북한에 해커가 많다는 건 잘 알려진 사실이다. 그렇다는 건 IT 교육을 받은 사람들이 꽤 있다는 뜻이 된다. 북한 정권은 이런 인재들을 활용할 또 다른 방법을 수년 전부터 고안해 활용하고 있다. 그건 바로 위장 취업이다.
[보안뉴스 문정후 기자] IT 인재들의 대한 수요가 그 어느 때보다 높은 시대다. 그런데다가 팬데믹을 지나면서 원격 근무라는 것이 활성화되기까지 해서 기업들은 사무실 인근 지역에서 사람을 찾는 것에 실패했다면 이제 바다 건너에 사는 사람들의 힘까지도 가져다 쓰는 것을 이상하게 여기지 않게 됐다. 모자란 IT 인력들을 다른 여러 나라에서 프로젝트별로 충당하는 사례가 늘어나고 있고, 이러한 흐름 가운데 북한의 해커들 혹은 IT 노동자들이 은근슬쩍 끼어들었다.
[이미지 = gettyimagesbank]
보안 업체 맨디언트(Mandiant)가 최근 발표한 자료에 의하면 북한의 IT 전문가들은 북한 사람이 아닌 것으로 가장하여 다양한 국가, 다양한 산업의 다양한 회사에 취직하여 적잖은 돈을 벌어들인다고 한다. 이는 현재 국제 제재로 말라가는 북한의 국고를 채우는 데 적잖은 도움이 되는 것으로 보인다. 즉 북한 정권이 탄도 미사일 등 강력한 군사 무기를 개발하는 데 직접적으로 이바지 하는 것이라고 할 수 있다. 뿐만 아니라 이들은 위장 취업 후 기업 내에서 중요 정보를 빼돌리는 역할을 담당하고 있기도 하다.
이들 북한 IT 노동자들은 여러 가지 방법으로 자신들의 정체가 탄로나는 것을 막는데, 진짜 이름을 숨기기 위해 현지인을 고용하거나, 아예 현지에 페이퍼컴퍼니 역할을 해줄 단체를 구성하기도 한다. 미국의 경우 미국인이지만 북한인들의 이러한 활동을 돕는 사람들이 있고(미국 정부는 이들을 촉진자(facilitator)라고 부른다), 요 몇 년 동안 여러 촉진자들이 체포된 바 있다. 이들은 북한 IT 노동 인력이 현지에 없기 때문에 할 수 없는 일들을 대신 해 준다. 회사에서 주는 업무용 노트북을 대신 수령하고, 그 노트북을 자기의 집에 연결시켜 북한 해커가 원격에서 제어할 수 있게 해주고, 심지어 도용된 신원을 사용해 현지에서 필요한 서류를 꾸미기도 한다. 자금 세탁을 돕는 경우도 있다.
UNC5267
맨디언트는 이러한 악성 IT 노동자들의 위장 취업 행위 및 관련 악성 행위의 배후에 있는 조직을 임의로 UNC5267로 부르고 있다. 이 UNC5267은 현재까지도 활발하게 활동하고 있으며, 지속적인 위협이 되고 있다. “UNC5267의 행위는 2018년부터 시작된 것으로 보입니다. 이들은 중앙에서 관리하거나 지령을 받아 움직이는 조직이 아닙니다. 다소 느슨하게 조직되어 있는 개개인들의 집합에 더 가깝습니다. 이들은 주로 중국과 러시아에 파견되어 있으며, 그곳에서 취업 활동을 합니다. 일부는 아프리카와 동남아시아에 근거지를 마련하고 있기도 합니다. 취업을 하는 곳은 주로 미국이나 서방 국가의 기업들입니다.”
UNC5267에 소속된 노동자들은 가짜 신원으로 다양한 회사에 지원하고, 원격 근무가 가능한 계약직으로 고용된다. 직무는 딱히 가리지 않는 것으로 현재까지는 조사되고 있다. 여러 직위에서 여러 임무를 수행하는데, 무조건 원격 근무가 가능한 자리에만 지원하는 것으로 나타났다. “게다가 한 사람이 한 회사에서만 근무하는 게 아닙니다. 보통 여러 회사에서 여러 프로젝트에 참여하고, 그러므로 짧은 기간 안에 많은 급여를 받아냅니다. 촉진자들이 이를 돕는데, 한 북한 IT 근무자가 여러 신원을 가지고 활동할 수 있도록 합니다. 미국에서만 300개 이상의 기업이 여기에 속아 피해를 입은 것으로 조사됐습니다. 그 사이 북한 IT 노동자들은 최소 680만 달러의 수익을 창출했고요.”
