.gif)
금융보안원 보안평가부 보안평가기획팀 김호복 수석, 보안평가기술팀 하동욱 수석
보안평가기술팀 이종수 수석, RED IRIS팀 김현민 수석 릴레이 인터뷰
공격자, 오픈소스 저장소 내 악성코드 유입 및 정상 SW 변조 등 다양하게 공급망 공격
자체 구축 클라우드와 SaaS 사용 증가...취약점 분석·조치·점검 등 관리 강화해야
[보안뉴스 김경애 기자] 최근 공급망 공격이 대두되고 있다. 그중에서도 서드파티(3rd Party) 솔루션 취약점을 이용한 공격이 주목받고 있다. 3rd Party 솔루션의 경우 다양한 취약점으로 인해 공격자에게 관리자 권한이 탈취될 수 있기 때문이다. 공격자가 엔드포인트 관리 솔루션의 취약점을 이용해 PC를 악성코드에 감염시킬 수 있고, 서버접근통제 및 비밀번호 관리 솔루션의 취약점 공격으로 다수의 서버 권한을 획득을 할 수 있어 매우 위험하다.
▲(좌측부터)RED IRIS팀 김현민 수석, 보안평가기획팀 김호복 수석, 보안평가기술팀 이종수 수석, 보안평가기술팀 하동욱 수석[사진=보안뉴스]
이에 <보안뉴스>는 8일 ‘금융권 취약점 분석평가 정보공유 설명회’가 개최된 여의도 금투센터에서 금융보안원 보안평가부 어벤저스 4인을 만났다. 이들은 바로 보안평가기획팀 김호복 수석, 보안평가기술팀 하동욱 수석, 보안평가기술팀 이종수 수석, RED IRIS팀 김현민 수석이다. <보안뉴스>는 이들과의 인터뷰를 통해 최근 대두되고 있는 공급망 공격인 3rdParty 솔루션 취약점을 비롯해 금융권의 클라우드 사용 규제 완화 정책에 따른 자체구축 클라우드 취약점 이슈와 SaaS 클라우드 보안 취약점, 그리고 이에 따른 보안대책에 대해 들어봤다.
Q. 금융보안원 보안평가부에서 ‘금융권 취약점 분석, 평가 정보공유 설명회’를 개최한 배경은 무엇인가요?
▲보안평가기획팀 김호복 수석[사진=보안뉴스]
보안평가기획팀 김호복 수석 : 전자금융감독규정이 개정되고 올해부터 단계별로 금융보안 선진화를 추진하고 있어요. 1단계로 감독규정 정비, 2단계로 법률 개정, 3단계로 자율보안체계 전환을 목표로 하고 있습니다. 이에 따라 금융보안원은 자체구축 클라우드 점검과 내부망 SaaS 점검을 강화할 계획입니다. 또한 공급망 공격이 대두되면서 소프트웨어 공급망 점검을 강화하는 한편, 최근 클라우드, 마이데이터, 오픈뱅킹 서비스 등 신규 서비스와의 연결성 증가로 인한 새로운 보안위협이 증가하면서 인증수단도 중점적으로 점검할 계획입니다. 이번 설명회는 그런 측면에서 위협정보를 공유하고 보안을 강화하기 위한 정보공유 차원에서 마련됐다고 보시면 됩니다.
Q. 공급망 공격의 보안위협과 대응방안을 제시해 주신다면?
보안평가기획팀 김호복 수석 : 공격자는 오픈소스 저장소 내 악성코드 유입이나 SW 개발회사를 해킹해 정상적인 SW를 변조하는 등 다양한 형태로 공급망 공격을 시도하고 있어요. 특히 3rdParty 솔루션의 경우 중앙관리 시스템 장악시 위험성이 크고 파급력이 높아 소프트웨어 공급망 점검을 강화해야 합니다. 그런 측면에서 금융보안원은 CVE 발급기관 운영, 버그바운티를 통한 보안 사각지대 최소화, 취약점 관리, 모의해킹을 통한 신규 취약점 발견 등 공급망 소프트웨어 관리를 강화할 예정입니다.
