나경아빠의 스케치북 - 고통은 희망의 씨앗이다

출처 : 2015.12.3 주요정보통신기반시설 정보보안 컨퍼런스, 박영웅 연구원(국가보안기술연구소)

1. 스마트폰 보안 위협

    ㅇ 스마트기기 공격 - 새로운 공격 경로

        - 새로운 감염 및 공격 경로의 지속적인 등장

- 앱 마켓, 스팸 문자, 웹 서핑, MMS -> (스마트기기) -> DDoS공격, 개인정보유출, 도청, 위치추적

ㅇ 공격자 입장에서 스마트폰의 매력

1) 기존의 단말

① Closed OS (+ WIPI)

② Closed Market

③ Closed SDK

④ 국내에 특별한 보안 이슈 없었음(시장 규모 작읍 -> 공격을 통한 이득이 없음)

2) 스마트폰

① 앱 개발의 주체가 개발자로 이동

- Open Market으로 활성화

- 개방된 개발환경 제공됨

② 개인의 민감한 정보의 집중화

- PIMS의 역할 수행(연락처, SMS, 일정, 메일 등)

- 금융 정보(인증서, PIN번호, 보안카드 등)

③ 모바일 오피스의 등장

- 각종 업무 정보와 포탈 접속

④ 다양한 공격 발생 가능

- 개방된 개발환경으로 공격자는 보다 많은 기술 습득

- 사용자 증가로 상업적 이득이 높아짐

- 개인정보 수집(프라이버시 침해/제2,3의 공격에 활용)

ㅇ 주요 악성 앱

1) BrainTest

① 주요 특징

- 2015년 9월 Check Point의 Blog를 통해서 알려짐

- MDM 정책 수정 시도

- 구글 악성 앱 필터링 시스템(Google Bouncer)을 우회하여 공식 마켓을 통해 유포

- 약 100,000 다운로드

- 삭제를 방해하기 위해 root exploit 사용

- 서버로부터 코드를 다운로드 받아서 실행(악성행위 다변화)

② BrainTest의 Google Bouncer 우회

- IP주소 검증

-> BrainTest는 Google Bouncer의 IP에서 실행되면 악성 행위를 수행하지 않음

- Domain 문자열 검증

-> Host의 domain에서 "google", "android", "1e100"을 검사

- TimeBomb

-> 실행 후 20초 뒤에 unpack 시작, 최초 실행 후 8시간 뒤에 서버로부터 악성코드 수신

- Java Reflection 을 이용한 메소드 호출 은닉

2) FakeKaKao

① 주요 특징

- 2013년 등장

- 네이티브 코드를 활용하여 고수준의 구현 기술 사용

- Anti-Debugging, Anti-Emulator, 커스텀 문자열 암호화 기술 사용

- Anti-Virus 솔루션 탐지

- 이 악성 앱의 기술을 기반으로 다양한 변종 출현

② FakeKaKao 의 분석 방해 기술

- .init_array 섹션에 등록된 초기화 함수에서 안티 디버깅 수행

- 프로세스 목록을 검사하여 분석 도구 프로세스가 실행중인지 검사

- 안드로이드 에뮬레이터의 IP주소(10.0.2.15) 접속 시도를 통한 에뮬레이터 검증 수행

- pm disable 명령을 이용한 안티 바이러스 솔루션 무력화

2. Mobile APT

ㅇ Mobile Remote Administration Tool

1) Mobile Remote Administration Tool

- 원격에서 사용자의 모바일 사용을 감시

- 도청, 도촬, 위치추적, SMS, 연락처 같은 민감한 개인 정보의 열람 및 조작 가능

- 최근에는 특정 앱(ex 메신저) 의 정보를 열람할 수 있게 하는 기능까지 제공

- keylogger 기능 제공

2) Mobile RAT기능은 Mobile APT의 핵심적인 요소

3) 강력한 감시 기능을 위해서 주로 root exploit을 이용해서 관리자 권한을 탈취

- 2015년 Zimperium Mobile Security사는 Telegram메신저의 Secret mode에서 대화 내용을 열람하는데 성공

- SELinux가 도입되었지만 안드로이드 환경을 위한 효과적인 Rule이 없고, 임기웅변식의 대응중

- Virus : root 권한으로 시스템 파일들을 예전 ELF 바이러스 형태로 감염시키는 안드로이드 악성코드도 등장

- Bootkit : init.rd를수정하여 사용자가 악성 앱을 삭제해도 재부팅하면 다시 설치되도록 하는 방식의 부트킷(oldboot)

ㅇ 안드로이드 취약점의 위협

1) 모바일 해킹의 가장 심각한 위협은 취약점

2) 최근 권한 상승 취약점과 함계 remote code execution 취약점도 발견

3) 최근 전세계적으로 모바일 취약점에 대한 연구가 활발히 진행중

4) 취약점은 리눅스 커널, 드라이버, 안드로이드 플랫폼, 제조사의 앱 또는 서비스, 사용자 앱에서 발생

5) 최근 갤럭시 시리즈에서 발견된 취약점

- 삼성 Swift 키보드의 원격 코드 실행 취약점(CVE-2015-4640, CVE-2015-4541)

