한국에는 ‘구슬이 서말이라도 꿰어야 보배’라는 속담이 있다. 보안 업체 일루미오는 이를 ‘개념이 아무리 빛나더라도 구현해야 가치’라고 바꿔 읽는다.
[보안뉴스 문가용 기자] 개념은 개념일 뿐이다. 개념을 읊는 것과 그것을 구현하는 건 전혀 다른 문제이며, 그 구현의 과정 없이는 개념은 모래 위에 쓴 이름과 같이 잠깐 있다 사라진다. 글로벌 보안업체 일루미오의 아태지역 부사장인 데이브 셰퍼드(Dave Shephard)는 ‘망분리’라는, 흔하다 못해 식상하기까지한 용어도 ‘개념’과 ‘구현’의 맥락으로 구분해서 생각해야 한다는 입장이다. 왜냐하면 망분리라는 효과적인 보안 전략이 지금까지도 개념의 상태에서 벗어나지 못하고 있기 때문이다. 한국을 방문한 그와 마주했다.
▲일루미오의 데이브 셰퍼드 아태지역 부사장[사진=보안뉴스]
보안뉴스 : 일루미오라는 보안 업체는 망분리를 키워드로 가져가는 듯하다. 망분리 이야기 나온 게 벌써 까마득한 옛날이다. 특별할 것이 없어 보이는데.
데이브 셰퍼드 : 당연한 반응이다. ‘망분리’는 새로울 것도, 특별할 것도 없는 보안 전략이자 개념이다. 하지만 역으로 묻고 싶다. 정말 ‘망분리’가 식상할 정도로 우리의 환경에 잘 구축되어 있는가? 망분리가 어지간한 조직들의 ‘디폴트 보안’인가?
보안뉴스 : 그렇지 않다. 사실 망분리 하라고 하면 거부 반응들도 적잖이 나오는 게 현실이다. 너무 어렵고, 너무 비싸다는 의견들이 많다.
데이브 셰퍼드 : 말한 그대로다. 망분리라는 거, 그 자체가 식상해지는 게 아니라 망분리가 실제로 구현하기 어려우니까 그에 대한 반감이 자리를 잡아가고 있는 게 지금의 상황이다. 그러니 망분리를 하라고 하면 온갖 단점들부터 떠오르는 것이고, 그래서 ‘식상하다’, ‘지겹다’는 반응이 나오는 것이다. 망분리가 좋은 건 아는데 여러 가지 이유로 하기는 힘들고, 그러니 이상과 현실 사이에서 괴리가 생기고, 그것이 부정적인 반응으로 귀결되는 거라고 본다.
보안뉴스 : 아예 얘기를 처음부터 해보자. 굳이 망분리를 해야 하는 이유가 무엇인가?
데이브 셰퍼드 : 보안 업계는 여러 시대를 거쳐왔다. 그 시대들을 어떻게 구분하느냐가 학술적으로 정의된 건 아니지만, 한 10년 전만 해도 우리는 ‘예방의 시대’를 살고 있었다. 그 때 보안의 최고 임무는 공격이 아예 성립되지 않도록, 피해가 전혀 발생하지 않도록 막는 것이었다. 외곽 방어를 철저하게 해서 외부인이 발끝도 들이밀지 못하게 하는 것이 보안이었고, 모두가 보안으로부터 그러한 성과를 기대했다.
하지만 외곽 방어에 집중하던 시대는 지나갔고, 해커들을 침투를 100% 막을 수 없다는 걸 인정해야만 하는 때가 도래했다. 이 시대에는 피해를 줄이는 게 보안의 가장 큰 임무였다. 이게 어디까지 갔냐면, ‘사이버 공격자들이 이미 네트워크에 들어와 있는 걸 상정하고 보안 전략을 마련해야 한다’가 보안의 명제가 됐다. ‘한 발짝도 들어오면 안 돼’에서 ‘이미 들어와 있다고 여긴다’로 180도 변한 것이다. 그렇게 했을 때 ‘피해를 줄이는 보안’의 역할을 다할 수 있었기 때문이다. 100% 막을 수 없는데 100% 막을 수 있을 것처럼 보안의 할 일을 하려 한다는 건 쉐도우 복싱 일 뿐이었다.
