CYBR 사이버아크 주가 전망 2026 — 아이덴티티 보안 시장의 리더

Daylongs · 2026년 6월 4일 · 14분 소요

보안 사고가 날 때마다 조용히 수혜를 받는 회사가 있습니다. 사이버아크(CyberArk, CYBR)입니다. 랜섬웨어, 내부자 위협, 클라우드 접근권 탈취 — 이 모든 사건의 공통점은 ‘누군가 접근해선 안 될 곳에 접근했다’는 것입니다. 그 접근을 막는 게 사이버아크의 일입니다.

이스라엘에서 탄생한 이 회사는 PAM(특권 접근 관리)이라는 다소 좁아 보이는 영역에서 출발해 이제는 아이덴티티 보안 전체를 장악하겠다는 야심을 품고 있습니다.

사이버아크가 하는 일 — PAM부터 아이덴티티 보안까지

PAM이 왜 중요한가

기업 해킹 사고의 상당 비율은 외부에서 방화벽을 뚫는 게 아닙니다. 이미 내부 시스템에 접근 권한이 있는 계정을 탈취하거나, 내부자가 악용하는 방식입니다.

특권 계정(Privileged Account)이란:

데이터베이스 관리자 계정
클라우드 루트 계정
네트워크 장비 관리 계정
IT 시스템 서비스 계정

이런 계정 하나를 탈취하면 공격자는 사실상 회사 시스템 전체를 장악할 수 있습니다. 사이버아크는 이 계정들이 언제 어디서 무엇을 했는지 추적하고 통제합니다.

아이덴티티 보안으로의 확장

사이버아크는 PAM을 넘어 아이덴티티 보안(Identity Security) 플랫폼으로 진화하고 있습니다:

일반 직원 SSO(Single Sign-On) — Workforce Identity
외부 파트너·공급업체 접근 관리 — Vendor PAM
개발자 비밀 관리 — Secrets Manager
비인간 아이덴티티(Non-Human Identity) — 서비스 계정, API 키, 자동화 봇 관리

마지막 항목이 특히 중요합니다. AI 에이전트와 자동화 소프트웨어가 늘어날수록 사람이 아닌 시스템 간 접근 권한이 폭발적으로 증가합니다. 이 영역은 기존 PAM 업체들이 제대로 커버하지 못하던 곳으로, 사이버아크가 선점하려는 새 성장 영역입니다.

SaaS 전환 — 왜 이게 밸류에이션을 바꾸는가

수익 모델	특징	투자자 관점
온프레미스 라이선스	1회성 대형 계약, 예측 불가	낮은 밸류에이션
구독 SaaS	ARR 누적, 고갱신률	높은 밸류에이션

사이버아크는 오랫동안 온프레미스 소프트웨어 라이선스 판매 위주였습니다. 이 방식은 대기업 고객과 대형 계약을 맺지만 매 분기 새 계약을 따내야 합니다. 예측 가능성이 낮아 시장에서 낮은 PSR(Price-to-Sales)을 받았습니다.

SaaS 전환이 진행되면:

ARR(Annual Recurring Revenue, 연간 반복 매출) 이 쌓입니다
NRR(Net Revenue Retention, 순 매출 유지율) 이 높으면 기존 고객이 알아서 더 씁니다
매출 예측 가능성이 높아져 PSR 프리미엄이 정당화됩니다

단기적으로는 전환 과정에서 일회성 라이선스 수익이 줄어 보일 수 있습니다. 장기적으로는 훨씬 안정적인 수익 기반이 만들어집니다. 이걸 이해하면 전환 초기의 매출 둔화처럼 보이는 시기가 매수 기회일 수 있다는 논리가 나옵니다.

강세 시나리오 — 사이버아크가 이길 수 있는 이유

① 규제 환경이 PAM을 필수화

미국 금융 감독기관(SEC, FFIEC), 유럽 DORA, 각국 정부의 사이버보안 가이드라인이 특권 접근 관리를 사실상 필수 요건으로 강화하고 있습니다. 규제가 수요를 만드는 구조입니다.

② 비인간 아이덴티티 폭발

AI 에이전트, 클라우드 자동화, DevOps 파이프라인이 늘어날수록 ‘관리해야 할 비인간 계정’이 기하급수적으로 늘어납니다. 이 시장은 아직 형성 초기 단계입니다.

③ 고객 확장(Seat Expansion)

사이버아크는 한 기업에 한 번 들어가면 점차 더 많은 부서, 더 많은 클라우드 환경으로 확장됩니다. 고객당 ARR이 늘어나는 구조입니다.

④ M&A 능력

과거 Idaptive(Zero Trust), Conjur(DevSecOps), Venafi(머신 아이덴티티) 인수로 제품 포트폴리오를 빠르게 확장했습니다. 재무 여력이 있는 한 인수를 통한 성장 가속도 가능합니다.