-> 공격자는 MITM 공격을 통해서 조작된 업데이트 파일을 다운받아 실행시킴

- 구글 Project Zero에서 11개의 취약점 발견(권한상승 취약점 포함)

- CVE-2015-1800, CVE-2015-1801 : 삼성에서 추가한 drvie에서 발생한 취약점

ㅇ 망 침투

1) 감염된 모바일 기기를 이용한 PC 감염

2) 악성 앱은 감염된 모바일 기기의 SDCard에 autorun.inf, folder.ico, svchosts.exe) 파일을 생성

3) 스마트폰이 PC에 저장장치로 연결되었을 때, svchosts.exe가 실행되는 방식

4) 모바일 감염을 통한 망 침투

- 모바일 전자정부

- 모바일 오피스

- 모바일을 통한 VPN으로 내부망 접근

- 모바일에서 획득한 관리자 정보를 이용한 APT

- 망연계 솔루션 및 보안 솔루션들의 취약점

3. 대응

- 중요시설의 조직원은 모바일 기기 사용에 주의 필요

- [출처를 알 수 없는 앱] 체크 해제

- 불필요한 앱 설치 자제

- 공식 마켓 이용

- 정기적으로 초기화 필요(공장 초기화)

- 공개된 wifi 사용 자제

- 가정의 무선 AP 암호 설정 강화

- 개발자 옵션 비활성화

- 루팅 금지

- 스마트폰과 PC 접촉을 자제

- 불필요한 웹 사이트 접속 자제

- SMS의 URL 접속 자제

- 앱을 사용할 때, 시간차로 올라오는 화면 주의

출처 : http://www.mt.co.kr/view/mtview.php?type=1&no=2015092213561156452&outlink=1

[피플]이상금융거래탐지시스템 개발한 김정선 유안타증권 과장

출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150813110301&type=det&re=

금융권에서 보이스 피싱 및 해킹에 대비하기 위해 이상거래탐지시스템(FDS)을 구축하려는 움직임이 활발하다. FDS는 보이스 피싱이나 해킹에 의한 계좌 이체라고 판단되면 거래를 원천봉쇄하는 것이 핵심이다. 이상하다고 판단되면 바로 차단하는 것, 그리고 제대로 된 것을 이상하다고 오판하지 않는 것이 중요하다.

​

유안타증권은 최근 FDS 고도화 프로젝트를 마무리해 주목된다. 키워드는 실시간이다.

​

유안타증권은 고도화 프로젝트에서 각종 금융사고를 탐지 및 차단했던 다양한 데이터와 경험을 토대로 최근 주로 발생하는 인터넷 및 모바일뱅킹에서의 계좌이체 금융사고를 실질적으로 확대 예방하는데 초점을 맞췄다. 각종 로그의 실시간 수집이 가능하고, 금융거래 진행과 동시에 이상금융거래를 탐지, 사고를 실시간으로 차단할 수 있는 환경을 구현했다.

​

유안타증권이 FDS를 처음 오픈한 것은 2013년 3월이다. 그러나 가동에 들어가보니 사고에 대한 대응이 만만치 않았다. 실시간을 효과적으로 지원하지 못했다. 이상 징후를 감지해 당사자에게 연락하면 이미 이체가 끝나버린 경우가 많았다는 얘기다.

유안타증권이 FDS 고도화 프로젝트를 통해 실시간 환경을 구현했다.

​

유안타증권이 대안으로 뱅킹 시스템과 FDS를 통합하는 카드를 뽑아들었다. 실시간 체크가 가능해져 처음에는 효과를 봤다고 한다. 그러나 시간이 지나자 장애물을 만났다. FDS를 룰을 계속해서 추가해야 하는데, 룰을 하나 새로 붙일 때마다 내부 개발자들의 부담이 커진 것이다. 룰 하나 추가하는데 3~4주씩이나 걸렸다고 한다.

​

유안타증권이 FDS 고도화를 통해 새로운 접근 방식을 시도한 것은 이같은 상황을 밑바탕에 깔고 있다.

​

유안타증권은 고도화 프로젝트를 통해 뱅킹 시스템과 FDS를 다시 분리하고 메모리DB위에서 FDS를 구현했다. 그랬더니 실시간 체크의 효율성이 크게 강화됐다. 20분만에 새로운 룰을 추가하는 것이 가능해졌다.

​

유안타증권 FDS에는 국산 업체인 선재소프트가 개발한 고속 인메모리 DBMS인 ‘SUNDB’가 탑재됐다. 이를 통해 레거시 시스템에 대한 부담을 제거하면서 초고속 분석을 통해 이상금융거래에 대한 사전차단이 가능해졌다. 유안타증권은 하루 트래픽은 로그인 건수 20만, 이체건수는 10만에 달한다.

