 사항을 즉시 드러낼 수 있으며(주입된 페이로드를 테스트하려는 공격자에게 유용), 리소스 사용량 증가 및 제3자 API 비용을 초래할 수 있습니다.
  3. 사회 공학 또는 콘텐츠 기반 피싱 지원
    – 프론트엔드 위젯을 변경할 수 있는 기여자가 편집자/관리자 또는 방문자가 자격 증명을 공개하도록 속이는 악성 광고 또는 기만적인 양식을 삽입할 수 있습니다.
  4. 다른 취약점으로 전환
    – 다른 느슨한 구성(예: 파일 업로드 기능, 안전하지 않은 REST 엔드포인트)이 존재하는 경우, 기여자는 블록 변경 및 캐시 삭제를 사용하여 이러한 문제를 증폭시키거나 악의적인 활동을 숨길 수 있습니다.

영향을 받는 설치

  • 플러그인: 위치 날씨 (워드프레스 날씨 예보, AQI, 온도 및 날씨 위젯)
  • 영향을 받는 버전: 3.0.2 및 이전
  • 패치됨: 3.0.3 (사이트 소유자는 즉시 업데이트해야 함)

CVE 참조: CVE-2026-7249


사이트가 노출되었는지 감지하는 방법

  1. 플러그인 버전 확인
    – 플러그인 → 설치된 플러그인으로 이동하여 위치 날씨 플러그인 버전을 확인합니다. 3.0.2 이하인 경우 3.0.3으로 업데이트합니다.
  2. 사용자 역할 및 최근 기여자 활동 감사
    – 기여자 역할을 가진 사용자를 검토합니다. 새로운 계정이나 의심스러운 계정이 있습니까?
    – 최근 게시물/수정 사항 및 차단 설정 변경을 확인합니다 (로그를 유지하는 경우).
  3. 예상치 못한 블록/위젯 변경 사항을 찾습니다
    – 프론트 엔드에서 있어서는 안 되는 콘텐츠를 검사합니다 (의심스러운 링크, iframe 또는 임베드된 외부 이미지).
    – 편집기에서 블록 구성 페이지를 검토하여 구성 차이를 확인합니다.
  4. 서버 및 애플리케이션 로그
    – HTTP 및 PHP 로그에서 플러그인 설정을 수정하거나 캐시 삭제 엔드포인트를 트리거하는 요청을 검색합니다. 의심스러운 변경 시점에 플러그인 관련 URL에 대한 POST 또는 REST 호출을 찾습니다.
  5. WAF 및 보안 플러그인 경고
    – 스캔 또는 가상 패칭이 포함된 보안 솔루션을 운영하는 경우, 위치 날씨 및 접근 제어 패턴과 관련된 경고를 확인합니다.
  6. 파일 무결성 변경
    – 파일 변경 모니터링이 있는 경우 플러그인 파일에 대한 수정을 찾습니다 (이 취약점은 구성 수준이므로; 파일 변경은 더 넓은 타협의 지표입니다).

즉각적인 완화 조치 (즉시 업데이트할 수 없는 경우)

3.0.3으로 즉시 업데이트할 수 없는 경우 (예: 스테이징/테스트 제약으로 인해), 다음과 같은 빠른 완화 조치를 취하십시오:

  • 기여자 권한을 일시적으로 줄입니다
    – 필요하지 않은 사용자에게서 기여자 역할을 제거하십시오.
    – 필요한 기여자를 낮은 권한의 워크플로로 변환하십시오 (예: 양식을 통해 콘텐츠 제출 또는 플러그인 구성 접근 권한이 없는 역할 사용).
  • 플러그인 설정 페이지에 대한 접근을 제한하십시오.
    – 역할 관리 플러그인 또는 권한 필터를 사용하여 기여자가 블록 또는 캐시에 영향을 미치는 플러그인 관리 페이지나 REST 엔드포인트에 접근하지 못하도록 하십시오.
    – 예를 들어, 다음 페이지에 대한 접근을 제한하십시오 /wp-admin/admin.php?page=location-weather* 에디터+에게.
  • 웹 애플리케이션 방화벽(WAF)을 통해 플러그인 엔드포인트를 차단하십시오.
    – 방화벽이 URL 패턴에 따라 차단 또는 속도 제한을 허용하는 경우, 플러그인의 캐시 삭제 엔드포인트 및 블록 설정에 사용되는 모든 REST 경로에 대한 POST/DELETE 요청을 차단하는 임시 규칙을 만드십시오.
    – 주의: 차단할 때 합법적인 관리 사용이 방해받지 않도록 주의하십시오.
  • 캐시 삭제 요청에 속도 제한 적용
    – 반복적인 강제 삭제를 방지하기 위해 캐시 삭제 엔드포인트에 대한 스로틀링을 적용하십시오.
  • 에디터/관리자 계정의 인증 강화
    – 강력한 비밀번호를 보장하고 높은 권한 역할에 대해 이중 인증을 활성화하십시오.
  • 긴급 격리를 위해 사이트를 유지 관리 모드로 전환하십시오 (활성 악용이 의심되는 경우).

