“2020년 12월, 정보기술(IT) 모니터링 솔루션 1위 업체인 솔라윈즈(SolarWinds)는 자사 플랫폼 ‘오리온’이 해커의 침입 경로로 이용됐음을 발견하게 된다. 이 사건은 솔라윈즈 기업 자체에도 큰 타격을 입혔을 뿐 아니라 해당 제품을 이용 중이었던 무려 1만8000여 개 고객사의 천문학적인 피해로 이어졌다. 피해 고객사 중 특히 다수의 미국 정부기관 및 대형 통신사의 데이터가 집중 탈취 대상이 됐으며, 그 심각성과 함께 아직까지 ‘다양한 기법이 사용된 가장 복잡한 해킹 공격’으로 평가되고 있다.”
유례없던 소프트웨어 공급망 해킹 사건으로 기록된 솔라윈즈 사태로 인해 전 세계가 충격에 빠진 지 어느덧 3년이 지났다. 이를 계기로 사이버 공격에 대한 사람들의 경각심은 한층 고조됐지만, 이후에도 발전하는 기술 속도에 비례해 한층 진화된 사이버 공격 기법과 이를 이용한 사례는 더욱 빈번히 발생하고 있다. 2021년 5월 미 송유관 기업 콜로니얼 파이프라인 해킹 사건이나 2021년 12월 로그포셸(Log4shell) 제로데이 공격, 2021년부터 2년간 삼성을 비롯해 세계적인 기업들을 대상으로 감행된 해커 집단 ‘랩서스$(Lapsus$)’의 사이버 공격 등은 사이버 공간이 지닌 확장성이 동시에 얼마나 큰 취약성에 노출될 수 있는지 보여주는 주요 사례다. 2022년 2월 발발한 러시아·우크라이나 전쟁 전후로 벌어진 양국 간 치열한 사이버전 공방은 이를 지켜본 전 세계 국가들이 사이버 보안에 대한 심각성과 위기감을 느끼고 국가 안보 차원에서 관련 역량과 경쟁력을 정비 및 강화하는 계기가 된다. 가장 최근 들어 단연 눈길을 끄는 것은 다발적으로 발생하는 중국발 사이버 공격 전략, 전술이다. 중요 인프라 침투, 지적재산권(IP)과 기술 탈취, 여론 조작, 스파이 활동 등 다양한 목적을 가지고 시도되며, 미국 및 미국과 동맹 혹은 우호관계에 있는 국가들을 주된 타깃으로 민관 가릴 것 없이 전방위적인 사이버 공격이 자행되고 있는 것으로 추정된다.
특히 AI의 발달과 확산으로 인해 이를 사이버 공격에 활용할 가능성이 높아진 지금, 각국은 방어 전략 및 사이버 안보 역량을 강화하는 등 대응책을 고심 중이며, 그 어느 때보다 정부와 민간, 국가 간 유기적인 협력이 강조되고 있다. 더불어, 거버넌스 측면에서도 대통령 등 국가 최상위 지도부가 사이버 보안 최고책임자로서 관련한 정책적 의사결정을 직접 챙길 만큼 그 중요성은 더욱 강조되는 추세다. 기술 혁신 속에 커지는 사이버 보안의 중요성
최근 수년간 사이버 보안 이슈가 더욱 주목받고 있는 것은 여전히 진행 중인 기술 혁신과 궤를 같이한다. 인류문명의 발달이 새로운 질병을 낳고, 이에 맞서기 위해 백신 등 예방법의 개발로 이어졌던 것처럼 클라우드 인프라의 확대, 오픈소스 고유의 파급효과, AI 진화 및 확산 등은 사이버 문명을 한층 발전시키는 동시에 그로 인한 부작용으로 사이버 위협을 양산하고 사이버 보안 산업의 중요성을 지속적으로 각인시키는 배경이 된다.