약세 시나리오 — 리스크 매트릭스

리스크	발생 경로	영향도
Microsoft Entra 무료 번들 확대	M365 구독에 PAM 기능 포함	높음
Okta 아이덴티티 확장	Okta가 PAM 영역 침범	중간
경기 침체 시 보안 예산 삭감	IT 투자 전반 축소	중간
SaaS 전환 지연	대형 온프레미스 고객 저항	낮음~중간
경쟁 신규 진입	AWS·Google Cloud의 네이티브 IAM 강화	낮음

가장 현실적인 위협은 Microsoft입니다. Entra ID(구 Azure AD)를 통해 Microsoft는 이미 수천만 기업의 아이덴티티 인프라를 운영합니다. Entra Permissions Management, Entra Privileged Identity Management 같은 기능이 M365 구독에 묶여 ‘공짜처럼’ 제공되면, SMB 시장에서 사이버아크는 경쟁하기 어렵습니다.

단, 사이버아크의 반론은 명확합니다: “Microsoft 제품은 보안 깊이가 다르다. 금융·정부·의료 같은 고보안 환경에선 전용 PAM이 필요하다.” 실제로 사이버아크의 대형 고객 이탈률이 낮은 이유가 이것입니다.

경쟁사 비교 — 아이덴티티 보안 지형도

회사	핵심 영역	강점	CYBR과의 겹침
Okta (OKTO)	일반 직원 IAM	클라우드 네이티브, 사용 편의	아이덴티티 확장 시 경쟁
Microsoft Entra	통합 아이덴티티	번들 배포력	PAM 기능 포함
SailPoint	IGA(거버넌스·감사)	규정 준수	아이덴티티 거버넌스
Delinea	PAM 중견	가격 경쟁력	직접 경쟁
BeyondTrust	PAM 대안	통합 솔루션	직접 경쟁

사이버아크는 이 경쟁 지형에서 보안 깊이와 엔터프라이즈 신뢰도 측면에서 차별화됩니다. Gartner Magic Quadrant에서 PAM 부문 리더 위치를 오랫동안 유지하고 있는 것이 고객 신뢰의 외부 지표입니다.

한국 투자자 관점: 세금·사이버보안 ETF

세금

CYBR은 배당 없는 성장주입니다. 배당소득세 15% 원천징수 이슈 없음.
매도 시 양도차익: 해외주식 양도소득세, 연 250만 원 공제 후 초과분 22%(지방세 포함).
미국 상장이지만 이스라엘 본사 기업. 세금 처리는 미국 상장 주식 기준으로 동일.

사이버보안 ETF 대안

사이버아크 단일 종목이 부담스럽다면 다음 ETF로 분산 접근이 가능합니다:

BUG (Global X Cybersecurity ETF)
CIBR (First Trust NASDAQ Cybersecurity ETF)
HACK (ETFMG Prime Cyber Security ETF)

이 ETF들에는 CYBR 외에 Palo Alto Networks, Fortinet, Okta 등이 함께 편입돼 있어 사이버보안 섹터 전반에 베팅하는 효과가 있습니다.

포트폴리오 포지셔닝

사이버보안은 경기에 상대적으로 덜 민감한 섹터입니다. 경기 침체 시에도 기업들은 보안 예산을 마지막에 깎습니다. 그래서 성장주 포트폴리오에서 ‘방어적 성장주’로 분류되기도 합니다.

DECK 데커스 아웃도어 주가 전망 2026 → — 소비재 성장주와의 포트폴리오 비교 참고

다음 실적 발표 체크리스트

분기 실적 발표 시 확인할 7가지 지표:

ARR 성장률 — 전년 동기 대비 몇 % 성장했는지
NRR(순 매출 유지율) — 100% 이상이면 기존 고객이 추가 구매 중
SaaS ARR 비중 — 전체 ARR에서 SaaS가 차지하는 비율 증가 추이
신규 고객 수 — 특히 Fortune 500 신규 고입 여부
영업이익률(Operating Margin) — SaaS 전환 완료 후 레버리지 나타나는지
가이던스 — 다음 분기 ARR 성장률 전망 상향/하향
비인간 아이덴티티(Machine Identity) ARR 기여 — 새 성장 동력 검증

실제 수치는 사이버아크 공식 IR 페이지에서 확인하시기 바랍니다.

결론: 사이버아크를 어떻게 볼 것인가

사이버아크는 사이버보안 중에서도 가장 방어적이고 비선택적인 영역에 자리 잡고 있습니다. 규제가 PAM을 필수화하고, AI 확산이 비인간 아이덴티티 관리 수요를 키우고, SaaS 전환이 ARR을 쌓아가는 구조입니다.