그리고 지금, 우리는 또 다른 시대를 지나고 있다. 개인적으로 나는 지금을 ‘격리의 시대(age of containment)’라고 생각한다. 피해를 최소화 한다는 것의 연장선일 수 있는데, 지금 보안이 가장 신경 써야 할 건 이미 들어와 있는 공격자가 네트워크를 헤집고 돌아다니지 못하게 하는 것이라고 본다. 공격자가 허락없이 우리 네트워크 안으로 발을 들인 것 자체는 막을 수 없다면, 딱 거기까지만 허용한다는 게 ‘격리의 시대’를 지나는 보안의 마음가짐이라고 할 수 있다. ‘들어오는 건 어쩔 수 없지만 돌아다니는 건 막는다’라는 게 지금의 보안이다.
보안뉴스 : 보안 업계 용어로 ‘횡적 움직임(lateral movement)’을 막는다는 것을 말하는가?
데이브 셰퍼드 : 그렇다. 우리는 ‘해킹 공격 때문에 피해를 입는다’라고 크고 굵직하게 생각하는데, 그 말은 너무 모호하다. 진짜 파괴적 행위가 일어나는 건 한 번 들어온 공격자가 횡적으로 움직이기 시작할 때부터다. 예를 들어 내 개인 모바일 장비로 우리 회사 네트워크에 접근하는 데 성공한 공격자가, 내 모바일에서 할 수 있는 일이 무엇일까? 내 핸드폰에 저장된 개인 사진 빼가는 것 정도일 것이다. 그게 사소한 일이라는 뜻이 아니다. 거기서 피해가 끝나면, 회사로서는 그리 큰 위기에 빠질 가능성이 낮다는 것이다.
그런데 공격자가 그 개인 모바일에서 회사 계정 ID와 비밀번호를 가져가게 된다면 어떨까? 회사 네트워크로 접속할 수 있게 된다. 횡적 움직임이 일어나는 것이다. 그 때부터 본격적인 피해가 시작된다. 이런 시나리오에서 최선은 내 모바일에조차 공격자가 들어오지 못하게 하는 것이고, 차선은 내 모바일에 공격자를 가둬놓는 것이다. 격리시킬 수 있다면 피해는 최소화 되기 마련이다.
보안뉴스 : 망분리가 그런 격리 조치를 위한 방법이라는 것인가?
데이브 셰퍼드 : 그렇긴 한데 흔히들 말하는 그냥 망분리인 segmentation을 의미하는 게 아니다. 거기서 더 나아가 ‘미세 망분리’ 즉 micro-segmentation까지 이르러야 위협 요인들을 효과적으로 격리시킬 수 있게 된다.
보안뉴스 : segmentation과 micro-segmentation은 무슨 차이인가?
데이브 셰퍼드 : 그냥 망분리인 segmentation은 macro-segmentation을 말하는 것이고, 일종의 ‘개념’이다. 망을 기능별로 혹은 지역별로 혹은 목적이나 권한별로 나눠서 관리해야 한다는 굵직한 개념이나 이론이라고 할 수 있다. 큰 그림이라는 것이다. 대부분 망분리에 대해 볼멘 소리를 한다고 했을 때 이것을 이야기하는 것이라고 생각한다. 망을 분리시킨다는 개념을 어느 정도 이해하고 있으니 그 어려움에 대해서도 예상할 수 있고, 그러니 호의적으로 반응하지 못하는 것이다.
그에 반해 micro-segmentation은 망분리라는 개념을 ‘실제로 구축’하는 것이라고 보면 된다. ‘개념’과 ‘구축’ 혹은 ‘이상’과 ‘현실’과 같은 관계에 있다고 할까. 개념이 실존적인 존재로서 자리하는 것인데, 그렇기 때문에 micro-segmentation이라는 것을 진행하다보면 개념적으로만 알고 있던 것들에 대해 실질적인 고민을 하게 된다. 제로트러스트(zero-trust)라는 게 대표적이다. 모든 것을 확인하고서 승인한다는 이 ‘개념’을 얼마나 깊숙하게 실현할 것인지가 micro-segmentation 단계에 와서야 비로소 피부에 닿는 현실 문제가 된다. ‘공격자는 이미 침투해 있다(assume-breach mind)’는 보안의 패러다임이라는 것도 마찬가지다.