​

FDS의 정확도도 개선됐다. 프로젝트를 담당한 유안타증권의 김정선 과장은 "예전에는 하루에 15건 정도 의심되는 거래를 찾아 고객들에게 전화를 걸었는데 요즘은 하루 1~2건 정도로 줄었다"고 전했다. 김정선 과장은 또 "FDS는 탐지를 많이 하는 것이 중요한게 아니라 탐지한 것 중 실제 이상거래가 어느정도인지, 탐지하지 못한 이상거래는 어느정도인지가 중요하다"면서 "유안타증권은 정탐은 올리고, 오탐은 줄이는데 초점을 맞추고 있다"고 덧붙였다.

​

유안타증권 FDS는 룰에 위반되면 이체 자체가 되지 않는다. 속도 저하 없이 이런 환경을 구현한 것에 회사측은 의미를 크게 부여하는 모습이다.

​

유안타증권은 앞으로의 FDS 운영 전략과 관련 비대면 인증, 바이오 인증, 간편 인증 등 새롭게 떠오르는 인증 수단에 어떻게 대응할지를 고민중이다. 현장에서 먹혀들 수 있는 룰 개발에도 지속적으로 투자해 나가기로 했다. 룰은 솔루션 회사에서 해줄 수 있는 성격의 일이 아니다. 김정선 과장은 "FDS를 쓰는 회사 내부에서 내공을 갖춰야 한다"고 말했다.

​

보이스 피싱과 해킹은 점점 진화하고 있다. 똑똑한(?) 사람들도 보이스피싱앞에서 '헛똑똑이'로 전락하는 경우도 많다고 한다. 김정선 과장은 "정신없이 일할때 전화가 오면 자신도 모르는 사이에 그냥 당할 수 있다"면서 "모르는 이에게 전화로 금융정보는 절대로 알려주면 안된다"고 강조했다.

출처 : http://www.datanet.co.kr/news/articleView.html?idxno=84776

유안타증권 “과거 사고 정보·발생 가능 사고 종합 ‘룰엔진’으로 오·미탐 없이 사기거래 방지”

“요즘은 해커가 개인정보를 모두 손에 쥐고 직접 금융거래를 하기 때문에 이상거래를 탐지하기가 어렵다. 이상거래탐지시스템(FDS)에 의해 거래가 중지되면 해커가 직접 콜센터에 전화해 소비자 본인을 가장하고 거래제한을 풀어낸다. 콜센터에서 본인확인을 위해 물어보는 개인정보를 모두 갖고 있기 때문이다.”

서동일 유안타증권 정보보안팀장의 말이다. 서 팀장은 “FDS를 통해 효과적으로 사기범죄를 막기 위해서는 개별적인 거래의 이상여부를 확인하는 수준이 아니라, 범죄자들이 어떠한 방식으로 공격을 진행하고 기존 시스템을 우회하는지 정확하게 예측해 방어할 수 있어야 한다”고 강조했다.

▲유안타증권 정보보안팀 서동일 팀장(우), 김정선 과장(좌)

정확한 FDS 룰엔진으로 사고 낮춰

전자금융사기가 날이 갈수록 지능화되고 있어서 단순한 룰 기반 FDS로는 사기범죄를 막을 수 없다. 최근 보이스피싱 범죄자들은 FDS에 탐지될 것을 감지하고 피해자에게 “잠시 후 금융사에서 전화해 본인확인을 할 것이니 반드시 본인이 직접 거래하는 것이라고 말해야 한다”고 말하기도 한다.

이미 사기범죄의 수법에 걸려든 피해자들은 사기범이 시키는대로 할 수 밖에 없으며, 금융사는 실제 본인확인까지 이뤄진 거래를 제한할 방법이 없게 된다. 이러한 문제가 생기는 것은 범죄자들이 현재 금융사에서 운영하고 있는 FDS 룰을 파악하고 있기 때문이다.

서 팀장은 “사기거래를 정확하게 탐지하기 위해서는 단일 거래가 아니라, 해커의 행위를 통해 향후 범죄를 예측해야 한다. 이를 위해서는 보안팀, 업무팀, 컴플라이언스팀, 개발팀 등 모든 조직이 함께 머리를 맞대고 사기거래 탐지를 위한 정확한 룰을 도출해 내야 한다. 과거에 발생한 사고 패턴을 종합적으로 분석해 시스템에 적용하고, 새롭게 나타나는 사고 의심 정황과 실제 탐지된 사기거래 등을 지속적으로 업데이트하면서 정확한 룰엔진을 만들어내야 한다”고 강조했다.

과거 사기거래에서 범죄자 행위 패턴 추출

▲유안타증권 FDS 고도화 시스템 구성도

유안타증권은 2013년부터 자체개발한 FDS를 운영했으며, 기존에 발생한 사고사례를 기반으로 룰엔진의 기초를 다지고, 각 부서의 책임자들이 공동으로 TF를 구성해 사기거래 탐지를 위한 룰엔진을 완성해나가고 있다.