약점도 분명합니다. 고밸류에이션, Microsoft의 번들 공세, Okta와의 영역 충돌. 하지만 금융·정부·의료 부문의 대형 고객들은 ‘충분히 좋은 솔루션’이 아니라 ‘가장 신뢰받는 솔루션’을 선택합니다. 그 포지션을 사이버아크가 오랫동안 유지하고 있다는 게 핵심 모트(moat)입니다.

CYBR은 “AI 시대에 아이덴티티가 새로운 경계선(perimeter)이다”라는 명제를 믿는 투자자에게 논리적인 선택지입니다.

사이버아크의 채널 전략 — 직접 판매와 파트너 생태계

사이버아크는 두 가지 판매 경로를 운영합니다. 이 구조를 이해하면 NRR과 고객 확장 패턴이 어떻게 만들어지는지 보입니다.

직접 영업 (Enterprise Direct)

CISO, 최고정보책임자(CIO), 보안 담당 임원을 대상으로 하는 대형 계약 직접 영업입니다. 수개월의 영업 사이클이 필요하지만 계약 규모가 크고 계정당 ARR이 높습니다. 금융·정부·의료 대형 고객이 이 경로를 통해 들어옵니다.

채널 파트너 (GSI·VAR·MSSP)

글로벌 시스템 통합업체(Accenture, Deloitte, IBM Security 등)와 부가가치 재판매업자를 통한 간접 판매입니다. 사이버아크가 직접 공략하기 어려운 중견 기업과 해외 시장을 커버합니다.

채널 파트너가 만드는 중요한 부수 효과가 있습니다. Deloitte 보안 팀이 특정 기업의 PAM 아키텍처 전체를 사이버아크로 구축했다면, 이후 그 기업이 다른 솔루션으로 갈아탈 때 Deloitte는 재훈련과 재인증 비용을 부담해야 합니다. 파트너 생태계가 사이버아크의 고객 유지율을 높이는 구조적 요소가 됩니다.

Zero Trust 아키텍처와 사이버아크의 관계

‘제로 트러스트’는 마케팅 용어처럼 남용되지만, 실제 기술 아키텍처 원칙으로서는 매우 구체적인 내용을 담고 있습니다.

전통적 네트워크 보안은 ‘방화벽 안쪽은 신뢰한다’는 전제 위에 세워졌습니다. 클라우드 전환과 원격근무 확산은 이 ‘내부 신뢰’ 모델을 완전히 무너뜨렸습니다.

Zero Trust의 핵심 원칙:

어떤 사용자도, 어떤 시스템도 기본적으로 신뢰하지 않는다
모든 접근 요청을 매번 검증한다
최소 권한 원칙 — 필요한 권한만, 필요한 시간만
모든 접근을 기록·모니터링한다

이 원칙들을 실제로 구현하면 PAM이 핵심 구현 요소가 됩니다. 특권 계정을 볼트(Vault)에 보관하고, 필요할 때만 임시 접근 권한을 부여하고, 세션 전체를 기록하는 것 — 이게 Zero Trust의 특권 접근 레이어입니다.

기업이 Zero Trust 프레임워크를 공식화할수록 사이버아크의 시장이 확장됩니다. 이건 트렌드 수혜가 아니라 기술적 정렬입니다.

규제 환경 — PAM 수요를 구조적으로 만드는 요소

사이버아크 수요의 상당 부분은 재량 지출이 아니라 규제 준수 의무에서 나옵니다.

미국 규제:

SEC 사이버보안 공시 규칙(2023년): 상장 기업은 중요한 사이버보안 사고를 4영업일 이내에 공시하고, 연간 보고서에 위험 관리 체계를 기술해야 합니다. CISO의 역할이 이사회 수준으로 격상됐고 PAM 체계 구축 압박이 높아졌습니다.
FFIEC: 금융 기관에 특권 접근 관리를 사이버보안 프로그램의 필수 요소로 명시합니다.

유럽 규제:

DORA(디지털 운영 복원력법): 2025년 1월부터 EU 금융 기관에 특권 계정 관리를 포함한 ICT 위험 관리 체계 구축을 의무화합니다.
NIS2 지침: 필수 서비스 제공자에 대한 접근 권한 관리 요건을 강화합니다.

한국 규제: 한국의 금융보안원(FSI) 가이드라인과 주요 정보통신기반시설 보호법도 특권 접근 관리를 핵심 통제 항목으로 포함하고 있습니다. 한국에서도 금융권·공공기관의 PAM 도입은 규제 압력을 받는 영역입니다.

이 규제 환경이 PAM 수요에 바닥을 만들어줍니다. CISO가 PAM 투자를 미루고 싶어도 외부 감사인이 문서화된 특권 접근 통제 증거를 요구하면 미룰 수 없습니다.