기술적으로 말하자면, 기존 망분리(macro-segmentation)는 내부의 신뢰 영역 내 자산들끼리 하는 통신(east-west)에 대한 제어를 하는 데 있어 한계가 있고 micro-segmentation은 그것을 보완한 거라고 할 수 있다. 네트워크를 더 작은 단위로 나눠서 각 단위별로 가시성을 확보하고 보안 정책을 적용하는 것이다. 이 단위별 보안 정책은 ‘제로트러스트’에 기반을 두고 있으므로 인증 체계가 강화되고, 또 소프트웨어 정의 경계 기술이 적용돼 자원 접근을 보다 효과적으로 제어할 수 있다.
보안뉴스 : 이해가 가지 않는다. 사용자들이 ‘망분리 어렵다’고 불만을 토로한다는 건, micro-segmentation이라는 구현 단계에까지 갔으니 그럴 수 있는 것 아닐까?
데이브 셰퍼드 : 그럴 수 있다. 하지만 실제로 해보면 의외로 어렵지 않다는 걸 느끼는 경우들이 더 많다고 생각한다. 원래 우리 대부분의 일들은 상상할 때가 실행할 때보다 더 어렵지 않은가. 이건 그냥 하는 말이 아니라, 일루미오가 지난 10년 동안 전 세계에서 가장 복잡한 환경을 성공적으로 micro-segmentation 했기 때문에 할 수 있는 말이다. micro-segmentation이 의외로 간단하다는 건, 난이도가 낮다거나 비용이 저렴하다는 게 아니다. 어려운 일이지만 할 만하다, 비싸 보이지만 그렇지만도 않다는 뜻이다.
일루미오는 지난 수년 동안 대형 기업과 기관들에 들어가 망분리를 직접 구현하면서 더 쉽고, 더 우아하게 micro-segmentation을 구현하는 방법을 터득했다고 자신한다. 그걸 말로 다 설명할 수는 없고, 간단히 표현하자면 ‘횡적 움직임 방지에 집중한다’고 할 수 있다. 세계 10대 글로벌 은행, 거대 자동차 기업, 주요 국방 기관, 항공사 등 상상 이상으로 복잡 난해한 네트워크를 우리는 잘 분리해 왔고, 시장에서도 좋은 반응을 얻어 왔다. 그렇기에 우리의 가장 큰 마케팅 도구는 ‘입소문’이다. 클라이언트가 다른 클라이언트에게 일루미오를 소개하면서 새로운 사업이 발생하는 경우가 대부분이다. 그만큼 우리의 micro-segmentation에는 매력과 장점이 있다.
보안뉴스 : 우아한 망분리를 원하는 기업이나 기관에게 뭘 권할 수 있겠는가?
데이브 셰퍼드 : 가만히 네트워크를 들여다보라. 우리는 너무 많은 장비와 소프트웨어와 서비스를, 너무 많은 방식으로, 너무 많은 곳에 연결해 붙이고 있다. 우리가 원하는지 원하지 않는지 고민도 할 새 없이 이런 연결들이 성립되고 취소된다. 그런 일들이 너무나 쉽게 일어나고 사라져, 우리는 그런 일들이 일어나는지조차 더 이상 느끼지 못하고 있다. 원하지 않는 것들이 거미줄처럼 스스로를 확장시키니, 원하지 않는 것들이 원하지 않는 방식으로 움직이기 시작한 게 지금의 상황이다.