FDS 구축을 전담해온 김정선 정보보안팀 과장은 “예전에는 금융사기가 발생하면 해당 정보를 담당 부서에 전해주는 것으로 끝냈는데, 금융사기 발생 빈도가 잦아지면서 사기거래 데이터를 연계분석하면 사기행위의 패턴이 나올 수 있고 이를 바탕으로 사기거래를 차단할 수 있을 것이라는 결론에 이르게 됐다”며 “과거에 축적해 둔 사기거래 정보에서 인자값을 추출해 사기거래탐지 룰의 기초를 만들기 시작하면서 FDS 개발을 시작하게 됐다. 현재 FDS 고도화 작업이 진행중이며, 이달 중 완료될 예정”이라고 말했다.

유안타증권은 증권사 중 가장 먼저 FDS를 구축하기 시작했는데, 임원진이 보이스피싱 등 각종 전자금융사기로부터 소비자를 보호해야 한다는 의지를 강력하고 일관적으로 보여왔으며, FDS 개발과 구축·운영에 전폭적으로 지원했다. 이를 바탕으로 장기간에 걸쳐 FDS 룰엔진을 지속적으로 수정∙보완∙업그레이드하면서 정확도를 높이고 있다.

FDS의 핵심은 사기거래를 탐지하는 룰엔진을 얼마나 정확하게 만드느냐에 달려있으며, 이는 금융사와 금융서비스, 금융소비자마다 각각 다른 특징을 반영해야 하는 복잡한 일이다. 특히 방대한 거래데이터와 사고데이터 중 정확한 룰을 만들 수 있는 데이터만 추출해야 하며, 실시간 거래에 지장을 주지 않도록 룰을 단순하고도 효과적으로 정제해야 한다.

김 과장은 “초기 FDS는 빅데이터 분석 시스템을 이용해 패턴을 도출하는 작업을 진행했지만, 실시간으로 이뤄지는 전자거래에 적용하기 위해서는 빅데이터가 아니라 ‘라이트 데이터(Right Data)’만을 추출해 빠르게 사기거래를 탐지할 수 있는 룰이 필요하다는 것을 알게됐다”고 밝혔다.

현재 유안타증권의 FDS 고도화 시스템은 금융거래 솔루션을 공급해 온 인피니그루와 함께 개발하고 있으며, 인피니그루는 라이트데이터만을 추출해 인메모리 기반의 빠른 분석을 지원하는 기술적인 특징을 갖고 있다.

2년간 차단한 사기거래 금액 ‘18억원’

유안타증권의 FDS는 장기간 쌓아온 사기거래 탐지 노하우를 기반으로 하고 있기 때문에 사기거래 탐지율이 매우 높은 편이라는 평가를 받는다. 실제로 유안타증권은 수천만원의 돈을 범죄자에게 송금하려는 순간 차단해 고객의 자산을 보호한 사례가 수차례 있었으며, 소비자들이 금융감독원 게시판 등에 유안타증권 FDS 시스템을 칭찬하는 글을 게시하기도 했다.

서동일 팀장은 “2013년부터 2015년 4월까지 FDS를 통해 차단한 사기거래가 18억원을 넘고 있으며, 증권사 중 가장 먼저 FDS를 운영하고 있어 많은 기업들이 벤치마크하고 있다”며 “사기거래 탐지율이 높아지면서 범죄자의 공격도 크게 줄어들고 있어 고객 신뢰도는 더욱 높아지고 있다”고 말했다.

그는 “모든 금융권이 제대로 된 FDS를 구축한다면 우리나라 고객을 노리는 전자금융사기도 크게 줄어들 것이라고 본다. FDS는 단순하게 과거 거래 패턴에 의존해서는 안되며, 금융사가 자체적으로 확보하고 있는 사고 정보를 바탕으로 자사 서비스의 특징과 고객의 특징을 감안해 룰엔진을 만드는 것이 필요하다”고 말했다.

금융기관이 FDS를 구축할 때 가장 어려움을 토로하는 부분이 R&R이다. 사고 데이터를 수집하고, 분석하고, 이를 거래 시스템에 적용해 개발하는 과정에서 누가 어떤 업무를 책임져야 하는지, PM은 어느 부서에서 맡아야 하는지 명확하게 구분이 되지 않는다.

김정선 과장은 “제대로 된 FDS를 위해서는 전권을 갖는 PM이 있어야 하며, 모든 부서가 힘을 모아야 한다. 무엇보다 중요한 것은 경영진의 강력한 의지와 전폭적인 지원이다. 경영진의 의지 없이 부서간 협업을 통한 FDS 구축은 요원한 일”이라며 “FDS를 통해 고객의 자산을 보호하는데 앞장서면 금융사의 신뢰도를 높일 수 있다”고 말했다.