2014년부터 본격화한 클라우드 인프라의 확산은 사이버 보안 산업의 중대한 변곡점이 됐다. 가상화 기술을 기반으로 다양한 사용자의 원격 접근을 허용하는 클라우드 기반 서비스는 그 특성상 방대하고도 복잡한 데이터가 집약된다는 점 때문에 접근 제어나 보안 체계에 더욱 공을 들일 수밖에 없다. 특히, 코로나19 사태는 원격근무 및 비대면 서비스로의 대전환과 함께 개인과 기업의 일상에 큰 변화를 가져왔다. 그리고 그 근간에 클라우드 컴퓨팅의 확산이 자리 잡게 되면서 데이터, 애플리케이션, 인프라 등에 대한 보안은 무엇보다 선제적으로 해결해야 할 주요 과제가 되고 있다. 소스코드의 무료 공개에 더해 자유로운 수정, 재배포가 가능한 오픈소스(OSS)는 다양한 참여를 유도하는 개방된 환경 제공 및 투명성 제고, 비용 절감, 빠른 개발과 업데이트 등 많은 장점을 토대로 스스로 ‘진화’한다는 것이 가장 큰 특징이다. 그러나 오픈소스가 지닌 고유의 파급력과 개방성 때문에 오히려 보안 측면에서는 사이버 공격에 매우 취약하다는 단점이 있다. 책임과 관리의 문제도 항상 따라다니는 숙제다. 이를 해결하기 위해 적절한 기준 수립과 보안 솔루션의 필요성에 대한 목소리가 끊이지 않는다.
2023년을 뜨겁게 달궜던, 챗GPT(ChatGPT)로 대변되는 생성형 AI 열풍은 사이버 보안 측면에서는 양날의 검이다. AI 기술이 우리 일상은 물론 사회 전 분야에 걸쳐 쉽게 적용 가능한 수단으로 빠르게 확산하며 AI 시대를 성큼 앞당기고 있다. 사이버 보안 분야도 예외는 아니다. 예방, 탐지, 예측, 분석, 정책 최적화 등에 AI가 활용될 수 있고 많은 혁신과 발전이 기대되기도 한다. 그러나 문제는 해커들 또한 AI를 악용한다는 데 있다. AI는 뉴스, 데이터, 이미지에 대한 조작 도구로 사용돼 가짜 뉴스, 가짜 콘텐츠, 딥페이크 등을 통해 적지 않은 사회 혼란을 야기할 수 있다. 무엇보다 올해 전 세계적으로 중요한 선거를 다수 앞두고 있다는 점에서 이 같은 우려가 현실화될 가능성을 배제할 수 없다.
디지털 기술 발전이 가져온 사이버 문명의 진화는 한편으론 더욱 정교하고 다양해진 사이버 공격 기법으로 무장한 해커들이 예전보다 훨씬 더 넓어진 운동장에서 활개칠 수 있다는 것을 의미한다. 한 조사 자료에 따르면 2024년 연간 전 세계 사이버 범죄 피해 규모는 9조2000억 달러(약 1경2000조 원)에 이를 것으로 예상된다. 이는 미국과 중국에 이은 세계 3위 경제 규모에 비견할 만하며, 시간이 갈수록 그 규모는 점차 커질 전망이다.
사이버 범죄의 증가와 그로 인해 늘어나는 피해 규모 그리고 끊임없이 맞닥뜨리게 되는 사이버 보안 위협에 대응하기 위한 기업과 정부의 노력과 고민은 계속되고 있다. 주요 기업 최고정보책임자(CIO) 혹은 최고기술책임자(CTO)를 대상으로 실시한 다수의 설문조사에서 해결해야 할 가장 시급한 최우선 과제 중 하나로 사이버 보안이 빠지지 않는다. 올해 사이버 보안 강화를 위한 기업들의 투자 지출 규모는 2150억 달러(약 280조 원)에 달할 것으로 추정된다. 이는 2023년 대비 14.3% 증가한 수치(가트너·2023년 9월 기준)다.
과거에는 보안이 이미 알려진 위협을 감지하는 데 중점을 두었다면 이제는 알려지지 않은 위협을 사전에 방지하는 ‘예방형 보안’이 더 중시되고 있다. 이를 효과적으로 달성하기 위해서는 필연적으로 고도화된 보안 기술과 솔루션 투자가 선행돼야 한다. 범위와 규모 면에서 기업과 정부의 투자 지출이 날이 갈수록 커질 수밖에 없는 이유다.
일례로, ‘신뢰하지 않고 검증한다(never trust, always verify)’는 원칙을 바탕으로 한 ‘제로 트러스트(Zero Trust)’가 차세대 사이버 보안의 패러다임으로 자리매김하면서 이를 구현하기 위한 연구·개(R&D) 및 시스템과 솔루션 구축에 많은 리소스가 투입되고 있다. 접근 단계별로 한층 강화된 다중 인증을 전제로 하는 제로 트러스트의 특성상 고도화된 인증 및 암호화 기술, 응용 프로그램 인터페이스(API) 보안, 관제 시스템 등 강화된 보안 체계가 무엇보다 필수적이다. 이는 곧 기존의 경계 보안 모델 대비, 도입과 관리, 유지보수에 적지 않은 유무형의 비용을 수반하게 된다는 의미이기도 하다.
