보안 스타트업은 유니콘이 아니라 '바퀴벌레'?

'바퀴벌레 VS 유니콘, 사이버보안 스타트업들의 황금시대'

최근 미국 IT전문미디어 테크크런치가 뽑은 다소 도발적인 기고글의 제목이다.(관련링크) 이 글은 페이스북 등 SNS를 통해 1천557회 공유되면서 많은 이들의 공감을 이끌어냈다.

보안 스타트업이 바퀴벌레라고?

이러한 주장을 한 인물은 '마힌드라 람싱하니(https://twitter.com/mahendra_gr)'라는 벤처캐피털리스트다. 그는 '벤처캐피털 비즈니스(The Business of Venture Capital)'라는 책을 쓴 저자이기도 하다. 그는 테크크런치 외에도 포브스, 로이터, 허핑턴포스트, MIT 테크놀로지 리뷰 등에 스타트업 관련 글들을 기고해왔다. 나름 중량감이 있는 필자로 볼 수 있다.

마힌드라 람싱하니가 보안 스타트업은 유니콘이라기보다는 바퀴벌레라는 분석을 내놨다.

■보안 스타트업, 투자금 회수까지 시간 오래 걸린다

람싱하니의 주장을 요약하면 이렇다.

흔히 기업공개(IPO)를 하거나 대형회사에 인수되면서 엑시트(EXIT) 하거나 단기간에 빠르게 벤처캐피털(VC) 자금을 끌어모아 수익을 내는 스타트업들을 말하는 '유니콘'과 보안 스타트업은 거리가 있다는 것이다.

시장조사업체 가트너에 따르면 전 세계 사이버보안 시장은 지난해 기준 769억달러 수준으로 2020년까지 1천700억달러 규모로 성장할 것으로 전망된다. 이 와중에 사이버보안 스타트업에 대한 VC들의 투자는 5년 간 연평균 40% 증가해 지난해에는 350억달러로 늘어났다. 그럼에도 불구하고 여전히 전체 투자 규모 대비 보안 스타트업에 대한 투자 규모는 7% 수준에 머무르고 있는 실정이다.

왜 일까? 상대적으로 투자 대비 높은 수익을 얻을 수 있지만 문제는 VC 입장에서 투자금을 회수하기까지 너무 오랜 시간이 걸린다는 점 때문이다. 당장 반짝이는 아이디어로 빠르게 성장한 스냅챗, 우버 등과 달리 보안 스타트업은 제대로 자산가치에 대해 평가를 받는 회사로 성장해 안착하기까지 7년 이상 시간이 걸린다는 평가다. 사이버 보안 분야 특성상 고객들의 자산을 안전하게 지켜야한다는 목적으로 개발된 기술들이 스냅챗이나 우버처럼 수많은 사용자들을 확보할 수 있는 유니콘이 되기는 힘들다는 현실을 반영한 논리다.

글로벌 보안회사로 성장한 2005년에 설립된 팔로알토네트웍스, 2004년 창업한 파이어아이는 각각 2012년, 2014년 나스닥에 상장했다. 회사를 차린 뒤 IPO에 성공하기까지 걸린 시간은 각각 7년, 10년 수준이다.

스냅챗이나 우버와 같은 테크 스타트업들과 달리 보안 스타트업은 상대적으로 그동안 VC들의 주목을 받지 못했었다.

올해, 내년께 상장을 계획 중인 스냅챗과 우버의 설립연도는 각각 2011년, 2009년이다. 예상대로라면 상장까지 5년~7년만이 걸리게 되는 셈이다.

■보안 수요 끊이지 않는 덕...끈질긴 생명력 가져

VC는 물론 나스닥에서도 주목 받으며, 그동안 무서운 속도로 성장했던 팔로알토네트웍스, 파이어아이가 보안 스타트업 생태계를 대표하는 사례로 보기는 어렵다. 람싱하니에 따르면 지난해 시스코에 6억3천500만달러에 인수된 오픈DNS의 경우 회계 상 수익률(ARR)로 따졌을 때 6천만달러 이상 수익을 올리게 되기까지 10년이 걸렸다. 시스코가 4억3천500만달러에 인수한 또 다른 보안 스타트업인 랜코프도 엑시트에 성공하기까지 걸린 시간은 14년이다.

때문에 람싱하니는 "보안 스타트업들은 유니콘이라기보다는 바퀴벌레에 가깝다"고 말했다. "그들은 쉽게 죽지 않으며 힘든 시간에 비용을 절감하며 컨설팅 모드로 전환해 마치 바퀴벌레가 긴 핵겨울을 견뎌낼 만큼이나 생명력이 강하다"는 주장이다. 바퀴벌레에 빚대기는 했지만 나름대로 보안 스타트업들의 특성을 비교적 정확히 파악했다는 평가가 나온다.