그렇다고 그러한 현상의 근본으로 거슬러 올라가 아무도 아무 장비를 연결할 수 없는 때로 갈 수는 없다. 지금은 가장 표면에 드러난 문제인 ‘원하지 않는 것이 원하지 않는 방식으로 움직인다’에서부터 집중해야 한다. 그 표면의 문제를 해결하려 하다보면 그 전 단계에 있는 ‘너무 쉬운 연결’이라든가 ‘너무 많은 연결’이라는 문제에도 직면하게 될 것이다. 즉 보이는 것부터 차근차근 해결하면 문제의 근원에 도달하게 될 것이라는 의미다. 그래서 지금 위협을 격리시키는 것에 집중하는 게 맞다고 생각한다. 무엇에 집중해야 할지 알게 된다면, 망분리라는 복잡한 작업도 방향을 잡을 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 개념은 개념일 뿐이다. 개념을 읊는 것과 그것을 구현하는 건 전혀 다른 문제이며, 그 구현의 과정 없이는 개념은 모래 위에 쓴 이름과 같이 잠깐 있다 사라진다. 글로벌 보안업체 일루미오의 아태지역 부사장인 데이브 셰퍼드(Dave Shephard)는 ‘망분리’라는, 흔하다 못해 식상하기까지한 용어도 ‘개념’과 ‘구현’의 맥락으로 구분해서 생각해야 한다는 입장이다. 왜냐하면 망분리라는 효과적인 보안 전략이 지금까지도 개념의 상태에서 벗어나지 못하고 있기 때문이다. 한국을 방문한 그와 마주했다.
▲일루미오의 데이브 셰퍼드 아태지역 부사장[사진=보안뉴스]
보안뉴스 : 일루미오라는 보안 업체는 망분리를 키워드로 가져가는 듯하다. 망분리 이야기 나온 게 벌써 까마득한 옛날이다. 특별할 것이 없어 보이는데.
데이브 셰퍼드 : 당연한 반응이다. ‘망분리’는 새로울 것도, 특별할 것도 없는 보안 전략이자 개념이다. 하지만 역으로 묻고 싶다. 정말 ‘망분리’가 식상할 정도로 우리의 환경에 잘 구축되어 있는가? 망분리가 어지간한 조직들의 ‘디폴트 보안’인가?
보안뉴스 : 그렇지 않다. 사실 망분리 하라고 하면 거부 반응들도 적잖이 나오는 게 현실이다. 너무 어렵고, 너무 비싸다는 의견들이 많다.
데이브 셰퍼드 : 말한 그대로다. 망분리라는 거, 그 자체가 식상해지는 게 아니라 망분리가 실제로 구현하기 어려우니까 그에 대한 반감이 자리를 잡아가고 있는 게 지금의 상황이다. 그러니 망분리를 하라고 하면 온갖 단점들부터 떠오르는 것이고, 그래서 ‘식상하다’, ‘지겹다’는 반응이 나오는 것이다. 망분리가 좋은 건 아는데 여러 가지 이유로 하기는 힘들고, 그러니 이상과 현실 사이에서 괴리가 생기고, 그것이 부정적인 반응으로 귀결되는 거라고 본다.
보안뉴스 : 아예 얘기를 처음부터 해보자. 굳이 망분리를 해야 하는 이유가 무엇인가?
데이브 셰퍼드 : 보안 업계는 여러 시대를 거쳐왔다. 그 시대들을 어떻게 구분하느냐가 학술적으로 정의된 건 아니지만, 한 10년 전만 해도 우리는 ‘예방의 시대’를 살고 있었다. 그 때 보안의 최고 임무는 공격이 아예 성립되지 않도록, 피해가 전혀 발생하지 않도록 막는 것이었다. 외곽 방어를 철저하게 해서 외부인이 발끝도 들이밀지 못하게 하는 것이 보안이었고, 모두가 보안으로부터 그러한 성과를 기대했다.
하지만 외곽 방어에 집중하던 시대는 지나갔고, 해커들을 침투를 100% 막을 수 없다는 걸 인정해야만 하는 때가 도래했다. 이 시대에는 피해를 줄이는 게 보안의 가장 큰 임무였다. 이게 어디까지 갔냐면, ‘사이버 공격자들이 이미 네트워크에 들어와 있는 걸 상정하고 보안 전략을 마련해야 한다’가 보안의 명제가 됐다. ‘한 발짝도 들어오면 안 돼’에서 ‘이미 들어와 있다고 여긴다’로 180도 변한 것이다. 그렇게 했을 때 ‘피해를 줄이는 보안’의 역할을 다할 수 있었기 때문이다. 100% 막을 수 없는데 100% 막을 수 있을 것처럼 보안의 할 일을 하려 한다는 건 쉐도우 복싱 일 뿐이었다.