출처 : 네트워크 타임즈 2015년 11월호 "망분리, 망연계 시장 집중 분석"

1. 망분리 배경

ㅇ 2013년 발표된 금융전산 망분리 가이드라인

ㅇ 제1금융권

- ~ 2014년 : 전산센터에 대한 물리적 망분리 완료

- ~ 2015년 : 본점과 영업점 망분리 완료

ㅇ 제2금융권

- ~ 2016년 : 망분리 완료

2. 망분리 목적

ㅇ 인터넷망과 업무망을 분리해 인터넷으로부터 유입되는 각종 사이버 공격을 막기 위함

3. 망분리 방법

ㅇ 물리적 망분리 

- 물리적으로 네트워크와 PC를 완전히 분리

ㅇ 논리적 망분리

- 가상화 기술을 이용해 한대의 PC에서 업무망과 인터넷망을 분리

① 서버기반컴퓨팅(SBC) : 서버에 가상 PC를 두고 인터넷에 연결

② 클라이언트기반컴퓨팅(CBC) : PC에 샌드박스와 같은 가상화 영역을 두고 인터넷에 연결 

4. 망분리 관련 컴플라이언스

ㅇ 2015.9 망분리 QnA : 

150921_망분리 QnA_.pdf

ㅇ 2015.9 망분리 예외기준을 명확히 한 전자금융감독규정 시행세칙

전자금융감독규정시행세칙.pdf

ㅇ 주요 내용

- 외국계 금융회사도 망분리 규제 준수 : 해외 소재 전산센터에 정보처리 업무를 위탁할 경우, 물리적 망분리

  이외의 망분리도 허용

- 제한적으로 외부망 연결 허용 : 전산센터의 물리적 망분리 서버의 경우 업무적으로 필요한 경우 허용

  (예 : 행정정보시스템, 공인인증서 발급기관 등)

- 외주직원 소유의 단말기의 망분리 준수 : 보험설계사, 외주직원 소유의 단말기로 금융사 내부망에 연결될 때

  에는 반드시 망분리

    -> 내부망과 분리된 DMZ 망 등에 위치한 시스템에만 접속하는 경우에는 망분리 대상이 아님

- 다른 계열사와 그룹웨어, 이메일 이용 시 망분리 : 그룹에 속한 금융회사가 다른 계열사와 그룹웨어, 이메일

  등을 이용할 때에도 망분리

- 망간자료전송시스템(망연계 시스템)은 의무 설치 아님 : 망연계 시스템을 이용해도 무방, 방화벽을 통해

  외부기관관의 연결 구성도 무방

5. 망분리 단점

ㅇ 인터넷에서 사용자 모르게 감염된 자료가 업무망 내부로 유입될 가능성 있음

ㅇ 업무망의 기밀정보가 외부로 유출될 가능성 있음

ㅇ 망간 전송 시 관리자의 승인을 받아야 하지만 관리자 업무가 폭증해 업무처리가 제대로 진행되지 않을 수 있음

ㅇ 망간 전송 의사결정이 늦어져 비즈니스 피해 가능성 있음

6. 망분리 걸림돌 - 라이선스

ㅇ 망분리는 한 사람이 2개 이상 OS와 응용프로그램을 사용해야 하기 때문에 라이선스도 하나의 단말에서 사용하는

   기준보다 훨씬 비싸다.

ㅇ SBC방식의 라이선스

① 필수 라이선스

- VM 라이선스

- 윈도우 라이선스

- 버추얼 데스크톱 액세스(VDA) 라이선스

> 물리적인 PC가 가상PC에 접근하는 권한에 대한 라이선스

> 단말 단위로 부과

- 망연계 라이선스

7. 망분리 비용

ㅇ 물리적 망분리

- 네트워크 회선 공사

- 네트워크 장비

- 보안 장비

- PC

ㅇ SBC 망분리

- 서버, 스토리지 

- 백업 비용 : 업무 데이터가 모두 중앙에서 관리되기 때문

ㅇ CBC 망분리

- 상대적으로 비용이 적게 듬

ㅇ 비용 비교

- 물리적 망분리 : 100 기준

- CBC 망분리 : 50

- SBC 망분리 : 80 ~ 120, 하드웨어 리소스를 많이 사용하는 업무라면 400 이상

8. 망분리 시 문제점

ㅇ CBC 망분리

- 단말에 설치된 에이전트가 가상환경을 침해로 인식하고 가상환경을 구동시키지 않는 것

- CBC 방식의 망분리 환경에서 가장 많이 일어나는 문제

- 윈도우 및 각종 응용프로그램의 업데이트가 발생할 때마다 충돌 문제를 발생 가능

ㅇ SBC 망분리

- 가상 PC에서 액티브X 등 비표준 웹환경이 구동되지 않을 수 있음

- CBC와 마찬가지로 DLP, DRM 등이 가상환경의 접속을 차단하는 경우 있음

- 가상 데스크톱 인프라(VDI)는 외산 솔루션이 많이 때문에 국내의 특수한 상황을 맞추는데 시간 소요

ㅇ VDI 문제점

- VDI 솔루션은 동시접속자 기준으로 라이선스를 책정, 가상PC를 할당받은 사용자가 업무 종료 후 해당

  가상PC를 회수시키지 않고 그대로 남겨뒀을 때, 사용하지 않는 가상PC에 대한 관리가 되지 않아

  비용이 증가하는 문제가 발생할 수 있음

- VDI 솔루션에서 기본적으로 세션이 만료되면 자동으로 가상PC가 삭제되는 기능이 있는데 가상PC에

  대한 별도의 관리 툴이 필요

지금까지 주 재테크 수단은 아파트에 의하 "집테크" 이었다.