Q. 자체구축 클라우드의 경우 기업에 특화된 환경이라 취약점 관리가 쉽지 않을 것 같습니다. 그 만큼 취약점도 늘 것으로 예상되는데요. 주목되는 보안위협과 취약점은 무엇인가요?
▲보안평가기술팀 하동욱 수석[사진=보안뉴스]
보안평가기술팀 하동욱 수석 : 가상화 환경의 구성요소인 클라우드 관리 시스템, 하이퍼바이저, 컨테이너 런타임, 외부 스토리지 모두가 공격 벡터가 될 수 있습니다. 주요 보안위협으로는 하이퍼바이저에 악의적인 명령을 주입하는 공격, 컨테이너 이미지 내 악성코드를 주입해 암호화폐를 채굴하는 공격 등이 있을 수 있습니다. 이러한 취약점은 시스템이 기존에 가지고 있던 취약점이 될 수도 있지만, 잘못된 보안설정이 원인이 될 수도 있습니다.
이에 따라 자체구축 클라우드 취약점 분석이 중요한데요. 클라우드 관리체계, OS 가상화 시스템, 컨테이너 가상화 시스템, 시스템 운영체제 등에 대한 취약점 점검을 강화해야 합니다.
Q. 자체구축 클라우드를 구축한 보안 실무자에게 당부하고 싶은 메시지는 무엇인가요?
보안평가기술팀 하동욱 수석 : 금융회사가 새로운 운영환경에서도 보안 요구사항을 충족시키고 보안성을 일정 수준 이상으로 올리는 것이 필요한 단계라고 생각합니다.
예를 들면 설명회 발표에서 예시로 든 ‘주기적인 표준 이미지 보안 검증 수행’과 같이, 기존 인프라 환경에서는 고려되지 않았으나 자체구축 클라우드 환경에서는 고려해야 하는 보안 요구사항을 식별, 관련 규정을 체계적으로 마련해 운영하고 있는지 살펴봐야 합니다. 또한 VM Escape, Container Escape와 같이 자체구축 클라우드 환경에서 발생할 수 있는 취약점들을 제거할 수 있도록 보안 설정들이 안전하게 설정되어 있는지 잘 고려해야 합니다.
Q. 금융권의 SaaS 규제 완화로 SaaS 사용이 증가하고 있는데요. 하지만 새로운 환경이 적용되는 만큼 보안 실무진이 SaaS 보안을 어려워할 것 같은데요.
▲보안평가기술팀 이종수 수석[사진=보안뉴스]
보안평가기술팀 이종수 수석 : 클라우드 이용이 어렵다 보니 설정 오류에 대한 취약점이 발생하는데요. 정책을 만들어놓고 적용하는 과정에서 특정 사용자로 되어 있지 않아 보안 홀이 발생하는 경우도 있고요. 특히 정상 기능을 이용한 공격 시도의 경우 일단 발견이 어려워요. 관리자도 파악이 어렵죠. 파악이 힘들기 때문에 분석도 어렵죠. 이 때문에 공격 시도 여부를 지속적으로 파악하기 위해 노력해야 합니다. 새로운 솔루션 도입 환경의 경우 악용될 수 있는 취약점을 식별해 위협을 없애 나가는 게 무엇보다 중요하죠.
Q. SaaS 취약점 점검 및 강화는 어떻게 해야 하나요?
보안평가기술팀 이종수 수석 : △내부 단말기 △SaaS 연계 △SaaS 관리 △SaaS 운영방안의 보안대책에 대해 점검해야 합니다.
먼저 내부 단말기의 경우 SaaS 단말기 적정성 여부를 통해 외부 모바일 단말 접속 금지 여부 등을 점검해야 합니다. 또한 단말기 등록 및 해지절차 마련, SaaS 단말기 리스트 관리, SaaS 단말기에 대한 망분리 대체통제 적용 여부, SaaS 단말기 내 악성코드 감염의 주기적 검사 이행 여부 등에 대해 체크해야 합니다.
SaaS 연계의 경우 인가된 SaaS 단말기 접속 여부, MFA 인증 적용, SaaS 단말기의 책임 추적성 확보를 위한 방안 마련, SaaS와 무관한 웹사이트 접속 차단 여부, 연계 네트워크 구간에 방화벽 등 정보보호 시스템 설치 및 운영 여부, 대고객 서비스 네트워크 트래픽 혼용 여부 등에 대해 점검해야 합니다.