이처럼 디지털 기술 문명의 발달과 함께 점차 커지는 사이버 보안 위협과 늘어나는 보안 수요에 비례해 사이버 산업의 구조적인 성장세는 계속될 전망이다. 지금도 사이버 보안 산업의 확대는 급속도로 진행 중이며 거스를 수 없는 대세가 되고 있다. 2022년 2200억 달러(약 290조 원)로 추정되는 글로벌 사이버 보안 산업 규모는 2030년에는 3배 가까이 성장한 6600억 달러(약 860조 원) 수준이 될 전망이다. 연평균 성장률 기준 무려 14.5%에 이르는 수치다.
사이버 보안에서 다시 찾는 투자 기회
최근 수년간 사이버 보안에 대한 경각심이 전 세계적으로 고조된 가운데, 이에 대비하기 위한 기업들의 투자 지출 증가는 곧 그로부터 수혜가 예상되는 산업과 주식에 대한 투자자들의 관심으로 이어졌다. 사이버 보안 시장 규모의 확대가 더 이상 거스를 수 없는 대세인 만큼 사이버 보안 산업에 대한 장기 투자 전망은 여전히 밝다고 할 수 있다. 실제로 2020년 발발한 코로나19 팬데믹 이후 한층 빠른 속도로 일상이 돼 버린 디지털 대전환은 사이버 보안의 수요 증가에 불을 지폈고 이러한 비즈니스의 성장 전망에 힘입어 관련 기업들의 주가는 폭발적인 상승세를 기록하기도 했다.
그러나 많은 혁신 기업들이 그러했듯 사이버 보안 관련주도 미 연방준비제도(Fed)발 고강도 긴축의 칼날을 피하지는 못했다. 2022년 들어 글로벌 공급망 붕괴로 인한 물가 급등 그리고 이를 억제하기 위한 각국 중앙은행들의 경쟁적인 금리 인상 행보는 특히 기술 성장주의 주가에 강한 하락 압력으로 작용했다. 유동성의 시대가 저물고 긴축의 시대가 도래하면서 대부분 기술 섹터의 하위 부문으로 분류되는 사이버 보안 기업들 또한 미래 성장에 대한 과도한 할인이 야기한 주가 조정을 경험해야 했다.
다만, 어려운 매크로 환경과 이후 이어진 주가 부진에도 불구하고 해당 기간 주요 기업들의 실적은 꾸준히 개선되고 있다는 점에 주목할 필요가 있다. 사이버 보안이 단순히 비용 지출이 아닌 사업 운영에 핵심적인 역할을 한다는 인식이 점차 확산된 것이 우호적으로 작용한 탓이 컸다. 빅테크 기업들을 중심으로 점점 방대해지는 데이터 볼륨에 대한 보호가 무엇보다 절실해진다는 점을 고려하면, 이와 관련한 니즈와 투자가 급증함에 따라 사이버 보안 솔루션을 제공하는 기업들의 매출과 기업 이익의 성장세는 가속화될 전망이다.
이처럼 주가가 조정받는 가운데서도 기업 이익이 증가하면서, 사이버 보안 기업들의 밸류에이션 매력은 오히려 높아졌다. 2023년 말 기준 대표적인 사이버 보안 지수인 나스닥 CTA 사이버시큐리티 인덱스(Cybersecurity Index)의 선행 주가수익비율(PE)은 24배 수준으로 기술주 중심의 나스닥 지수의 30배 수준에 비해 밸류에이션 부담은 작은 편이다. 이에 더해 지난해 11월 이후 금리 인상 사이클 종료 기대감이 위험자산 가격의 반등을 이끌기 시작하면서, 사이버 보안 관련 기업들의 주가도 회복세를 보이고 있다. 향후 금리 인하 기대감이 점차 무르익는다면 주가는 더욱 상승 탄력을 받을 것으로 예상된다.
현재 사이버 보안 시장은 세그먼트가 세분화돼 있다는 특징이 있다. 네트워크 보안 솔루션 제공업체로 팔로 알토 네트웍스(Palo Alto Networks·PANW US)와 포티넷(Fortinet·FTNT US), 엔드포인트 보안 분야의 크라우드스트라이크(Crowdstrike·CRWD US), 클라우드 보안 솔루션을 전문으로 하는 지스케일러(Zscaler·ZS US) 등이 대표적인 사이버 보안 기업으로 주목받고 있지만, 모든 분야에서 절대적인 우위를 점한 기업은 아직 없는 상황이다. 기술 자체가 복잡하고 분야별로 특화돼 있기 때문에 투자 관점에서 개별 기업의 고유 위험으로 인해 높은 변동성에 노출될 수 있다는 점은 항상 유의할 필요가 있다.