특정 국가를 대상으로 한 사이버테러와 함께 랜섬웨어와 같은 사기, 기밀유출 등을 노린 지능형 보안위협이 날로 증가하고 있는 만큼 보안에 대한 수요는 앞으로도 꾸준히 증가할 것으로 예상된다. 보안 스타트업들 입장에서 주력 솔루션이 시장에 안착하기까지는 오랜 시간이 걸리고, 실패 위험도 높지만 이러한 어려운 시기에도 기업들을 대상으로 한 보안컨설팅, 침투테스트, 보안관제 등을 통해 기본적인 수익을 낼 수 있다는 점에서 이런 표현을 쓴 것이다.

"생존에는 뛰어난 능력(survival edge)을 갖췄지만 VC들이 바라는 것처럼 빠른 성장(growth edge)을 기대하기는 어렵다"는 것이 람싱하니의 분석이다.

미국 실리콘밸리 VC들 사이에서는 3년 내 10억달러 시가총액을 달성할 수 있는 스타트업들을 유니콘이라고 부른다. 다른 스타트업들이 2009년~2013년 기준 5억달러 시가총액을 달성하는데 걸린 시간은 1.6년이었지만 보안 분야에서 이렇게 빠른 속도를 유지하기는 어렵다는 것이 그의 설명이다.

보안 스타트업들 입장에서 IoT, 클라우드, 빅데이터, 머신러닝 등 IT트렌드에 맞춰 이와 융합된 혹은 기존과 차별화된 기술을 개발할 필요가 있을 것으로 전망된다.

이어 그가 만난 실리콘밸리 VC 투자자들은 "보안이 쿨(cool)한 것은 맞지만 수익이 불규칙적으로 발생하고, 그마저도 평균 이하인 경우가 많았다"고 말한다. 앞으로도 주목받을 분야인 것은 분명하나 그만큼 빠르고, 안정적으로 수익을 내기 쉽지 않은 것도 사실이라는 설명이다.

■보안 스타트업 성공 조건 '차별화'

람싱하니는 보안 스타트업 대표가 대개 자사에서 개발한 핵심기술로 틈새시장을 뚫어내겠다는 것에만 의존하는 경향이 있다고 지적한다. VC들로부터 투자를 유치하기 위해서는 같은 시장에서 명확하고, 확실하게 '차별화(differentiators)' 하는 것이 핵심이라고 그는 주장한다. 모든 보안회사들이 비슷한 기술을 갖고 우리가 더 혁신적이라고 얘기한다고해서 통하는 시대는 지났다는 설명이다.

실제로 팔로알토에 위치한 VC 투자자 중 한 명은 1년 간 파이어아이를 넘어설 수 있는 '파이어아이 킬러'라고 주장하는 회사들을 만나는데 지쳤다며, 특정 분야(APT 대응을 위한 샌드박스)에 과열경쟁이 일어나는 경우가 많다고 지적했다.

때문에 람싱하니는 솔루션이나 서비스의 특징을 차별화하기 위해 기술에서 집중하는 분야나 특징을 채널이나 가격정책, 영업방식에서도 변화가 필요하다고 강조한다.

"보안은 투자한 대로 성과가 나오는 것이 아니라 리스크 관리 관점에서 접근이 필요한 만큼 더이상 해킹에 대한 공포를 조장해 제품을 파는 비즈니스는 똑똑한 CISO들에게는 통하지 않는다"는 것이다.

흔히 보안은 기술혁신 뒤에 따라오는 후발산업이기 때문에 비즈니스를 선도하기 힘들다고 말한다. 그러나 현재는 보안없이는 기술혁신도 이루기 힘든 시대다. 개발단계에서 보안취약점을 점검하는 시큐어코딩이나 사물인터넷(IoT) 활성화를 위해 보안을 어떻게 접근할 것인가가 중요해지고 있는 이유도 이 때문이다.

■바퀴벌레론에 대한 한국 기업들의 시선은?

이 같은 논의에 대해 국내 보안회사 대표들은 어떻게 봤을까.

올해 코스닥 상장을 앞두고 있는 지란지교시큐리티 윤두식 대표는 "국내서는 실리콘밸리와 달리 스타트업들 중에 유니콘이 나올 수 없는 환경"이라며 "보안 분야는 특히나 B2C가 아니라 B2B 분야라 실리콘밸리서 성공한 스타트업들처럼 절대적인 고객숫자를 확보하기 어렵다"고 밝혔다.

이어 그는 "국내서는 기존 보안회사들이 오랫동안 비즈니스를 해 온 고객들을 확보하고 있고, 잘 알지 못하는 회사 제품을 쓰지 않으려는 경향이 있어 새로운 보안 스타트업들이 살아남기는 힘들다"고 설명했다. "보안에 대한 아이디어만이 아니라 최근 트렌드가 되는 IT기술들과 보안을 융합하는 형태로 비즈니스를 해야할 것"이라는 조언이다.

미국에 현지법인을 세우며 글로벌 시장 진출에 나선 지니네트웍스 이동범 대표 역시 "국내에서는 미국처럼 유니콘이 나오기 쉬운 환경이 아니다"라며 "비슷한 (보안 기술에 대한) 캐치프레이즈를 가진 회사들이 많고, 보안 영역이라도 인증에서부터 네트워크까지 여러가지 분야가 있는 만큼 이들을 모두 아우르는 플랫폼을 가진 회사는 드문 실정"이라고 밝혔다.