맨디언트가 조사했을 때 UNC5267의 목표는 다음 세 가지로 정리되는 것으로 보인다고 한다.
1) 피해 기업으로부터 불법적인 급여를 받아 재정적 이익을 거둔다.
2) 고용 관계가 해지된다 하더라도 지속적으로 피해를 입힐 수 있도록 피해 기업 내에 장기적인 접근 방법을 마련해 둔다.
3) 정보 수집이나 정보 파괴 활동을 위해 접근 경로를 따로 마련해 둔다.
다만 3)번의 경우, 아직까지 이러한 목적을 명확히 성취하는 사례를 발견하지는 못했다고 맨디언트는 짚었다.
IT 노동자들, 어떻게 움직이는가
북한의 IT 노동자들이 원격 접근 권한을 반드시 획득하려는 건 단지 그들이 물리적으로 다른 나라에 있어서 그런 것만은 아니다. 원격에서 업무를 하는 사람들에게 기업들이 차츰차츰 높은 접근 권한을 허용하려는 경향을 가지고 있기 때문이기도 하다. 코드 수정이나 네트워크 시스템 관리 등 IT 프로젝트를 위해 꼭 필요한 일을 원격 근무자에게 조금씩 맡기게 되면서 더 많은 권한을 허용하는 경우가 대단히 많은데, 북한 공격자들이 이를 잘 노린 것으로 분석된다.
원격 근무가 가능한 부분에 지원하기 위해 북한 IT 노동자들은 이력서를 정교하게 꾸미기도 했다. 맨디언트가 발견한 바에 의하면 이들은 대체적으로 “각종 프로그래밍 언어에 대한 숙련도를 자랑하고, CEO, 이사, 소프트웨어 엔지니어 등의 직위를 역임했음을 허위로 주장하고 있었다”고 한다. 또한 링크드인 프로필에서 도용된 이미지를 적극 활용하여 이력서를 가짜로 만들기도 했다. 각각의 IT 노동자들이 하나의 이력서를 활용해 취업 활동을 하는 게 아니라 한두 명이 여러 개의 이력서를 만들어 회사들에 뿌리고 있었다고 한다.
“이런 이력서들에서도 공통점이 발견되는데요, 그 중 하나는 거주지가 미국이지만 과거 다른 나라에서 유학했던 경험이 있다는 식으로 꾸며져 있다는 겁니다. 특히 싱가포르, 일본, 홍콩 등에서 여러 학위나 자격증을 획득했다는 내용이 많이 발견됩니다. 때문에 북한 IT 노동자를 잘못 고용하는 일을 피하고 싶다면 해당 학교 측에 연락하여 진위를 알아보는 것도 한 방법이 될 수 있습니다. 다만 학교마다 이런 질문에 즉각, 친절히 답해주는 것은 아니기 때문에 어려울 수 있습니다. 또 하나, 한두 사람이 여러 인격체를 만들고 있기 때문에 이력서들 간에 겹치는 내용들이 제법 있는 편입니다. 이런 부분도 눈여겨 찾으면 허위 이력을 걸러낼 수 있습니다.”
취업에 성공한 북한 IT 노동자는 이제 회사로부터 업무용 노트북을 지급 받게 된다. 이를 현지의 촉진자가 가서 수령하는데, 문제는 이 노트북을 가지고 실제 업무를 해야만 한다는 것이다. “북한 IT 노동자들은 이 업무용 노트북에 원격에서 접근합니다. 그렇게 한 상태로 그 컴퓨터에서 맡겨진 일들을 처리하죠. 여러 페르소나가 운영되므로 촉진자는 필연적으로 여러 노트북을 한꺼번에 켜두고, 북한 IT 노동자들이 이 노트북에 원격 접근하도록 해야 합니다. 실제 체포된 촉진자들의 집에는 업무용 노트북이 다량으로 발견되는 게 보통입니다. 이런 ‘컴퓨터 농장’을 운영하는 대가로 급여를 받는 것으로 보입니다.”