권장되는 장기 수정 조치 (모범 사례)

  1. 플러그인을 3.0.3(또는 최신)으로 업데이트하십시오.
    – 이것이 가장 중요한 단계입니다. 공식 패치는 누락된 권한 확인을 해결합니다.
  2. 최소 권한의 원칙
    – 사이트에 할당된 역할을 재평가하십시오. 기여자는 일반적으로 플러그인 설정이나 관리 기능에 접근할 수 없어야 합니다. 필요한 최소 권한만 부여하십시오.
  3. REST API 및 AJAX 핸들러 강화 (플러그인 개발자를 위해)
    – 모든 REST 경로에 권한 확인을 수행하는 permission_callback이 포함되어 있는지 확인하십시오.
    – admin-ajax 또는 admin-post 핸들러의 경우, nonce를 검증하고 (check_ajax_referer / check_admin_referer) 적절한 권한으로 current_user_can()을 확인합니다.
  4. 로깅 및 모니터링
    – 관리자 및 콘텐츠 관련 작업에 대한 활동 로그를 유지합니다. 플러그인 설정, 블록 구성 및 캐시 작업의 변경 사항을 기록합니다.
    – 비정상적인 캐시 삭제 빈도, 예상치 못한 플러그인 설정 업데이트 또는 인증 이상을 모니터링합니다.
  5. 가상 패칭 및 WAF 규칙
    – WAF를 운영하거나 관리형 보안 제공업체를 사용하는 경우, 비관리자 사용자로부터 민감한 플러그인 엔드포인트에 대한 요청을 차단하는 규칙을 배포합니다.
  6. 보안 감사 및 코드 검토
    – 누락된 권한 확인 및 nonce에 대해 플러그인 및 테마(특히 관리자 또는 API 엔드포인트를 노출하는 것)를 정기적으로 감사합니다.
  7. 플러그인 업데이트를 위한 스테이징 + CI 사용
    – 프로덕션에 배포하기 전에 스테이징 환경에서 플러그인 업데이트를 테스트합니다.
  8. 백업 및 복구 계획
    – 침해 시 사이트를 신속하게 복원할 수 있도록 최근에 테스트된 백업이 있는지 확인합니다.

개발자를 위한: 이것이 어떻게 발생하며 어떻게 수정하는지

플러그인 저자 또는 개발자인 경우, 근본 원인은 거의 항상 다음 중 하나입니다:

  • 관리 작업에 대해 current_user_can()을 확인하지 않음.
  • REST 엔드포인트에서 permission_callback을 구현하지 않음.
  • AJAX/admin-post 핸들러에 대해 nonce를 검증하지 않음.
  • 인증되지 않았거나 권한이 낮은 역할에 관리 화면에 대한 접근을 허용함.

취약한 REST 경로의 예 (의사 코드, 권한 누락):

register_rest_route( 'location-weather/v1', '/block-settings', array(;

수정된 버전 (권한 확인 포함):

register_rest_route( 'location-weather/v1', '/block-settings', array(;

admin-ajax 핸들러의 경우:

  • 취약한 접근 방식: nonce 또는 권한 확인 없이 admin-ajax 요청 처리.
  • 수정된 접근 방식: admin nonce 및 current_user_can() 확인:
function lw_ajax_purge_cache() {;

개발자라면 상태 변경 요청을 수락하는 모든 곳에서 이러한 확인을 적용하세요 — 인증된 사용자가 작업을 수행할 수 있다고 가정하지 마세요.