앞으로는 수익형 재테크를 하고 싶어 예전부터 작은 빌딩이 꿈이여서 읽게된 책. 

2011년 첫 출간한 책이라 시점이 조금 다른 게 있었다.

1. 빌딩의 수익증대 방법

ㅇ 임대료를 올릴 수 있는 타이밍은 빌딩의 주인이 바뀔 때와 계약기간이 만료돼 재계약을 할 때다.

-> 한 주인이 오래 소유하고 있던 빌딩들이 노려야 할 물건들임. 

ㅇ 무슨 일이 있어도 '성장'하는 상권에 있는 '5년 미만'의 빌딩에 투자해야한다.

-> 성장하는 상권의 빌딩이어야 하는 이유는 상권이 뒷받침되지 않으면 아무리 임대료를 올리고 싶어도 올릴 수가 없기 

    때문임.

-> 5년 미만의 신축 빌딩은 임차인 구하기가 쉽기 때문. 새 아파트를 선호하듯, 임차인들도 새 빌딩을 선호한다.

ㅇ 돈 이야기를 할 수 있는 친구가 필요하다.

-> 투자에서 수익을 남기려면 투자금이 50~150억원 정도는 돼야 하고 이중 절반은 현금이 필요하다.

   자산가들 중에서도 현금을 수십억 쌓아놓기란 쉽지 않기에 동업이 필요하다.

ㅇ 처음 재테크를 시작하는 사람들에게 월급의 10퍼센트 정도 임대수익을 목표료 하는게 좋다.

ㅇ 코너에 있는 건물이 좋은 것은 건물을 지을 때 높에 제한 규제를 덜 받는 장점이 있기 때문이다.

ㅇ 모텔은 손님들의 동선 파악이 중요하다

-> 운전자들은 습관적으로 핸들을 왼쪽으로 돌린다든지, 대로변에 보이는 첫 번째 모텔은 심리적으로 부담스럽다든지

   등의 사소한 습관, 심리를 파악해야한다.

ㅇ 모텔 영업이 잘 되려면 특히 시설이 중요하다.

ㅇ 초보자가 모텔을 임대할 때 핵심은 '5년 계약'과 '낮은 월세'이다. 

-> 통상 2년 계약이 일반적이지만 5년으로 계약기간을 늘리면 투입한 리모델링 공사비를 다 뽑을 수 있다.

ㅇ 수익형 부동산으로 돈을 버는 방법은 두 가지다. 임대료 수입과 시세차익이다.

ㅇ 치밀한 '지역선택'과 '수익률 계산' 이 투자의 성공 비결이다.

-> 지역을 선택할 때는 투자에 실패하더라도 직접 들어와 살 수 있겠다는 생각이 드는 지역이어야 한다.

ㅇ 경매 주의할 점

-> 전략없이 구분등기된 물건은 손대지 말아야 한다. 법적인 문제가 힘들기 때문

-> 신규 상가는 절대 분양받지 않는다. 신규 상가는 시세 상승이 쉽지 않고 수익성이 검증되지 않았기 때문

ㅇ 역세권 경매로 나온 여관

-> 330제곱미터(100평) 전후의 여관은 대출이 어려워 경매로 나오는 물건이 많다.

-> 용도를 도시형 생활주택으로 변경해 은행에서 대출을 받으면 된다.

-> 모텔에서 도시형 생활주택으로의 용도변경은 쉬운 편

ㅇ 자루형 땅 매입

-> 자루형 땅이란 입구만 대로변에 접해 있고 나머지는 안쪽으로 들어가 자루처럼 생긴 땅을 말한다.

-> 대부분 이런 땅들은 대로변 땅보다 가격이 저렴하다. 일부만 대로변과 접하고 있기 때문

-> 다가구, 오피스텔 등을 짓고 임대하는 것도 한 방법

ㅇ 대지 매입 시 중시하는 요소는 크게 세 가지

-> 유동인구를 유발할 수 있는 횡단보도

-> 접근성을 높일 수 있는 진입도로

-> 에너지를 절감할 수 있는 남향

ㅇ 전략적인 임차인 선정

-> 신규로 생긴 업체는 들이지 않는다.

-> 음식, 음료 등 외식업체도 피한다. 음식이 건물을 망가뜨리고 또 냄새가 다른 임차인들의 쾌적한 근무환경을

   방해한다.

-> 연예기획사 등 엔터테인먼트 업종 종사자들도 피한다.

-> 광고회사, 인터넷 업종 등 일반 사무실을 선호

ㅇ 임차 용도를 미리 고려

-> 무조건 멋있고 특색 있는 빌딩만 지어 놓으면 임차인들이 줄을 설 것으로 생각했지만 그건 착각

-> 상권에 대한 고려 없이 무조건 예쁘게만 지어놓은 건물은 임차인 구할 때 애를 먹기 마련

-> 임차인이 원하는 규모를 미리 조사해야 한다. 업종별로 원하는 바가 다르다.