이런 식으로 활동하기 때문에 피해 기업이 지급한 노트북들에서는 몇 가지 공통된 행동 패턴이 발견되기도 했다.
1) IP주소가 할당되는 키보드, 비디오, 마우스 장치를 노트북에 연결시키는 경우가 대다수다.
2) 기업으로부터 노트북을 수령한 직후에 각종 원격 관리 도구가 설치된다. 현재까지 조사했을 때 GoToRemote, LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer, RustDesk가 자주 나타났다.
3) 기업 노트북의 위치를 추적해 보면 근무자가 거주하고 있다고 한 곳과 일치하지 않는 경우가 많다.
또한 이들 IT 노동자들은 원격 관리 도구를 그냥 설치하지도 않았다. 대부분 중국 또는 북한과 관련된 아스트릴VPN(Astrill VPN)의 IP 주소와 연결되어 있었다. 조심에 조심을 거듭한 것인데, 이는 이들의 평소 근무 태도에서도 나타난다. 맨디언트가 설문을 통해 알아낸 바에 의하면 북한 IT 노동자들은 “영상 통화나 회의에 참석하는 것을 거부했다”고 한다. 절대로 얼굴이나 근무 환경이 노출되지 않도록 한 것이다. 덧붙이자면 업무 성과나 작업물 품질이 수준 이하라는 것도 공통된 특징이었다. 한 사람이 여러 프로젝트에 참여하니 그럴 수밖에 없었다.
북한의 위장 취업자들, 어떻게 식별해야 하는가
맨디언트는 이번 보고서를 통해 다음과 같은 확인 절차를 강조했다.
1) 이력서를 받은 후 지원자를 철저히 검증한다 : 이력서에 기재된 것들 중 일부라도 조사를 통해 확인하고, 면접 과정에서 카메라 사용을 반드시 요구한다. 외모가 사진과 일치하는지 확인하는 게 중요하다. 컴퓨터 그래픽으로 생성된 가짜 배경도 되도록 사용하지 않기를 요구해야 한다.
2) 각종 흔적들을 관찰한다. : UNC5267은 대부분의 경우 VoIP 전화번호를 사용한다. 따라서 전화번호를 확인하는 게 의외로 이들을 식별할 때 꽤나 잘 통하는 기법이 될 수 있다. 업무용 노트북이 실제 있는 위치와, 이력서에 기재된 위치가 일치하는지 살피는 것도 중요하다. 원격 관리 도구가 얼마나 많이 설치되어 있고, 얼마나 자주 활용되는지도 모니터링하고 제한한다. 일반적이지 않은 원격 관리 도구가 있다면 회사 망에 접속하지 못하도록 한다. 북한 IT 노동자들의 경우 마우스 지글러의 사용률이 비정상적으로 높기도 했다.
“북한의 이러한 노력은 앞으로도 이어질 겁니다. 결국 북한 정권은 항상 돈이 모자랄 것이기 때문입니다. 그러므로 이런 식의 공격이나 접근을 염두에 둔 장기적 방어책을 마련하는 게 중요합니다. 북한 IT 노동자들이 교묘한 속임수를 쓰기 때문에 식별이 간단하지도 않고, 방어책도 복잡해질 수 있지만, 이들로부터 시작되는 위협을 막는 게 불가능한 건 아닙니다. 다만 이들을 자동으로 막아주는 단 하나의 솔루션이나 전략이 존재하지 않는다는 걸 늘 기억해야 합니다. EDR, 네트워크 모니터링, 행동 패턴 분석 솔루션 도입에서부터 임직원 교육과 훈련, 파트너사와의 계약 내용 검토 등 복합적이고 입체적인 보안 대책이 필요합니다.”
3줄 요약
1. 북한 정권, 돈이 마르자 IT 노동자들을 외국에 취업시키기 시작.