주목할 만한 사이버 보안 ETF는
전문적이고 고도화된 사이버 보안 산업의 특성상 일반 투자자가 개별종목 투자로 접근하기는 쉽지 않다. 그렇기 때문에 해당 산업에 투자하는 ETF는 좋은 대안이 될 수 있다. 현재 다양한 사이버 보안 ETF가 국내외 증시에 상장돼 거래되고 있다. 여기서는 사이버 보안 관련 산업에 투자해 상대적으로 접근성이 높고 운용 규모와 유동성이 어느 정도 확보된 주요 미국 상장 ETF 4종과 국내 상장 ETF 1종을 소개하기로 한다.
퍼스트 트러스트 나스닥 사이버시큐리티 ETF (First Trust NASDAQ Cybersecurity ETF·CIBR US)는 미국소비자기술협회(CTA)에서 분류한 사이버 보안 기업에 투자하는 ETF로서 운용 규모가 가장 크다. 주로 소프트웨어 및 네트워크 기업에 투자하지만 우주항공 및 방위 관련 기업에도 투자하며 소형 기술주 위주의 동종 ETF와 차별화된다는 특징이 있다. 포트폴리오 구성은 유동성이 가장 높은 5개의 주식 비중을 각각 6%로, 나머지 비중은 3%로 제한한다. 벤치마크인 나스닥 CTA 사이버시큐리티 인덱스는 분기별로 리밸런싱된다.
ETFMG 프라임 사이버 시큐리티 ETF(ETFMG Prime Cyber Security ETF·HACK US)는 최초의 사이버 보안 테마 ETF다. 주요 사이버 보안 관련 하드웨어(HW)·소프트웨어(SW) 개발 및 서비스 제공 업체에 투자한다. 상대적으로 IT 섹터에 집중하며 소형주 편입 비중이 높고 심지어 일반 펀드에는 편입하지 않는 시가총액이 작은 종목들도 편입해 종목수가 50여 개로 가장 많다. 프라임 사이버 디펜스 인덱스(Prime Cyber Defense Index)를 추종하며 이 지수는 분기별로 리밸런싱된다.
글로벌 X 사이버시큐리티 ETF(Global X Cybersecurity ETF·BUG US)는 후발 주자로 시스템, 네트워크, 앱, 컴퓨터, 모바일 기기에 대한 침입 및 공격을 방지하는 보안 프로토콜을 개발·관리하는 기업들에 투자한다. 사이버 보안 활동에서 수익의 50% 이상이 창출되는 기업들만 편입하는 것이 특징이다. 벤치마크인 Indxx 사이버시큐리티 인덱스는 반기별로 리밸런싱 및 가중치가 조정된다.
아이셰어즈 사이버시큐리티 & 테크 ETF(iShares Cybersecurity & Tech ETF·IHAK US)는 사이버 보안 HW·SW 및 제품, 서비스 등 사이버 보안 및 기술 관련 기업에 투자하는 글로벌 운용사 블랙록의 ETF다. 사이버 보안 분야에서 매출이 50% 이상인 기업을 선별해 구성한다. 벤치마크인 뉴욕증권거래소 팩트세트 글로벌 사이버 시큐리티 인덱스(NYSE FactSet Global Cyber Security Index)는 시가총액 가중 방식으로 종목 교체는 매년, 리밸런싱은 반기별로 진행한다. 종목별 최대 비중은 최대 4%로 제한한다.
타이거(TIGER) 글로벌 사이버 보안 INDXX (418670 KS)는 국내 증시에 상장된 유일한 사이버 보안 테마 ETF다. 원화로 투자 가능하며 한국판 BUG라 불리기도 한다. 글로벌 X 사이버시큐리티 ETF와 마찬가지로 Indxx 사이버시큐리티 인덱스(원화 환산)를 추종한다. 포트폴리오 내 약 25% 비중으로 글로벌 X 사이버시큐리티 ETF를 편입하며, 별도의 환헤지를 수행하지는 않는다.
글 안용섭 KB증권 WM투자전략부 수석연구위원
© 매거진한경, 무단전재 및 재배포 금지