2026년 초만 해도 사이버보안 관련주는 AI 랠리의 ‘옆 피해자’처럼 취급됐습니다. 자금은 반도체, 서버, 인프라 쪽으로 몰렸고, 소프트웨어 종목들은 상승장에서 사실상 소외됐습니다. 그런데 포티넷(Fortinet)이 시장 기대를 훨씬 웃도는 실적을 내놓으면서, 투자자들은 그동안 묻지 않던 질문을 다시 하게 됐습니다. AI가 공격 수단이 되면, 보안 지출은 어떻게 변하는가 하는 질문입니다.
그 답은 이제 매출, 청구액, 기업 예산에서 동시에 드러나고 있습니다. 사이버보안은 AI 때문에 무너지고 있는 것이 아니라, 오히려 AI를 중심으로 재편되고 있습니다. 그리고 이 재편을 주도하는 나스닥 상장 기업들은 지금 몇 년 만에 가장 강한 수준의 선행 지표를 기록하고 있습니다.
AI 기반 공격의 수치만 봐도 충격적입니다. 생성형 AI를 활용한 피싱 캠페인은 2022년 4분기 이후 1,265% 증가했습니다. 클릭률은 기존 피싱의 약 12%에 비해 54%에 달합니다. 사이버 범죄가 글로벌 경제에 미치는 비용은 연간 10조5,000억 달러에 이를 것으로 예상되는데, 이는 10년 전의 3조 달러에서 크게 늘어난 수치입니다.
이 숫자들은 긴박함을 설명해주지만, 랠리 전체를 설명해주지는 못합니다.
사이버보안 관련주에 대한 투자 논리는 단순히 공포에 기반하지 않습니다. 핵심은 기업들이 보안을 구매하는 방식 자체가 구조적으로 바뀌고 있다는 점입니다.
AI 이전에는 한 회사가 방화벽, 엔드포인트, 클라우드 접근, 신원 관리, 이메일 보안 등 각 계층마다 20개 가까운 벤더를 따로 운영하는 것도 가능했습니다. 위협이 비교적 느리게 움직였기 때문에, 분석가들이 분리된 시스템의 경고를 사후적으로 연결해도 어느 정도 대응이 가능했기 때문입니다.
하지만 AI 기반 위협은 그렇게 느리게 움직이지 않습니다. 하나의 공격이 신원, 클라우드, 엔드포인트, 데이터 계층을 거의 동시에 가로지를 수 있습니다. 이렇게 되면 조각난 보안 구조로는 대응 속도가 따라가지 못합니다. 그래서 기업들이 내린 결론은 통합입니다. 더 적은 벤더, 더 깊은 통합, 그리고 AI를 활용해 위협을 자동으로 연계·분석해주는 플랫폼 중심 구조로 옮겨가고 있는 것입니다.
바로 이 조달 방식의 변화가 사이버보안 관련주를 단순한 헤드라인 반응이 아니라 구조적 투자 스토리로 만듭니다. 실제 지출 규모도 이를 뒷받침합니다.
글로벌 사이버보안 지출은 2021년 2,600억 달러에서 2026년 5,200억 달러 이상으로 늘어날 전망입니다.
이 가운데 AI 보안 시장만 따로 보면, 2024년 265억5,000만 달러에서 2032년에는 2,340억 달러 이상으로 성장할 것으로 예상됩니다.
이 수요는 억지로 만들어진 것이 아닙니다. 기업들이 달리 선택지가 없기 때문에 직접 끌어내고 있는 수요입니다.
크라우드스트라이크(CrowdStrike)는 Falcon 플랫폼을 중심으로 엔드포인트, 클라우드 워크로드, 신원, AI 에이전트 워크플로까지 아우르는 클라우드 네이티브 구조를 구축해왔습니다. 2026 회계연도 4분기 기준 연간 반복 매출(ARR)은 52억5,000만 달러로 전년 대비 24% 증가했습니다. 신규 순증 ARR은 47% 증가한 3억3,100만 달러로 사상 최대를 기록했고, Falcon Flex 계정 ARR은 16억9,000만 달러로 120% 이상 증가했습니다.
Falcon Flex는 고객이 긴 조달 과정을 다시 처음부터 거치지 않고도 모듈을 추가할 수 있도록 해줍니다. 즉, 크라우드스트라이크는 단일 제품 매출보다 더 넓은 플랫폼 채택과 연결되는 구조를 갖추고 있다는 뜻입니다. 회사는 자사의 총주소가능시장(TAM)이 현재 1,400억 달러에서 2030년에는 3,000억 달러까지 확대될 수 있다고 보고 있습니다.