사이트가 악용되었다고 의심되는 경우: 사고 대응 체크리스트

  1. 플러그인을 패치된 버전(3.0.3)으로 즉시 업데이트하세요.
  2. 빠른 업데이트가 불가능한 경우 플러그인을 일시적으로 비활성화하세요.
  3. 사용자 계정을 감사하고 의심스러운 기여자 계정을 제거하거나 비활성화하세요.
  4. 관리자/편집자 계정의 비밀번호를 변경하고 2FA를 적용하세요.
  5. 무단 변경이나 악성코드를 감지하면 깨끗한 백업에서 복원하세요.
  6. 신뢰할 수 있는 악성코드 스캐너로 사이트를 스캔하고 수정된 파일이나 알 수 없는 예약 작업(cron)을 확인하세요.
  7. 비정상적인 캐시 삭제 활동 및 플러그인 설정 변경에 대한 로그를 검토하고 타임스탬프를 수집하세요.
  8. 호스팅 제공업체 및 보안 팀에 알리고, 침해 증거를 발견하면 사고 대응 참여를 고려하세요.
  9. 유출이 의심되는 경우 모든 API 키 또는 외부 통합 토큰을 취소하세요.

로깅 및 WAF 서명을 통한 시도된 남용 감지 방법

  • WAF 서명 아이디어(내부 사용용)
    – 관리자 IP 범위 또는 유효한 관리자 세션에서 발생하지 않는 한 알려진 플러그인 엔드포인트에 대한 POST 요청을 차단하거나 플래그 지정하세요.
    – 짧은 시간 내에 동일한 인증된 사용자로부터 빈번한 캐시 삭제 호출이 발생할 때 트리거하세요.
    – 기여자 또는 하위 역할을 가진 인증된 계정에서 플러그인 네임스페이스에 대한 REST 호출을 감지하고 검토를 위해 플래그 지정하세요.
  • 로깅 권장 사항
    – 플러그인 구성 업데이트 또는 캐시 정리를 트리거하는 요청에 대해 사용자 ID, 역할, IP 주소, 요청된 엔드포인트, 페이로드 요약 및 타임스탬프를 기록합니다.
    – 포렌식 목적으로 최소 90일 동안 로그를 보관합니다.

사이트 관리자에 대한 커뮤니케이션 가이드

여러 사이트를 관리하거나 호스팅/관리 서비스를 제공하는 경우 이러한 커뮤니케이션 단계를 고려하십시오:

  • 인벤토리: Location Weather를 실행하는 사이트와 사용하는 버전을 식별합니다.
  • 우선순위: 트래픽이 많거나 위험이 높은 사이트를 먼저 패치하되, 작은 사이트를 무시하지 마십시오 — 대규모 악용은 종종 많은 작은 사이트를 목표로 합니다.
  • 이해관계자에게 알리기: 사이트 소유자 또는 콘텐츠 편집자에게 업데이트를 예약할 것임을 알리고 기대할 사항을 알려줍니다.
  • 롤백 옵션 제공: 업데이트로 인해 예기치 않은 문제가 발생할 경우 테스트된 롤백 프로세스를 마련합니다.

자주 묻는 질문(FAQ)

큐: 이것이 원격 코드 실행 또는 데이터베이스 탈취 취약점인가요?
에이: 아니요. 이것은 잘못된 접근 제어/구성 문제입니다. 특정 낮은 권한의 인증된 사용자가 권한이 있는 플러그인 특정 작업을 수행할 수 있게 합니다. 이는 직접적으로 전체 관리자 권한으로 상승하지 않지만, 다른 악용의 발판으로 사용될 수 있습니다.

큐: 익명 사용자가 이를 악용할 수 있나요?
에이: 아니요. 공격자는 인증된 사용자(기여자 역할 이상)여야 합니다. 문제는 인증된 사용자에 대한 권한 확인이 불충분하다는 것입니다.

큐: 3.0.3으로 업데이트했습니다 — 다른 것이 필요합니까?
에이: 업데이트가 핵심 수정입니다. 업데이트 후 설정이 올바른지 확인하고, 사용자를 감사하며, 패치 이전에 의심스러운 활동이 없었는지 로그를 검토합니다.

큐: 내 사이트가 수정되었습니다 — 이것이 SEO 패널티로 이어질 수 있나요?
에이: 공격자가 표시된 콘텐츠를 변경(스팸 링크, 숨겨진 콘텐츠 또는 리디렉션 삽입)하면 SEO 패널티 및 블랙리스트에 이를 수 있습니다. 프론트엔드 콘텐츠를 검사하고 악성 콘텐츠를 즉시 정리합니다.


플러그인/테마 저자를 위한 개발자 권장 사항

  • 항상 권한을 검증하십시오:
    • REST 엔드포인트: 적절히 제한된 permission_callback을 포함합니다.
    • AJAX 핸들러: 논스를 검증하고 기능을 확인합니다.
    • 관리 페이지/양식: 설정을 저장하기 전에 current_user_can() 및 nonce를 확인하십시오.
  • 광범위한 기능에 의존하기보다는 가능한 경우 세분화된 기능을 할당하십시오.
  • README에서 플러그인 기능을 명확하게 문서화하십시오.
  • 감사 로그를 제공하거나 사이트 로깅 플러그인과의 호환성을 제공하여 관리자가 구성 변경 사항을 추적할 수 있도록 하십시오.