그리고 지금, 우리는 또 다른 시대를 지나고 있다. 개인적으로 나는 지금을 ‘격리의 시대(age of containment)’라고 생각한다. 피해를 최소화 한다는 것의 연장선일 수 있는데, 지금 보안이 가장 신경 써야 할 건 이미 들어와 있는 공격자가 네트워크를 헤집고 돌아다니지 못하게 하는 것이라고 본다. 공격자가 허락없이 우리 네트워크 안으로 발을 들인 것 자체는 막을 수 없다면, 딱 거기까지만 허용한다는 게 ‘격리의 시대’를 지나는 보안의 마음가짐이라고 할 수 있다. ‘들어오는 건 어쩔 수 없지만 돌아다니는 건 막는다’라는 게 지금의 보안이다.
보안뉴스 : 보안 업계 용어로 ‘횡적 움직임(lateral movement)’을 막는다는 것을 말하는가?
데이브 셰퍼드 : 그렇다. 우리는 ‘해킹 공격 때문에 피해를 입는다’라고 크고 굵직하게 생각하는데, 그 말은 너무 모호하다. 진짜 파괴적 행위가 일어나는 건 한 번 들어온 공격자가 횡적으로 움직이기 시작할 때부터다. 예를 들어 내 개인 모바일 장비로 우리 회사 네트워크에 접근하는 데 성공한 공격자가, 내 모바일에서 할 수 있는 일이 무엇일까? 내 핸드폰에 저장된 개인 사진 빼가는 것 정도일 것이다. 그게 사소한 일이라는 뜻이 아니다. 거기서 피해가 끝나면, 회사로서는 그리 큰 위기에 빠질 가능성이 낮다는 것이다.
그런데 공격자가 그 개인 모바일에서 회사 계정 ID와 비밀번호를 가져가게 된다면 어떨까? 회사 네트워크로 접속할 수 있게 된다. 횡적 움직임이 일어나는 것이다. 그 때부터 본격적인 피해가 시작된다. 이런 시나리오에서 최선은 내 모바일에조차 공격자가 들어오지 못하게 하는 것이고, 차선은 내 모바일에 공격자를 가둬놓는 것이다. 격리시킬 수 있다면 피해는 최소화 되기 마련이다.
보안뉴스 : 망분리가 그런 격리 조치를 위한 방법이라는 것인가?
데이브 셰퍼드 : 그렇긴 한데 흔히들 말하는 그냥 망분리인 segmentation을 의미하는 게 아니다. 거기서 더 나아가 ‘미세 망분리’ 즉 micro-segmentation까지 이르러야 위협 요인들을 효과적으로 격리시킬 수 있게 된다.
보안뉴스 : segmentation과 micro-segmentation은 무슨 차이인가?
데이브 셰퍼드 : 그냥 망분리인 segmentation은 macro-segmentation을 말하는 것이고, 일종의 ‘개념’이다. 망을 기능별로 혹은 지역별로 혹은 목적이나 권한별로 나눠서 관리해야 한다는 굵직한 개념이나 이론이라고 할 수 있다. 큰 그림이라는 것이다. 대부분 망분리에 대해 볼멘 소리를 한다고 했을 때 이것을 이야기하는 것이라고 생각한다. 망을 분리시킨다는 개념을 어느 정도 이해하고 있으니 그 어려움에 대해서도 예상할 수 있고, 그러니 호의적으로 반응하지 못하는 것이다.
그에 반해 micro-segmentation은 망분리라는 개념을 ‘실제로 구축’하는 것이라고 보면 된다. ‘개념’과 ‘구축’ 혹은 ‘이상’과 ‘현실’과 같은 관계에 있다고 할까. 개념이 실존적인 존재로서 자리하는 것인데, 그렇기 때문에 micro-segmentation이라는 것을 진행하다보면 개념적으로만 알고 있던 것들에 대해 실질적인 고민을 하게 된다. 제로트러스트(zero-trust)라는 게 대표적이다. 모든 것을 확인하고서 승인한다는 이 ‘개념’을 얼마나 깊숙하게 실현할 것인지가 micro-segmentation 단계에 와서야 비로소 피부에 닿는 현실 문제가 된다. ‘공격자는 이미 침투해 있다(assume-breach mind)’는 보안의 패러다임이라는 것도 마찬가지다.