팔로알토 네트웍스(Palo Alto Networks)도 비슷한 방향으로 가고 있습니다. 이 회사 역시 기업 네트워크, 클라우드 환경, 보안 운영, AI 보호, 신원 관리까지 아우르는 플랫폼화를 추진 중입니다. 2026 회계연도 2분기 매출은 26억 달러로 15% 증가했고, 차세대 보안 ARR은 63억 달러로 33% 증가했습니다. 남은 수행의무(RPO)는 160억 달러로 23% 증가했습니다.
여기에 더해, 완료된 250억 달러 규모의 CyberArk 인수는 훨씬 더 중요한 층을 보강합니다. 바로 신원 보안입니다. 팔로알토는 AI 시대의 핵심 축으로 인간, 기계, 에이전트형 신원을 모두 포괄하는 신원 보안을 강조하고 있습니다.
지스케일러(Zscaler)는 스택의 다른 영역에 위치합니다. 이 회사의 제로 트러스트 플랫폼은 네트워크 트래픽 경로 한가운데(inline)에 자리 잡고 있어, 사용자와 AI 도구, 엔터프라이즈 애플리케이션 사이의 트래픽이 실제 목적지에 도달하기 전에 지스케일러 시스템을 통과하게 됩니다. 덕분에 이 회사는 AI 도입 흐름을 매우 독특한 위치에서 관찰할 수 있습니다.
2025년 지스케일러 플랫폼 전반에서 기업의 AI·머신러닝 활동은 전년 대비 91% 증가했습니다. AI·머신러닝 애플리케이션으로 전송된 데이터 양은 93% 증가한 18,033테라바이트였고, 실제 트랜잭션을 발생시킨 AI·머신러닝 애플리케이션 수는 3,400개 이상으로 늘었습니다.
이 수치가 중요한 이유는, AI가 단순히 탐지 문제만이 아니라 데이터 보안 문제를 키우고 있다는 점을 보여주기 때문입니다. 모든 프롬프트, 업로드, 자동화 워크플로는 민감한 정보를 새로운 환경으로 이동시킬 수 있습니다.
최신 분기 실적 역시 같은 흐름을 보여줍니다. 지스케일러의 매출은 약 8억1,600만 달러로 26% 증가했고, ARR은 33억6,000만 달러로 25% 증가했습니다.
전통적인 경계형 보안은 대부분의 위협이 네트워크 외부에서 들어오던 시대에 맞춰 설계됐습니다. 하지만 AI는 위험 지도를 바꿔버렸습니다. 이제 리스크는 침해된 에이전트, 탈취된 자격 증명, 내장된 AI 도구, 통제되지 않는 데이터 이동을 통해서도 유입될 수 있습니다. 네트워크 경계가 무너질수록 제로 트러스트의 중요성은 더 커질 수밖에 없습니다.
포티넷은 AI 보안 수요가 실제 예산으로 옮겨왔다는 점을 가장 분명하게 보여준 기업이었습니다.
2026년 1분기 포티넷의 매출은 18억5,000만 달러로, 애널리스트 예상치인 17억3,000만 달러를 웃돌았습니다. 조정 EPS는 0.82달러로 예상치 0.62달러를 크게 상회했습니다. 청구액(billings)은 20억9,000만 달러로 전년 대비 31% 증가했고, 이 역시 시장 전망치인 18억2,000만 달러를 넘어섰습니다. 주가는 실적 발표 후 23% 급등했습니다.
중요한 것은 단순한 실적 상회가 아니라, 수요의 출처였습니다.
기업들은 더 높은 트래픽 부하, 암호화된 워크로드, AI 데이터센터의 성능 요구를 처리하기 위해 방화벽과 네트워크 인프라를 업그레이드하고 있습니다. 이는 단순한 소프트웨어 지출이 아니라, 새로운 위협 환경에 대응하기 위한 인프라 교체 수요입니다.
포티넷은 AI 보안 테마에서 덜 주목받던 장점도 가지고 있습니다. 이 회사는 자체 칩, 하드웨어 어플라이언스, 보안 소프트웨어를 함께 제공합니다. 즉, 단순한 클라우드 보안 구독 모델이 아니라, 물리적 네트워크 업그레이드 수요에도 직접 노출되어 있습니다.
