‘대박’을 안겨줄 사이버보안 주식

이 기사는 포춘코리아 2017년도 11월호에 실린 기사입니다.

세간의 이목을 끈 해킹 사건들로 인해 글로벌 기업들이 사이버보안 예산 증액에 힘쓰고 있다. 어떤 보안 기업들이 이 기회의 최대 수혜자가 될까?





다코타 엑세스 송유관(Dakota Access Pipeline) *역주: 텍사스 주에 기반을 둔 에너지 트랜스퍼 파트너스의 자회사 다코타 엑세스가 추진하고 있는 4개주를 관통하는 대형 송유관 건설 프로젝트 사업을 반대하는 한 해커 단체가 주요 미국 항공사의 컴퓨터 네트워크를 해킹했다. 이 단체는 경영진에게 2시간 안에 100만 달러를 내놓으라고 요구했다. 그러는 동안 석유 유출이 주변 야생동물에 미치는 영향을 생생하게 보여주는 슬라이드 쇼가 3개의 거점 공항 전역에서 항공사 TV로 방영됐다. 언론 매체가 이 사건을 다시 보도해, 수 백만 명의 시청자들이 이번 사태를 실시간으로 지켜봤다.

혼란스러운 사건이었다. 하지만 다행스럽게도 그것은 가짜 뉴스였다.

이 항공사 해킹 시나리오는 컨설팅 업체 딜로이트 Deloitte의 보안 서비스 책임자 에밀리 모스버그 Emily Mossburg가 사용하는 대본에 나오는 사례이다. 그는 이 매뉴얼을 사이버공격에 대한 고객사들의 가상 대응 훈련을 위해 사용하고 있다. 6시간의 연습 동안, 고위 경영진을 포함한 고객사 사이버보안 팀은 마치 그 해킹이 실제인 것처럼 대응했다. 그리고 온라인 침입에 대처하는 그들의 전략을 수정했다. 모스버그는 해킹을 당한 기업이 얼마나 많은 정보를 고객들과 공유하는지, 얼마나 신속하게 당국에게 알리는지, 그리고 사전 대책을 얼마나 잘 세우는지 등을 연구하고 있다.

무엇보다 이 전체 연습은 재정적 피해를 막기 위한 노력이라 할 수 있다. 사이버공격은 슬프지만 우리의 현실이 되고 있다. 그런 공격은 오랫동안 금전적 영향을 끼칠 수도 있다. 특히 기업 주가가 그렇다. 사이버범죄로 인해 글로벌 기업은 연간 4,500억~6,000억 달러의 손해를 보고 있다. 그리고 최근 사건들은 친숙한 패턴을 보이고 있다: 해커들이 공격하면, 피해 기업의 주가는 떨어진다. 지난 5~6월 워너크라이 WannaCry와 비슷한 랜섬웨어 프로그램들이 전세계 기업 서버를 공격해 수십 만대의 컴퓨터를 감염시켰다. 최대 희생자들 중에는 식료품 회사 몬델리즈 Mondelez와 글로벌 제약회사 머크 Merck가 포함됐다. 8월 중순까지 이 두 기업은 이전 주가를 회복하지 못했다.

투자자들을 더욱 불안하게 하는 요소는 또 있다. 연구에 따르면, 해킹이 주가에 미치는 장기적 영향은 즉각적인 피해보다 훨씬 더 클 수 있다. 소비자 사용후기 사이트 컴패리테크 Comparitech가 24개 피해 기업들을 대상으로 실시한 연구에 따르면, 해킹을 당한 기업 주가는 공격이 공개된 날 평균 0.43% 하락했다. 하지만 공격을 받고 3년 후, 해당 기업들의 주가는 나스닥보다 평균 40% 포인트 더 떨어졌다.