기술적으로 말하자면, 기존 망분리(macro-segmentation)는 내부의 신뢰 영역 내 자산들끼리 하는 통신(east-west)에 대한 제어를 하는 데 있어 한계가 있고 micro-segmentation은 그것을 보완한 거라고 할 수 있다. 네트워크를 더 작은 단위로 나눠서 각 단위별로 가시성을 확보하고 보안 정책을 적용하는 것이다. 이 단위별 보안 정책은 ‘제로트러스트’에 기반을 두고 있으므로 인증 체계가 강화되고, 또 소프트웨어 정의 경계 기술이 적용돼 자원 접근을 보다 효과적으로 제어할 수 있다.
보안뉴스 : 이해가 가지 않는다. 사용자들이 ‘망분리 어렵다’고 불만을 토로한다는 건, micro-segmentation이라는 구현 단계에까지 갔으니 그럴 수 있는 것 아닐까?
데이브 셰퍼드 : 그럴 수 있다. 하지만 실제로 해보면 의외로 어렵지 않다는 걸 느끼는 경우들이 더 많다고 생각한다. 원래 우리 대부분의 일들은 상상할 때가 실행할 때보다 더 어렵지 않은가. 이건 그냥 하는 말이 아니라, 일루미오가 지난 10년 동안 전 세계에서 가장 복잡한 환경을 성공적으로 micro-segmentation 했기 때문에 할 수 있는 말이다. micro-segmentation이 의외로 간단하다는 건, 난이도가 낮다거나 비용이 저렴하다는 게 아니다. 어려운 일이지만 할 만하다, 비싸 보이지만 그렇지만도 않다는 뜻이다.
일루미오는 지난 수년 동안 대형 기업과 기관들에 들어가 망분리를 직접 구현하면서 더 쉽고, 더 우아하게 micro-segmentation을 구현하는 방법을 터득했다고 자신한다. 그걸 말로 다 설명할 수는 없고, 간단히 표현하자면 ‘횡적 움직임 방지에 집중한다’고 할 수 있다. 세계 10대 글로벌 은행, 거대 자동차 기업, 주요 국방 기관, 항공사 등 상상 이상으로 복잡 난해한 네트워크를 우리는 잘 분리해 왔고, 시장에서도 좋은 반응을 얻어 왔다. 그렇기에 우리의 가장 큰 마케팅 도구는 ‘입소문’이다. 클라이언트가 다른 클라이언트에게 일루미오를 소개하면서 새로운 사업이 발생하는 경우가 대부분이다. 그만큼 우리의 micro-segmentation에는 매력과 장점이 있다.
보안뉴스 : 우아한 망분리를 원하는 기업이나 기관에게 뭘 권할 수 있겠는가?
데이브 셰퍼드 : 가만히 네트워크를 들여다보라. 우리는 너무 많은 장비와 소프트웨어와 서비스를, 너무 많은 방식으로, 너무 많은 곳에 연결해 붙이고 있다. 우리가 원하는지 원하지 않는지 고민도 할 새 없이 이런 연결들이 성립되고 취소된다. 그런 일들이 너무나 쉽게 일어나고 사라져, 우리는 그런 일들이 일어나는지조차 더 이상 느끼지 못하고 있다. 원하지 않는 것들이 거미줄처럼 스스로를 확장시키니, 원하지 않는 것들이 원하지 않는 방식으로 움직이기 시작한 게 지금의 상황이다.
그렇다고 그러한 현상의 근본으로 거슬러 올라가 아무도 아무 장비를 연결할 수 없는 때로 갈 수는 없다. 지금은 가장 표면에 드러난 문제인 ‘원하지 않는 것이 원하지 않는 방식으로 움직인다’에서부터 집중해야 한다. 그 표면의 문제를 해결하려 하다보면 그 전 단계에 있는 ‘너무 쉬운 연결’이라든가 ‘너무 많은 연결’이라는 문제에도 직면하게 될 것이다. 즉 보이는 것부터 차근차근 해결하면 문제의 근원에 도달하게 될 것이라는 의미다. 그래서 지금 위협을 격리시키는 것에 집중하는 게 맞다고 생각한다. 무엇에 집중해야 할지 알게 된다면, 망분리라는 복잡한 작업도 방향을 잡을 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