다음으로 SaaS 관리 측면에서는 사용자별 기능 및 역할에 따라 그룹을 구분하고 접근권한 등을 차등으로 부여해야 합니다. 또한 최소한의 범위로 제한, 부적절한 공유 설정, SaaS 이용 로그 기록 및 로그 보존기간 1년 이상으로 설정 여부, 이상징후에 대한 모니터링, 악성코드 감염 여부 등을 점검해야 합니다.
SaaS 운영정책의 경우 내부 감사자가 주기적으로 점검해야 하는 것을 비롯해 SaaS 침해사고 관련 대응절차 마련, SaaS 이용방법 등에 대한 안내서 마련, 사내 인트라넷 등에 게시, SaaS 보안 설정 등에 대해 점검해야 합니다.
보안 실무진에 당부하고 싶은 메시지는 무엇인가요?
보안평가기술팀 이종수 수석 : 보안설정을 잘 해놨더라도 실제 점검해보면 그렇지 않은 경우들이 종종 발견됩니다. 최초에 적용한 보안 설정이 운영 과정에서 언제든지 변경될 수 있음을 고려해서 정기적으로 재점검하는 게 중요합니다.
Q. 3rd Party 솔루션의 주요 취약점은 무엇인가요?
▲RED IRIS팀 김현민 수석[사진=보안뉴스]
RED IRIS팀 김현민 수석 : 금융권에서 많이 사용하는 보안 솔루션은 권한이 높은 솔루션이에요. 이러한 취약점을 이용한 공격으로 관리자 권한을 획득할 수 있고, 부분 관리자 권한을 획득해 권한 상승을 시도할 수 있어요. 뿐만 아니라 계정탈취, 멀티팩터 권한 등을 획득하면 우회 공격이 가능하죠.
Q. 공격자 관점의 모의해킹 과정에서 공격자는 어떻게 침투하고, 어떤 취약점을 악용해 공격을 펼치나요?
RED IRIS팀 김현민 수석 : 공격자는 내부망 침투, 랜섬웨어 감염, 금전탈취 등을 위해 초기 침투로 테스트페이지 파일 업로드 취약점, 에디터 취약점 파일 업로드 취약점, 파일전송모듈 파일 업로드 취약점 등을 이용합니다. 이후 접근 네트워크 확장을 위해 HTTP, SSH 터널링 취약점을 이용하죠. 공격자는 최종적으로 시스템 장악을 위해 관리자 접근 권한을 획득하려고 하는데요. 이 과정에서 계정관리, 네트워크 접근통제, 서버 접근통제 솔루션을 공격 대상으로 삼죠. 그런 다음 인증정보와 관리자 권한을 획득해 정상 솔루션의 관리자 기능을 이용해 내부망을 장악하는 과정을 거칩니다.
Q. 특히 서버내 설치된 정상 프로그램을 이용한 북한 해킹 공격 등에 대해서는 어떻게 대응해야 하나요?
RED IRIS팀 김현민 수석 : 공격자들은 최근 탐지가 어렵도록 악성코드를 최소화하고 서버 내 존재하는 정상 프로그램들을 활용하고 있는데요, 정상 프로그램이므로 프로그램 자체를 차단하기는 어렵습니다. 그러므로 서버에 침투하지 못하게 막는 것이 중요하고, 정상프로그램으로 수행하는 비정상 행위(파일 암호화, 외부 통신 등)를 차단하는 것과 프로그램들의 사용자별 권한을 엄격하게 설정하는 것 또한 중요하다고 생각합니다.
Q. 사회공학적 기법을 이용한 보안위협에 대해 금융보안원은 어떻게 대응하고 있나요?
보안평가기획팀 김호복 수석 : 금융보안원은 금융회사 임직원을 대상으로 APT(지능형 지속 위협) 공격에 대응하기 위한 훈련을 매년 실시하고 있습니다. 금전적 유혹을 미끼로 개인정보를 탈취하거나 악성코드 첨부파일을 실행하게 하는 등 일상생활에서 또는 업무적으로 접할 수 있는 해커의 사회공학적 공격 기법을 사례로 모의 악성메일 발송훈련을 실시하고 있습니다. 그리고 사회공학적 기법이 통하지 않도록 정기적인 정보보호 교육을 통해 보안인식을 제고하는 일이 필요합니다.