물론 해킹 외에 또 다른 요소들도 주가 하락에 영향을 미쳤을 것이다. 일부 회사들은 피해가 거의 없었다며 해킹 사건을 가볍게 여기기도 했다. 하지만 해킹 대처 비용은 수 년 동안 해당 기업의 실적에 부담을 줄 수 있다. 컨설팅 업체 KPMG는 소매업체 타깃 Target에서 4,000만 건의 고객 신용카드 계좌 정보를 훔친 2013년 해킹 사건의 영향을 분석한 바 있다. KPMG는 타깃의 사이버보안 팀의 대응, 고객 신용 모니터링을 위한 재정 지원, 그리고 콜센터 직원 보강 등에 6,000만 달러의 비용이 들어갔다고 추정했다. 그 결과 ‘점진적으로 악영향을 미치는(Slow Burn)’ 비용이 훨씬 더 큰 것으로 입증됐다. 거의 2억 달러에 달하는 돈이 시스템 개선과 법정 합의, 회사 명성의 훼손 같은 심각하지만 눈에 잘 보이지 않는 ‘비유동자산’에 쓰였다. 타깃은 또 다른 당면 문제들이 있었지만, 해킹에 따른 지출은 분명 도움이 되지 못했다. 해킹 3년 후 타깃 주가는 24% 회복했지만, 나스닥과 S&P 500에는 모두 미치지 못했다.


KPMG 이사 매튜 마틴데일 Matthew Martindale은 “공격 받은 사실이 공개되고 해킹이 더욱 눈에 띄게 알려지면서, 장기적인 비용이 더 증가했다”고 지적했다. 유럽에서 활동하는 기업들에게 2018년 5월 효력이 발생될 새 규칙들은 상황을 더욱 악화시킬 수 있다. 유럽연합의 개인정보보호 규정(General Data Protection Regulation, GDPR)-영국도 채택할 계획이다-은 기업들이 해킹사건을 72시간 내에 보고하는데 ’선의의 노력‘을 다하도록 요구하고 있다. 보험회사 토키오 마린 킬른 Tokio Marine Kiln의 기업 리스크 총괄 라일라 쿠다이리 Laila Khudairi는 “이 규정이 해킹으로 고생하는 기업들의 주가에 더 큰 부담을 줄 수 있다. 많은 기업들이 해킹을 퇴치하기 전에 해킹돤 사실을 대중에게 알려야 하기 때문”이라고 설명했다(공개하지 않는 기업은 글로벌 매출의 2%까지 벌금을 내야 한다). 유럽에서 사업을 펼치는 미국 기업들은 서둘러 그 규정에 적응하려 노력하고 있다. 컨설팅 회사 PwC에 따르면, 68%의 기업들은 시스템 개선에 100만~1,000만 달러, 9%는 1,000만 달러 이상 투입하는 것을 계획하고 있다.

물론 이 같은 ‘격변’의 최대 수혜자는 사이버보안 기업들이다. 시장조사업체 가트너 Gartner에 따르면, 이 분야에 대한 투자는 올해 약 860억 달러에서 2020년 1,080억 달러로 급증할 것으로 예상된다. 사이버보안의 중요성이 커짐에 따라, 수십 개의 기업들이 이 경쟁에 뛰어들었다. 특정 분야에 특화된 스타트업부터 IT 대기업, 그리고 딜로이트 같은 다각화된 컨설팅 회사 등이 거기에 포함되어 있다.

사이버보안 산업을 주도하는 기업들 가운데, 최근 시장에 참여한 팰로 앨토 네트웍스 Palo Alto Networks(PANW, 8월 10일 기준 주가 128달러)는 방어벽으로 자신의 이름을 세상에 알렸다. 이 방어벽은 회사 시스템 내부와 주변 데이터의 흐름을 통제한다. 고객 보안팀은 이 보안벽을 통해 어떤 응용 프로그램이 연결되는지를 통제하고, 다른 기기들로부터 유입되는 트래픽을 규제할 수 있다. 바클레이즈의 애널리스트 사켓 칼리아 Saket Kalia는 “이 회사는 네트워크 보안 부문에서 창조적 파괴자로 자리매김했다”고 평가했다. 실적이 이를 입증하고 있다: 이 회사 매출은 2013~2016년 248% 늘어나 14억 달러를 기록했다.

그러나 주가 변동성이 매우 컸다. 현 주가는 2015년 여름 최고점 대비 34%나 하락한 상태다. 회사가 애널리스트들의 2분기 매출 성장 예상치를 충족하지 못해 지난 2월 주가 침체에 속도가 붙었다. 실적 부진의 여러 이유 중 하나는 팰로 앨토가 자사 제품에 대해 정기적으로 돈을 받는 ‘구독 모델(Subscription Model)’로 전환하고 있기 때문이다. 이전에 회사는 주로 일정 비용을 받고 소프트웨어 사용을 허가하는 라이선스 계약을 체결했는데, 그 때는 일회성 매출만 발생했다. 하지만 구독 모델의 경우, 고객들은 보안 플랫폼을 유지하기 위해 사용료를 (정기적으로) 지불하고, 필요한 제품을 선택하면 된다. 팰로 앨토는 이 과정을 통해 고객들과 더욱 밀접한 관계를 형성해 지속적인 수익을 낼 수 있기를 희망하고 있다. 회사의 구독 및 서비스 매출 비중은 2014년 44%에서 현재 66%로 상승해있다. 오펜하이머 Oppenheimer의 애널리스트 샤울 에얄 Shaul Eyal은 “최근의 주가 하락은 투자자들에게 회사 주식을 더욱 싼 가격에 매수할 수 있는 기회를 제공했다”고 분석했다.