-> 특정 업종이 사업 허가를 얻으려면 일정 규모 이상의 면적이 필요

2. 빌딩부자 DNA

ㅇ 매입경로

-> 빌딩부자들이 가장 선호한 방법은 공인중개사를 통해서.

-> 그 다음이 지인을 통해서.

ㅇ 공실관리

-> 공실률을 줄이기 위해 가장 중요한 요소는 "건물 위치 및 설계"가 최우선.

ㅇ 안목

-> 저평가 된 물건의 미래가치를 보고 투자해야 한다.

-> 임대주택으로 지을 수 있는 부동산, 빌딩으로 지을 수 있는 땅, 상가를 지을 수 있는 땅,

    1층 단독을 4~5층으로 지을 수 있는 땅, 주거지가 상업지로 바뀔 지역의 땅 등 정확한 자료수집으로

    종합분석, 검토한 후 미래가치가 있는 부동산에 투자해야 한다.

ㅇ 수익률 계산 능력

-> '5년 후 빌딩의 시세가 두 배로 뛴다면 현재 이 빌딩의 가격은 얼마다' 라는 개념이 확실히 잡혀 있다.

-> 전문적인 용어로 '현가'에 대한 개념인데, 이 현가에 대한 개념은 투자를 할 것인가 말 것인가를 결정하는데

   중요한 판단기준을 제시한다.

ㅇ 플래 B

-> 빌딩부자들은 항상 '최약의 경우'를 미리 계산해둔다.

-> 빌딩부자들은 투자를 결정할 때 리스크를 상정하고 대안을 마련한 뒤 투자의 첫 샵을 뜬다. 

   이들은 최악의 상황에 대처하는 방법을 공부하고 투자에 나서기 때문에 일반적으로 위험이 일어나지 않는다.

ㅇ 계약서 한 줄

-> 표준계약서에는 분쟁이 발생했을 때 해결을 위한 규정이 완비돼 있지 않다.

-> 사소한 부분이나 구체적인 법 규정은 서로 간의 합의에 의해 보충해야 한다.

출처 : http://www.hankyung.com/news/app/newsview.php?aid=2015062144201&intype=1

1. 금융서비스의 변화

ㅁ (변화) 소비자 중심의 금융서비스

- 공급자 중심의 '영업시간' 개념도 머지않아 사라질 것으로 관측

ㅁ (해외) 캐나다 TD뱅크

- 24시간 모바일 메신저와 문자로 각종 불편과 궁금한 점 접수. 24시간 가동. 4초내 응답체계

- 캐나다의 다른 은행보다 영업시간이 평균 45% 김

- 매일 문 여는 오프라인지점 전략으로 변화중

- SNS 공간에서 소비자를 직접 만나기 위한 서비스 출시(TD헬프, TD라이브채팅)

2. 인터넷은행과 핀테크기업들의 금융회사 영역 확장

ㅁ 역량집중과 아웃소싱으로 비용절감

- (해외) 독일 피도르 은행

. 임직원 숫자는 39명. 보유한 고객 계좌는 30만개

. 차별화할 수 있는 부문에만 역량을 집중하고 다른 은행과 차별화할 수 없거나 규격화가 가능한 영역은 아웃소싱

핵심역량에 집중하고 비핵심역량은 아웃소싱하는 것은 전통적인 전략이고 그 사례가 금융회사의 IT부문과 애플의 제품제작이었다. 하지만 그런 흐름이 10~20년 지난 후 다시 IT인소싱 바람이 불고 있거나 여전히 인소싱을 유지해온 곳이 많이 있다.(아직 애플은 아웃소싱중인걸로 알고 있지만)

반대로 삼성전자는 초기부터 글로벌 기업이 된 지금까지 인소싱 전략으로 성장해왔다.

따라서 아웃소싱 전략이 핀테크의 기반이라고 보기는 납득하기 힘들다.

- 직원 한 명에 투입되는 전산 등 IT관련 비용을 보면 전통 은행은 200달러 정도인데 핀테크 기업들은 15달러 수준

IT비용보다는 전통 은행의 인건비, 지점 임대료, 각종 사무장비의 비용이 더 크지 않을까?