이것이 실제로 악용될 가능성이 있습니까?

손상된 접근 제어 취약점은 표적 공격이나 기회주의적 공격에서 일반적으로 사용되지만, 악용하려면 공격자가 최소한 기여자 권한이 있는 사이트 계정을 가져야 합니다. 많은 대형 사이트에서는 어느 정도의 사회 공학 또는 등록 수락이 필요합니다. 대규모 캠페인을 수행하는 공격자는 계정이 너무 관대하게 설정된 사이트를 악용하려고 시도할 수 있습니다. 그렇기 때문에 우리는 지체 없이 패치를 권장합니다.


지금 당신의 WordPress 사이트를 보호하기 — 지금 취해야 할 구체적인 단계

  1. Location Weather를 버전 3.0.3으로 업데이트하십시오(필요하지 않으면 제거하십시오).
  2. 기여자 계정을 감사하고 줄이십시오; 편집자/관리자를 위해 강력한 비밀번호와 2FA를 시행하십시오.
  3. 활동 로깅을 활성화하고 블록/위젯 및 캐시 작업에 대한 최근 변경 사항을 검토하십시오.
  4. 즉시 업데이트할 수 없다면 플러그인 관리 엔드포인트에 대한 접근을 제한하고 비권한 호출을 차단하기 위해 WAF 규칙을 구현하십시오.
  5. 사이트를 백업하고 악성 콘텐츠를 스캔하며, 손상 증거를 발견할 경우 복원할 준비를 하십시오.

지금 WP-Firewall로 사이트를 안전하게 보호하십시오(무료 플랜)

사이트를 업데이트하고 감사하는 동안 추가 보호 계층을 원하신다면, 우리의 WP-Firewall Basic(무료) 플랜을 고려하십시오. 이 플랜은 필수 보호 기능을 제공합니다 — 애플리케이션 보안 계층이 있는 관리형 방화벽, 무제한 대역폭, WordPress에 맞게 조정된 WAF, 자동 악성 코드 스캔 및 OWASP Top 10 위험에 대한 완화. 이는 공급자의 패치를 적용하는 동안 접근 제어 약점 및 기타 일반적인 플러그인 버그를 목표로 하는 공격에 대한 즉각적이고 수동적인 완화를 제공합니다.

자세한 내용을 알아보고 무료 계획에 가입하려면 여기를 클릭하십시오: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(자동화된 가상 패치, 고급 보고 또는 관리형 정리가 필요하다면, 우리의 Standard 및 Pro 플랜은 자동 악성 코드 제거, IP 제어, 월간 보안 보고서, 새로 발견된 취약점에 대한 자동 가상 패치 및 더 빠르게 대응할 수 있도록 도와주는 프리미엄 관리 서비스를 추가합니다.)


WP-Firewall 전문가의 최종 말씀

손상된 접근 제어는 반복 가능한 패턴입니다 — 일회성이 아닙니다. 관리 또는 구성 엔드포인트를 노출하는 모든 플러그인은 호출자의 기능을 확인해야 합니다. 사이트 소유자는 모든 플러그인 업데이트를 진지하게 다루고 사용자 권한을 엄격하게 관리해야 합니다.

지금 Location Weather 3.0.3으로 업데이트하십시오. 여러 사이트를 관리하는 경우, 오늘 이 플러그인을 패치 대기열에 추가하고 즉시 모든 사이트를 업데이트할 수 없다면 단기 WAF 규칙이나 가상 패치를 고려하십시오. 그리고 관리형 방화벽을 사용하지 않고 있다면, 업데이트 및 감사를 진행하는 동안 공격 표면을 줄이기 위해 기본 보호 플랜으로 시작하십시오.

여러 사이트에서 노출을 평가하거나 이 취약점에 맞춘 임시 WAF 규칙을 설정하는 데 도움이 필요하시면, 지원 팀에 문의하십시오 — 우리는 운영자가 위험을 신속하고 안전하게 식별하고 완화할 수 있도록 도와줍니다.

안전히 계세요,
WP-Firewall 보안 팀


wordpress security update banner

WP Security Weekly를 무료로 받으세요 👋
지금 등록하세요
!!

매주 WordPress 보안 업데이트를 이메일로 받아보려면 가입하세요.

우리는 스팸을 보내지 않습니다! 개인정보 보호정책 자세한 내용은