나스닥에 상장된 이스라엘 기업 체크 포인트 소프트웨어 테크놀로지스 Check Point Software Technologies(CHKP, 주가 105달러)는 업계 선두주자로, 팰로 앨토의 전신 *역주: 체크 포인트 출신이 팰로 앨토를 설립했다 회사라고 할 수 있다. 이 업체도 방어벽 기술로 성공을 거뒀다. 모건 스탠리의 애널리스트 키스 와이스 Keith Weiss는 “이 회사는 전형적인 ‘혁신가 딜레마’를 겪고 있다”고 지적했다. 성장세가 꺾이면서 차세대 기술 도입이 필요해졌지만, 회사는 너무 빠르게 이를 추진하는 걸 원치 않고 있다. 기존 고객을 잃지 않기 위해서다. 윌리엄 블레어 William Blair의 애널리스트 조너선 호 Jonathan Ho는 “그럼에도 체크 포인트는 ‘이탈하지 않는’ 광범위한 충성고객들을 보유하고 있다”고 말했다. 이 회사는 지난 4월 더 많은 저장 자료를 클라우드로 옮기는 기업들을 위해 ‘인피니티 Infinity‘’라는 기업용 보안 플랫폼을 출시했다. 그 결과 상승하는 주식시장과 보조를 맞추고 있다. 현재 선행 주가수익비율(PER)은 20.4. 호는 인피티니가 탄력을 받으면, 주가가 더 높은 밸류에이션을 인정 받을 것이라 믿고 있다.

사이버보안 분야에서 시스코 시스템즈 Cisco Systems(CSCO, 주가 31달러)의 부활은 새로운 경쟁을 낳고 있다. 니덤 앤드 컴퍼니 Needham & Co.의 알렉스 핸더슨 Alex Henderson에 따르면, 시스코는 오랫동안 보안사업을 ‘후순위’로 간주해왔다. 회사가 주로 하드웨어에 집중하자, 사이버보안 기업 애널리스트들은 지난 10년 동안 시스코에 관심을 보이지 않았다. 하지만 이 회사는 현재 자신의 기업 규모와 방대한 자료를 활용할 수 있는 제품을 마케팅하고 있다: 가장 최근 출시한 보안 소프트웨어는 해킹 위협을 막는데 가장 예측능력이 높다는 점을 내세우고 있다. 일례로, 트래픽 패턴을 인지함으로써 시도된 해킹을 포착할 수 있다.

시스코는 지난 1년 동안 구조조정을 통해 6,600명의 직원을 해고했다. 일부 보안 사업에 더욱 집중하기 위해서 였다. 그리고 지난 6월에는 애플과의 파트너십을 발표하기도 했다. 그 내용은 기업 사이버보안 팀들이 iOS 기기에 대해 더 큰 통제권을 갖도록 하는 툴을 만드는 것이었다. 한편으로 시스코의 글로벌 납품업체와 고객 층은 유럽의 개인정보보호 규정 강화 덕분에 발생하는 지출 증가로부터 회사가 큰 혜택을 입는 데 도움을 주고 있다.

시스코의 전면적인 사업 전환은 분명 일부 난관에 봉착해있다. 지난주 회사는 7분기 연속 매출 하락을 발표했다. 사이버보안은 여전히 전체 매출 490억 달러 중 극히 일부분인 4%만 차지하고 있다. 하지만 가장 빠르게 성장하는 사업 부문이다. PER 16에 거래되는 시스코는 여전히 사이버보안 부문에서 저평가된 매력적인 주식 중 하나이다.


■ 보안 예산의 사용처
하드웨어와 소프트웨어는 사이버보안에서도 중요하다. 하지만 대부분의 예산이 컨설팅과 아웃소싱 같은 서비스 분야로 흘러가고 있다.






서울경제 포춘코리아 편집부 / By Ryan Derousseau


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>