포티넷은 전 세계 방화벽 시장에서 55%의 단위 기준 점유율을 보유하고 있다고 밝히고 있습니다. 이 설치 기반은 AI 주도 네트워크 업그레이드 사이클에 직접적으로 연결될 수 있는 강력한 진입 경로가 됩니다.
기업 내부에서 작동하는 모든 AI 에이전트는 자격 증명, 권한, 접근 제어를 필요로 합니다. 하지만 대부분의 기업은 지금도 자신들이 보유한 기계 신원(machine identities) 을 명확히 파악하지 못하고 있습니다. 에이전트형 AI 워크플로가 2026년 이후 더 확산될수록, 머신 아이덴티티 관리는 선택이 아니라 필수가 됩니다. 팔로알토의 CyberArk 인수와 크라우드스트라이크의 신원 보안 모듈은 바로 이 문제에 맞춰져 있습니다.
미국과 유럽에서는 AI 거버넌스 프레임워크가 점점 구체화되고 있습니다. 데이터 주권, 모델 접근 통제, AI 감사 추적에 대한 요구는 사이버보안 예산을 임의 지출이 아니라 규제 대응 비용으로 바꾸고 있습니다. 규제와 연결된 예산은 일반적으로 경기 둔화에도 더 쉽게 줄어들지 않습니다.
20개 벤더를 3개 플랫폼으로 줄인다고 해서 보안 지출이 줄어드는 것은 아닙니다. 오히려 지출이 집중됩니다. 플랫폼 기업들은 고객의 전체 보안 예산 가운데 더 큰 몫을 가져가게 됩니다. 그래서 기업 IT 예산 전반에 대한 점검이 강화되는 와중에도 크라우드스트라이크와 팔로알토의 ARR은 계속 성장하고 있는 것입니다.
현재로서는 구조적인 이유 때문에 지속 가능성이 있다는 쪽에 무게가 실립니다. 기업 내 AI 도입은 아직 초기 단계이고, 플랫폼 통합은 수년에 걸쳐 진행될 변화이며, 규제 압박은 완화가 아니라 강화되는 방향으로 움직이고 있습니다. 이 모든 요소는 나스닥의 주요 사이버보안 종목들에 대해 누적적인 수요를 만들어냅니다.
다만 가장 큰 리스크는 밸류에이션입니다. 이들 기업은 모두 프리미엄 멀티플에 거래되고 있습니다. 가이던스 미스, 거시경제 충격, 혹은 자금이 다시 AI 인프라 종목으로만 쏠리는 국면이 오면, 기본 사업 품질과 무관하게 주가는 급격히 조정받을 수 있습니다.
이런 환경에서는 주가 하락의 원인을 구분하는 것이 중요합니다.
거시 심리 때문에 발생한 조정과, ARR 둔화·계약 규모 축소·청구액 성장 약화처럼 사업 자체의 약화 때문에 발생한 조정은 다르게 봐야 합니다.
첫 번째는 시장의 문제이고, 두 번째는 사업의 문제입니다. 고성장 소프트웨어 종목에 대한 높은 확신을 가진 포지션은 보통 첫 번째 유형의 조정에서 매수 기회를 찾고, 두 번째 유형에서는 다시 점검하게 됩니다.
사이버보안 관련주가 저평가됐던 이유는, 시장이 이 섹터를 AI에 의해 소프트웨어가 파괴당하는 산업처럼 봤기 때문입니다. 하지만 실제로는 정반대였습니다. AI가 더 많이 도입될수록 공격 표면은 넓어지고, 머신 아이덴티티는 늘어나며, 이동 중인 데이터는 많아지고, 분절된 보안 체계를 통합해야 할 필요성은 더 커집니다.
크라우드스트라이크, 팔로알토 네트웍스, 지스케일러, 포티넷은 각각 이런 압력의 서로 다른 측면을 포착합니다.
플랫폼 통합, 신원 보안, 데이터 거버넌스, 인프라 업그레이드가 바로 그것입니다. 이 네 기업은 함께, 사이버보안 지출이 더 이상 전략적 선택이 아니라 구조적 필수지출로 변하고 있는 섹터를 대표하고 있습니다.
아무도 예상하지 못했던 이번 랠리의 이유는 사실 단순합니다. 위협은 실제이고, 지출은 그 뒤를 따라가고 있으며, 시장은 그동안 이 두 가지가 모두 사실이 아닌 것처럼 가격을 매겨왔던 것입니다.