2. 이들은 한꺼번에 여러 회사에 취업해 많은 급여를 받아 국고를 채움.
3. 혹은 여러 회사에 취업한 김에 정보를 빼돌리는 역할도 수행할 수 있음.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] IT 인재들의 대한 수요가 그 어느 때보다 높은 시대다. 그런데다가 팬데믹을 지나면서 원격 근무라는 것이 활성화되기까지 해서 기업들은 사무실 인근 지역에서 사람을 찾는 것에 실패했다면 이제 바다 건너에 사는 사람들의 힘까지도 가져다 쓰는 것을 이상하게 여기지 않게 됐다. 모자란 IT 인력들을 다른 여러 나라에서 프로젝트별로 충당하는 사례가 늘어나고 있고, 이러한 흐름 가운데 북한의 해커들 혹은 IT 노동자들이 은근슬쩍 끼어들었다.
[이미지 = gettyimagesbank]
보안 업체 맨디언트(Mandiant)가 최근 발표한 자료에 의하면 북한의 IT 전문가들은 북한 사람이 아닌 것으로 가장하여 다양한 국가, 다양한 산업의 다양한 회사에 취직하여 적잖은 돈을 벌어들인다고 한다. 이는 현재 국제 제재로 말라가는 북한의 국고를 채우는 데 적잖은 도움이 되는 것으로 보인다. 즉 북한 정권이 탄도 미사일 등 강력한 군사 무기를 개발하는 데 직접적으로 이바지 하는 것이라고 할 수 있다. 뿐만 아니라 이들은 위장 취업 후 기업 내에서 중요 정보를 빼돌리는 역할을 담당하고 있기도 하다.
이들 북한 IT 노동자들은 여러 가지 방법으로 자신들의 정체가 탄로나는 것을 막는데, 진짜 이름을 숨기기 위해 현지인을 고용하거나, 아예 현지에 페이퍼컴퍼니 역할을 해줄 단체를 구성하기도 한다. 미국의 경우 미국인이지만 북한인들의 이러한 활동을 돕는 사람들이 있고(미국 정부는 이들을 촉진자(facilitator)라고 부른다), 요 몇 년 동안 여러 촉진자들이 체포된 바 있다. 이들은 북한 IT 노동 인력이 현지에 없기 때문에 할 수 없는 일들을 대신 해 준다. 회사에서 주는 업무용 노트북을 대신 수령하고, 그 노트북을 자기의 집에 연결시켜 북한 해커가 원격에서 제어할 수 있게 해주고, 심지어 도용된 신원을 사용해 현지에서 필요한 서류를 꾸미기도 한다. 자금 세탁을 돕는 경우도 있다.
UNC5267
맨디언트는 이러한 악성 IT 노동자들의 위장 취업 행위 및 관련 악성 행위의 배후에 있는 조직을 임의로 UNC5267로 부르고 있다. 이 UNC5267은 현재까지도 활발하게 활동하고 있으며, 지속적인 위협이 되고 있다. “UNC5267의 행위는 2018년부터 시작된 것으로 보입니다. 이들은 중앙에서 관리하거나 지령을 받아 움직이는 조직이 아닙니다. 다소 느슨하게 조직되어 있는 개개인들의 집합에 더 가깝습니다. 이들은 주로 중국과 러시아에 파견되어 있으며, 그곳에서 취업 활동을 합니다. 일부는 아프리카와 동남아시아에 근거지를 마련하고 있기도 합니다. 취업을 하는 곳은 주로 미국이나 서방 국가의 기업들입니다.”
UNC5267에 소속된 노동자들은 가짜 신원으로 다양한 회사에 지원하고, 원격 근무가 가능한 계약직으로 고용된다. 직무는 딱히 가리지 않는 것으로 현재까지는 조사되고 있다. 여러 직위에서 여러 임무를 수행하는데, 무조건 원격 근무가 가능한 자리에만 지원하는 것으로 나타났다. “게다가 한 사람이 한 회사에서만 근무하는 게 아닙니다. 보통 여러 회사에서 여러 프로젝트에 참여하고, 그러므로 짧은 기간 안에 많은 급여를 받아냅니다. 촉진자들이 이를 돕는데, 한 북한 IT 근무자가 여러 신원을 가지고 활동할 수 있도록 합니다. 미국에서만 300개 이상의 기업이 여기에 속아 피해를 입은 것으로 조사됐습니다. 그 사이 북한 IT 노동자들은 최소 680만 달러의 수익을 창출했고요.”