M&A 잠재력 — 투자 논리 아닌 옵셔널리티

사이버아크는 대형 플랫폼 기업의 인수 대상으로 자주 거론됩니다. Microsoft, Cisco, IBM이 사이버아크를 인수하면 즉시 PAM 시장 리더십을 획득합니다.

인수 매력 요소:

재건하기 어려운 카테고리 리더십 포지션
규제 산업 대형 고객의 높은 이탈 방지 구조
Venafi(머신 아이덴티티) 역량

인수를 복잡하게 만드는 요소:

이스라엘 본사 기업 특성 (Tel Aviv, Beer-Sheva 개발 조직)
Microsoft 같은 대형 플랫폼이 인수 시 독점 심사 가능성
독립성을 선호하는 경영진 문화

중요한 점: M&A를 투자 논리의 핵심으로 삼으면 안 됩니다. 인수 없이도 독립 기업으로서의 투자 케이스가 성립해야 CYBR에 투자할 이유가 있습니다. M&A는 ‘추가 옵셔널리티’로만 보세요.

면책 고지: 이 글은 투자 참고 정보이며, 투자 권유나 재무 조언이 아닙니다. 투자 결정은 본인의 판단과 책임하에 이루어져야 합니다.

사이버아크(CyberArk)는 어떤 회사인가요?

이스라엘 출신의 사이버보안 기업으로, 특권 계정(관리자·시스템 계정 등)의 접근을 통제하는 PAM(Privileged Access Management) 분야의 글로벌 리더입니다. 현재는 PAM을 넘어 아이덴티티 보안 전반으로 사업을 확장 중입니다.

PAM이란 무엇인가요?

Privileged Access Management(특권 접근 관리)의 약자입니다. 시스템 관리자나 고권한 계정이 어떤 시스템에 언제 접근했는지 통제하고 기록하는 기술입니다. 해킹 사고의 상당수가 특권 계정 탈취에서 시작되므로 기업 보안의 핵심 영역입니다.

CYBR이 SaaS로 전환 중이라고 하는데 왜 중요한가요?

과거 온프레미스 라이선스 판매에서 구독 기반 SaaS로 전환하면 ARR(연간 반복 매출)이 쌓입니다. 계약이 갱신될수록 매출이 예측 가능해지고 밸류에이션 프리미엄을 받습니다.

CYBR의 ARR(연간 반복 매출)은 어느 수준인가요?

구체적 수치는 매 분기 변동되므로 공식 실적 자료에서 확인하는 것이 정확합니다. 방향성은 지속 성장이지만 정확한 수치는 ir.cyberark.com에서 확인하세요.

CYBR은 배당을 지급하나요?

사이버아크는 배당을 지급하지 않습니다. 잉여 현금은 M&A, R&D, 제품 확장에 투입하는 성장주 전략입니다.

한국 투자자가 CYBR 매매 시 세금은?

배당이 없어 배당소득세 문제는 없습니다. 양도차익은 해외주식 양도소득세 대상이며 연 250만 원 기본공제 후 초과분에 22%(지방세 포함)가 부과됩니다.

경쟁사인 Okta와 비교하면 어떤 차이가 있나요?

Okta는 일반 직원 ID 관리(IAM) 강자, 사이버아크는 고권한·특권 계정 통제(PAM) 강자입니다. 영역이 다르지만 점점 겹치고 있습니다. 사이버아크는 보안 강도가 높은 금융·정부·의료 고객에서 강점을 보입니다.

제로 트러스트 트렌드가 CYBR에 유리한가요?

유리합니다. 제로 트러스트 아키텍처의 핵심이 '접근 권한 최소화'인데, 특권 계정 관리는 그 핵심 구현 요소입니다. CISOlevel의 보안 예산이 증가할수록 PAM 수요도 늘어납니다.

CYBR의 NRR(순 매출 유지율)은 어느 수준인가요?

SaaS 기업의 건강 지표인 NRR(Net Revenue Retention)은 기존 고객이 추가 구매나 업그레이드를 얼마나 하는지 나타냅니다. 구체적 수치는 분기 실적 자료에서 확인하세요.

사이버보안 ETF를 통해 CYBR에 간접 투자할 수 있나요?

BUG(Global X Cybersecurity ETF), HACK(ETFMG Prime Cyber Security ETF), CIBR(First Trust NASDAQ Cybersecurity ETF) 등에 CYBR이 편입돼 있습니다. 개별 종목 리스크를 줄이고 싶다면 ETF를 고려할 수 있습니다.

AI가 사이버보안 수요를 늘리나요 줄이나요?

AI는 사이버 공격 수단도 되지만 방어 도구도 됩니다. 더 중요한 점은 AI 시스템이 많아질수록 AI 계정·서비스 계정·API 키 등 비인간 아이덴티티 관리 수요가 폭증합니다. 이게 CyberArk의 새 성장 영역입니다.