[김경애 기자(boan3@boannews.com)]
보안평가기술팀 이종수 수석, RED IRIS팀 김현민 수석 릴레이 인터뷰
공격자, 오픈소스 저장소 내 악성코드 유입 및 정상 SW 변조 등 다양하게 공급망 공격
자체 구축 클라우드와 SaaS 사용 증가...취약점 분석·조치·점검 등 관리 강화해야
[보안뉴스 김경애 기자] 최근 공급망 공격이 대두되고 있다. 그중에서도 서드파티(3rd Party) 솔루션 취약점을 이용한 공격이 주목받고 있다. 3rd Party 솔루션의 경우 다양한 취약점으로 인해 공격자에게 관리자 권한이 탈취될 수 있기 때문이다. 공격자가 엔드포인트 관리 솔루션의 취약점을 이용해 PC를 악성코드에 감염시킬 수 있고, 서버접근통제 및 비밀번호 관리 솔루션의 취약점 공격으로 다수의 서버 권한을 획득을 할 수 있어 매우 위험하다.
▲(좌측부터)RED IRIS팀 김현민 수석, 보안평가기획팀 김호복 수석, 보안평가기술팀 이종수 수석, 보안평가기술팀 하동욱 수석[사진=보안뉴스]
이에 <보안뉴스>는 8일 ‘금융권 취약점 분석평가 정보공유 설명회’가 개최된 여의도 금투센터에서 금융보안원 보안평가부 어벤저스 4인을 만났다. 이들은 바로 보안평가기획팀 김호복 수석, 보안평가기술팀 하동욱 수석, 보안평가기술팀 이종수 수석, RED IRIS팀 김현민 수석이다. <보안뉴스>는 이들과의 인터뷰를 통해 최근 대두되고 있는 공급망 공격인 3rdParty 솔루션 취약점을 비롯해 금융권의 클라우드 사용 규제 완화 정책에 따른 자체구축 클라우드 취약점 이슈와 SaaS 클라우드 보안 취약점, 그리고 이에 따른 보안대책에 대해 들어봤다.
Q. 금융보안원 보안평가부에서 ‘금융권 취약점 분석, 평가 정보공유 설명회’를 개최한 배경은 무엇인가요?
▲보안평가기획팀 김호복 수석[사진=보안뉴스]
보안평가기획팀 김호복 수석 : 전자금융감독규정이 개정되고 올해부터 단계별로 금융보안 선진화를 추진하고 있어요. 1단계로 감독규정 정비, 2단계로 법률 개정, 3단계로 자율보안체계 전환을 목표로 하고 있습니다. 이에 따라 금융보안원은 자체구축 클라우드 점검과 내부망 SaaS 점검을 강화할 계획입니다. 또한 공급망 공격이 대두되면서 소프트웨어 공급망 점검을 강화하는 한편, 최근 클라우드, 마이데이터, 오픈뱅킹 서비스 등 신규 서비스와의 연결성 증가로 인한 새로운 보안위협이 증가하면서 인증수단도 중점적으로 점검할 계획입니다. 이번 설명회는 그런 측면에서 위협정보를 공유하고 보안을 강화하기 위한 정보공유 차원에서 마련됐다고 보시면 됩니다.
Q. 공급망 공격의 보안위협과 대응방안을 제시해 주신다면?
보안평가기획팀 김호복 수석 : 공격자는 오픈소스 저장소 내 악성코드 유입이나 SW 개발회사를 해킹해 정상적인 SW를 변조하는 등 다양한 형태로 공급망 공격을 시도하고 있어요. 특히 3rdParty 솔루션의 경우 중앙관리 시스템 장악시 위험성이 크고 파급력이 높아 소프트웨어 공급망 점검을 강화해야 합니다. 그런 측면에서 금융보안원은 CVE 발급기관 운영, 버그바운티를 통한 보안 사각지대 최소화, 취약점 관리, 모의해킹을 통한 신규 취약점 발견 등 공급망 소프트웨어 관리를 강화할 예정입니다.