맨디언트가 조사했을 때 UNC5267의 목표는 다음 세 가지로 정리되는 것으로 보인다고 한다.
1) 피해 기업으로부터 불법적인 급여를 받아 재정적 이익을 거둔다.
2) 고용 관계가 해지된다 하더라도 지속적으로 피해를 입힐 수 있도록 피해 기업 내에 장기적인 접근 방법을 마련해 둔다.
3) 정보 수집이나 정보 파괴 활동을 위해 접근 경로를 따로 마련해 둔다.
다만 3)번의 경우, 아직까지 이러한 목적을 명확히 성취하는 사례를 발견하지는 못했다고 맨디언트는 짚었다.
IT 노동자들, 어떻게 움직이는가
북한의 IT 노동자들이 원격 접근 권한을 반드시 획득하려는 건 단지 그들이 물리적으로 다른 나라에 있어서 그런 것만은 아니다. 원격에서 업무를 하는 사람들에게 기업들이 차츰차츰 높은 접근 권한을 허용하려는 경향을 가지고 있기 때문이기도 하다. 코드 수정이나 네트워크 시스템 관리 등 IT 프로젝트를 위해 꼭 필요한 일을 원격 근무자에게 조금씩 맡기게 되면서 더 많은 권한을 허용하는 경우가 대단히 많은데, 북한 공격자들이 이를 잘 노린 것으로 분석된다.
원격 근무가 가능한 부분에 지원하기 위해 북한 IT 노동자들은 이력서를 정교하게 꾸미기도 했다. 맨디언트가 발견한 바에 의하면 이들은 대체적으로 “각종 프로그래밍 언어에 대한 숙련도를 자랑하고, CEO, 이사, 소프트웨어 엔지니어 등의 직위를 역임했음을 허위로 주장하고 있었다”고 한다. 또한 링크드인 프로필에서 도용된 이미지를 적극 활용하여 이력서를 가짜로 만들기도 했다. 각각의 IT 노동자들이 하나의 이력서를 활용해 취업 활동을 하는 게 아니라 한두 명이 여러 개의 이력서를 만들어 회사들에 뿌리고 있었다고 한다.
“이런 이력서들에서도 공통점이 발견되는데요, 그 중 하나는 거주지가 미국이지만 과거 다른 나라에서 유학했던 경험이 있다는 식으로 꾸며져 있다는 겁니다. 특히 싱가포르, 일본, 홍콩 등에서 여러 학위나 자격증을 획득했다는 내용이 많이 발견됩니다. 때문에 북한 IT 노동자를 잘못 고용하는 일을 피하고 싶다면 해당 학교 측에 연락하여 진위를 알아보는 것도 한 방법이 될 수 있습니다. 다만 학교마다 이런 질문에 즉각, 친절히 답해주는 것은 아니기 때문에 어려울 수 있습니다. 또 하나, 한두 사람이 여러 인격체를 만들고 있기 때문에 이력서들 간에 겹치는 내용들이 제법 있는 편입니다. 이런 부분도 눈여겨 찾으면 허위 이력을 걸러낼 수 있습니다.”
취업에 성공한 북한 IT 노동자는 이제 회사로부터 업무용 노트북을 지급 받게 된다. 이를 현지의 촉진자가 가서 수령하는데, 문제는 이 노트북을 가지고 실제 업무를 해야만 한다는 것이다. “북한 IT 노동자들은 이 업무용 노트북에 원격에서 접근합니다. 그렇게 한 상태로 그 컴퓨터에서 맡겨진 일들을 처리하죠. 여러 페르소나가 운영되므로 촉진자는 필연적으로 여러 노트북을 한꺼번에 켜두고, 북한 IT 노동자들이 이 노트북에 원격 접근하도록 해야 합니다. 실제 체포된 촉진자들의 집에는 업무용 노트북이 다량으로 발견되는 게 보통입니다. 이런 ‘컴퓨터 농장’을 운영하는 대가로 급여를 받는 것으로 보입니다.”