ㅁ 고객이 부담하는 수수료 절감

- (사례) 전통 은행의 해외송금 수수료를 10분의 1만 받는 핀테크 기업이 나오고 있음

3. 핀테크 분야별 경쟁

출처 : http://www.hankyung.com/news/app/newsview.php?aid=2015061882011

1. 해외 인터넷전문은행 서비스 사례

ㅁ (시작) 미국, 일본, 유럽에선 2000년 무렵부터 인터넷전문은행 출현

ㅁ (최근) 모바일전용은행 등 새로운 핀테크 분야로 사업 영역을 빠르게 확산

ㅁ 사례

- 프랑스 BPN파리바의 헬로뱅크 : 2013년부터 프랑스, 벨기에 등 4개 유럽 국가에서 약 80만명 고객 확보

2. 인터넷전문은행 새로운 서비스

ㅁ 로봇 자산관리 서비스 : 미국 찰스슈워브뱅크

- 2015년 '인텔리전스 포트폴리오' 라는 로봇 자산관리 서비스 개시, 1만 4000명의 독립펀드매니저에 제공

- 핀테크를 활용해 알고리즘을 완성해 고객에게 돌려줄 수익률을 극대화

ㅁ 카메라 본인 촬영으로 계좌 개설 : 일본 지분뱅크

ㅁ 모바일 어플리케이션으로 간편 결제 : 중국 알리바바, 일본 라쿠텐 등

ㅁ 계좌유지수수료 무료 : 미국 찰스슈워브뱅크

- 증권사 고객이 은행 계좌가 필요하다는 점에 착안해 계좌유지수수료를 무료로 내세움

- 계좌유지수수료 : 국내에 없는 제도

3. 인터넷전문은행 수익모델 취약

ㅁ 인터넷전문은행 경쟁이 치열해지면서 수익모델이 없으면 어려움

- 씨티은행 : 1999년 인터넷전문은행 설립, 2000년 수익이 안 난다는 이유로 철수

- ING다이렉트 미국법인 : 2011년 총자산 922억달러로 미국 최대 인터넷전문은행이었으나 캐피털원에 매각

(금융위)별첨_금융권 빅데이터 활성화 방안.pdf 

(금융위)보도자료_빅데이터를 활성화하여 금융회사와 핀테크 기업의 동반성장 토대 구축.pdf

1. 빅데이터 정의

    - 빅데이터는 일반적인 기술로 저장, 관리, 분석이 어려울 정도로 큰 규모를 가진 데이터

    - 빅데이터는 3V(Volume, Variety, Velocity)로 정의

        . Volume : 전수조사에 근접한 표본

        . Variety : 구조한 데이터 + SNS, 위치정보 등 비구조화 데이터

        . Velocity : 과거 트랜드 분석에서 벗어나 실시간 분석

2. 빅데이터 현항

    - 국내 보험사의 경우 빅데이터 활용이 마케팅, 보험사기적발 위주인 반면, 외국 보험사는

      상품혁신, 기후재난예측 등 다양하게 빅데이터 활용

    - 외국의 경우 빅데이터가 수익모델로 연결되고 있지만, 우리나의 경우 빅데이터가 수익모

      델로 연결되지 않고 있음

    - 외국 금융회사는 수요에 맞는 서비스를 실시간으로 제공하여 영업에 활용하고 있지만, 우

      리나라의 경우 빅데이터를 실시간으로 영업에 활용하지 못함

    - 우리나라 핀테크 기업이 빅데이터를 활용해 금융권으로 진출하는 경우는 많지 않음

3. 빅데이터 활용의 필요성

    - 외국의 경우 빅데이터 활용이 하나의 산업군으로 연결되고 있어 새로운 성장동력이 되고

      있음

    - 핀테크 기업의 금융정보 빅데이터 활용이 증가하면 핀테크 기업과 금융권이 동반 성장

    - 금융회사도 빅데이터 활용을 통해 시장개척, 새로운 수익사업 발굴 등이 가능하여 금융산

      업 발전에도 도움

4. 빅데이터 활성화 제약요인

    - (법령상 제약) 신용정보법령상 금융회사 등이 신용정보를 비식별화하여 빅데이터 사업에

      활용할 수 있는지 여부가 불명확

    - (인프라 미흡) 핀테크 기업은 금융상품을 만들고 새로운 서비스를 제공하기 위해 필요한

      금융정보의 확보가 어려움

    - (지침 미비) 개정 신용정보법상 과징금 도입, 징벌적 손해배상 등 제재가 강화되어 금융

      회사의 비식별화 정보활용 노력 저해

5. 금융권 빅데이터 활성화 방안

    1) 신용정보 범위 명확화

        - (개선방안) 신용정보법 시행령에서 비식별정보는 개인신용정보에서 제외

            . 시행령 초안 : 식별성이 전제되니 않은 개별 거래내용, 신용도, 신용거래능력 판단

              정보를 개인신용정보 범위에서 제외(9.12일 시행예정)

    2) 비식별정보 활용가능여부 명확화

        - (현황, 문제점) 개인정보보호법상 개인정보는 동의받은 목적으로만 활용해야 하나, 비

           식별화시 동의 목적 외 이용가능

        - (개선방안) 개인정보보호법에 따라  비식별화할 경우 동의 목적 외 이용이 가능하다고

           유권해석

            . 신용정보법(특별법)에 규정되지 않은 사항은 개인정보보호법이 적용

    3) 비식별화 지침 마련

        - (현황, 문제점) 개인정보를 비식별화하더라도 특정 절차를 거치면 다시 식별화가 가능

          한 경우가 발생할 수 있음

        - (개선방안) 협회 공동으로 네거티브 방식으로 금융권 비식별화 지침 마련,  시행

          (`15.9월)