Q. 자체구축 클라우드의 경우 기업에 특화된 환경이라 취약점 관리가 쉽지 않을 것 같습니다. 그 만큼 취약점도 늘 것으로 예상되는데요. 주목되는 보안위협과 취약점은 무엇인가요?
▲보안평가기술팀 하동욱 수석[사진=보안뉴스]
보안평가기술팀 하동욱 수석 : 가상화 환경의 구성요소인 클라우드 관리 시스템, 하이퍼바이저, 컨테이너 런타임, 외부 스토리지 모두가 공격 벡터가 될 수 있습니다. 주요 보안위협으로는 하이퍼바이저에 악의적인 명령을 주입하는 공격, 컨테이너 이미지 내 악성코드를 주입해 암호화폐를 채굴하는 공격 등이 있을 수 있습니다. 이러한 취약점은 시스템이 기존에 가지고 있던 취약점이 될 수도 있지만, 잘못된 보안설정이 원인이 될 수도 있습니다.
이에 따라 자체구축 클라우드 취약점 분석이 중요한데요. 클라우드 관리체계, OS 가상화 시스템, 컨테이너 가상화 시스템, 시스템 운영체제 등에 대한 취약점 점검을 강화해야 합니다.
Q. 자체구축 클라우드를 구축한 보안 실무자에게 당부하고 싶은 메시지는 무엇인가요?
보안평가기술팀 하동욱 수석 : 금융회사가 새로운 운영환경에서도 보안 요구사항을 충족시키고 보안성을 일정 수준 이상으로 올리는 것이 필요한 단계라고 생각합니다.
예를 들면 설명회 발표에서 예시로 든 ‘주기적인 표준 이미지 보안 검증 수행’과 같이, 기존 인프라 환경에서는 고려되지 않았으나 자체구축 클라우드 환경에서는 고려해야 하는 보안 요구사항을 식별, 관련 규정을 체계적으로 마련해 운영하고 있는지 살펴봐야 합니다. 또한 VM Escape, Container Escape와 같이 자체구축 클라우드 환경에서 발생할 수 있는 취약점들을 제거할 수 있도록 보안 설정들이 안전하게 설정되어 있는지 잘 고려해야 합니다.
Q. 금융권의 SaaS 규제 완화로 SaaS 사용이 증가하고 있는데요. 하지만 새로운 환경이 적용되는 만큼 보안 실무진이 SaaS 보안을 어려워할 것 같은데요.
▲보안평가기술팀 이종수 수석[사진=보안뉴스]
보안평가기술팀 이종수 수석 : 클라우드 이용이 어렵다 보니 설정 오류에 대한 취약점이 발생하는데요. 정책을 만들어놓고 적용하는 과정에서 특정 사용자로 되어 있지 않아 보안 홀이 발생하는 경우도 있고요. 특히 정상 기능을 이용한 공격 시도의 경우 일단 발견이 어려워요. 관리자도 파악이 어렵죠. 파악이 힘들기 때문에 분석도 어렵죠. 이 때문에 공격 시도 여부를 지속적으로 파악하기 위해 노력해야 합니다. 새로운 솔루션 도입 환경의 경우 악용될 수 있는 취약점을 식별해 위협을 없애 나가는 게 무엇보다 중요하죠.
Q. SaaS 취약점 점검 및 강화는 어떻게 해야 하나요?
보안평가기술팀 이종수 수석 : △내부 단말기 △SaaS 연계 △SaaS 관리 △SaaS 운영방안의 보안대책에 대해 점검해야 합니다.
먼저 내부 단말기의 경우 SaaS 단말기 적정성 여부를 통해 외부 모바일 단말 접속 금지 여부 등을 점검해야 합니다. 또한 단말기 등록 및 해지절차 마련, SaaS 단말기 리스트 관리, SaaS 단말기에 대한 망분리 대체통제 적용 여부, SaaS 단말기 내 악성코드 감염의 주기적 검사 이행 여부 등에 대해 체크해야 합니다.
SaaS 연계의 경우 인가된 SaaS 단말기 접속 여부, MFA 인증 적용, SaaS 단말기의 책임 추적성 확보를 위한 방안 마련, SaaS와 무관한 웹사이트 접속 차단 여부, 연계 네트워크 구간에 방화벽 등 정보보호 시스템 설치 및 운영 여부, 대고객 서비스 네트워크 트래픽 혼용 여부 등에 대해 점검해야 합니다.