이런 식으로 활동하기 때문에 피해 기업이 지급한 노트북들에서는 몇 가지 공통된 행동 패턴이 발견되기도 했다.
1) IP주소가 할당되는 키보드, 비디오, 마우스 장치를 노트북에 연결시키는 경우가 대다수다.
2) 기업으로부터 노트북을 수령한 직후에 각종 원격 관리 도구가 설치된다. 현재까지 조사했을 때 GoToRemote, LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer, RustDesk가 자주 나타났다.
3) 기업 노트북의 위치를 추적해 보면 근무자가 거주하고 있다고 한 곳과 일치하지 않는 경우가 많다.
또한 이들 IT 노동자들은 원격 관리 도구를 그냥 설치하지도 않았다. 대부분 중국 또는 북한과 관련된 아스트릴VPN(Astrill VPN)의 IP 주소와 연결되어 있었다. 조심에 조심을 거듭한 것인데, 이는 이들의 평소 근무 태도에서도 나타난다. 맨디언트가 설문을 통해 알아낸 바에 의하면 북한 IT 노동자들은 “영상 통화나 회의에 참석하는 것을 거부했다”고 한다. 절대로 얼굴이나 근무 환경이 노출되지 않도록 한 것이다. 덧붙이자면 업무 성과나 작업물 품질이 수준 이하라는 것도 공통된 특징이었다. 한 사람이 여러 프로젝트에 참여하니 그럴 수밖에 없었다.
북한의 위장 취업자들, 어떻게 식별해야 하는가
맨디언트는 이번 보고서를 통해 다음과 같은 확인 절차를 강조했다.
1) 이력서를 받은 후 지원자를 철저히 검증한다 : 이력서에 기재된 것들 중 일부라도 조사를 통해 확인하고, 면접 과정에서 카메라 사용을 반드시 요구한다. 외모가 사진과 일치하는지 확인하는 게 중요하다. 컴퓨터 그래픽으로 생성된 가짜 배경도 되도록 사용하지 않기를 요구해야 한다.
2) 각종 흔적들을 관찰한다. : UNC5267은 대부분의 경우 VoIP 전화번호를 사용한다. 따라서 전화번호를 확인하는 게 의외로 이들을 식별할 때 꽤나 잘 통하는 기법이 될 수 있다. 업무용 노트북이 실제 있는 위치와, 이력서에 기재된 위치가 일치하는지 살피는 것도 중요하다. 원격 관리 도구가 얼마나 많이 설치되어 있고, 얼마나 자주 활용되는지도 모니터링하고 제한한다. 일반적이지 않은 원격 관리 도구가 있다면 회사 망에 접속하지 못하도록 한다. 북한 IT 노동자들의 경우 마우스 지글러의 사용률이 비정상적으로 높기도 했다.
“북한의 이러한 노력은 앞으로도 이어질 겁니다. 결국 북한 정권은 항상 돈이 모자랄 것이기 때문입니다. 그러므로 이런 식의 공격이나 접근을 염두에 둔 장기적 방어책을 마련하는 게 중요합니다. 북한 IT 노동자들이 교묘한 속임수를 쓰기 때문에 식별이 간단하지도 않고, 방어책도 복잡해질 수 있지만, 이들로부터 시작되는 위협을 막는 게 불가능한 건 아닙니다. 다만 이들을 자동으로 막아주는 단 하나의 솔루션이나 전략이 존재하지 않는다는 걸 늘 기억해야 합니다. EDR, 네트워크 모니터링, 행동 패턴 분석 솔루션 도입에서부터 임직원 교육과 훈련, 파트너사와의 계약 내용 검토 등 복합적이고 입체적인 보안 대책이 필요합니다.”
3줄 요약
1. 북한 정권, 돈이 마르자 IT 노동자들을 외국에 취업시키기 시작.
2. 이들은 한꺼번에 여러 회사에 취업해 많은 급여를 받아 국고를 채움.
3. 혹은 여러 회사에 취업한 김에 정보를 빼돌리는 역할도 수행할 수 있음.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