다음으로 SaaS 관리 측면에서는 사용자별 기능 및 역할에 따라 그룹을 구분하고 접근권한 등을 차등으로 부여해야 합니다. 또한 최소한의 범위로 제한, 부적절한 공유 설정, SaaS 이용 로그 기록 및 로그 보존기간 1년 이상으로 설정 여부, 이상징후에 대한 모니터링, 악성코드 감염 여부 등을 점검해야 합니다.
SaaS 운영정책의 경우 내부 감사자가 주기적으로 점검해야 하는 것을 비롯해 SaaS 침해사고 관련 대응절차 마련, SaaS 이용방법 등에 대한 안내서 마련, 사내 인트라넷 등에 게시, SaaS 보안 설정 등에 대해 점검해야 합니다.
보안 실무진에 당부하고 싶은 메시지는 무엇인가요?
보안평가기술팀 이종수 수석 : 보안설정을 잘 해놨더라도 실제 점검해보면 그렇지 않은 경우들이 종종 발견됩니다. 최초에 적용한 보안 설정이 운영 과정에서 언제든지 변경될 수 있음을 고려해서 정기적으로 재점검하는 게 중요합니다.
Q. 3rd Party 솔루션의 주요 취약점은 무엇인가요?
▲RED IRIS팀 김현민 수석[사진=보안뉴스]
RED IRIS팀 김현민 수석 : 금융권에서 많이 사용하는 보안 솔루션은 권한이 높은 솔루션이에요. 이러한 취약점을 이용한 공격으로 관리자 권한을 획득할 수 있고, 부분 관리자 권한을 획득해 권한 상승을 시도할 수 있어요. 뿐만 아니라 계정탈취, 멀티팩터 권한 등을 획득하면 우회 공격이 가능하죠.
Q. 공격자 관점의 모의해킹 과정에서 공격자는 어떻게 침투하고, 어떤 취약점을 악용해 공격을 펼치나요?
RED IRIS팀 김현민 수석 : 공격자는 내부망 침투, 랜섬웨어 감염, 금전탈취 등을 위해 초기 침투로 테스트페이지 파일 업로드 취약점, 에디터 취약점 파일 업로드 취약점, 파일전송모듈 파일 업로드 취약점 등을 이용합니다. 이후 접근 네트워크 확장을 위해 HTTP, SSH 터널링 취약점을 이용하죠. 공격자는 최종적으로 시스템 장악을 위해 관리자 접근 권한을 획득하려고 하는데요. 이 과정에서 계정관리, 네트워크 접근통제, 서버 접근통제 솔루션을 공격 대상으로 삼죠. 그런 다음 인증정보와 관리자 권한을 획득해 정상 솔루션의 관리자 기능을 이용해 내부망을 장악하는 과정을 거칩니다.
Q. 특히 서버내 설치된 정상 프로그램을 이용한 북한 해킹 공격 등에 대해서는 어떻게 대응해야 하나요?
RED IRIS팀 김현민 수석 : 공격자들은 최근 탐지가 어렵도록 악성코드를 최소화하고 서버 내 존재하는 정상 프로그램들을 활용하고 있는데요, 정상 프로그램이므로 프로그램 자체를 차단하기는 어렵습니다. 그러므로 서버에 침투하지 못하게 막는 것이 중요하고, 정상프로그램으로 수행하는 비정상 행위(파일 암호화, 외부 통신 등)를 차단하는 것과 프로그램들의 사용자별 권한을 엄격하게 설정하는 것 또한 중요하다고 생각합니다.
Q. 사회공학적 기법을 이용한 보안위협에 대해 금융보안원은 어떻게 대응하고 있나요?
보안평가기획팀 김호복 수석 : 금융보안원은 금융회사 임직원을 대상으로 APT(지능형 지속 위협) 공격에 대응하기 위한 훈련을 매년 실시하고 있습니다. 금전적 유혹을 미끼로 개인정보를 탈취하거나 악성코드 첨부파일을 실행하게 하는 등 일상생활에서 또는 업무적으로 접할 수 있는 해커의 사회공학적 공격 기법을 사례로 모의 악성메일 발송훈련을 실시하고 있습니다. 그리고 사회공학적 기법이 통하지 않도록 정기적인 정보보호 교육을 통해 보안인식을 제고하는 일이 필요합니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
