2024년을 달군 글로벌 보안업계 M&A 움직임들 되짚어보기

수년 전부터 사이버 보안 업체들 간 M&A 활동들이 꾸준히 증가하고 있다. 보안이 그만큼 중요해지고 있다는 의미이다. 보안 업체들 간 M&A도 눈에 띄지만, 다른 IT 계열에 있던 업체들과 사모펀드의 과감한 보안 투자도 같이 늘고 있어 고무적이다.

[보안뉴스 문정후 기자] 2024년에도 사이버 보안 업계에서는 M&A 활동이 활발하게 일어났다. 전반기의 경우 총 178건의 M&A가 있었는데 이는 최근 몇 년 사이 가장 적은 숫자였다. 하지만 하반기에 들어 예전의 왕성함을 어느 정도 회복하는 모습을 보이기도 했다. 1월부터 11월까지 어떤 거래가 있었는지, 주요 기업들이 관계되어 있는 건들만 월별로 정리해 보았다. 12월은 아직 진행 중이라 집계하지 않았다.

[이미지 = gettyimagesbank]

1월 : 총 34건
1) 5G네트웍스(5G Networks)가 시큐리티쉬프트(Security Shift)를 인수 : 호주의 대형 IT 관리 서비스 회사인 5G네트웍스가 보안 전문 회사인 시큐리티쉬프트를 400만 호주달러에 인수했다. 이는 미국 달러 기준 260만 달러 정도에 해당한다. 이로써 5G네트웍스 측은 고객들의 IT 관리 서비스에 보안도 포함시킬 수 있게 됐다.

2) HPE가 주니퍼네트웍스(Juniper Networks) 를 인수 : 대형 IT 기업 HPE가 네트워크 장비 및 보안 서비스 업체인 주니퍼네트웍스를 140억 달러에 인수하기로 합의했다.

3) 마임캐스트(Mimecast)가 엘러베이트시큐리티(Elevate Security)를 인수 : 이메일 보안을 전문으로 하는 유명 보안 회사 마임캐스트가 사용자 교육 및 훈련을 전문으로 하는 보안 기업 엘러베이트시큐리티를 인수했다. 금액은 공개되지 않았다.

4) 프로텍트AI(Protect AI)가 레이어AI(Laiyer AI)를 인수 : 인공지능과 머신러닝 모델을 보호하는 데 특화된 회사 프로텍트AI가 또 다른 인공지능 보안 업체인 레이어AI를 인수했다. 레이어AI는 LLM가드(LLM Guard)라는 제품으로 시장에서 자리를 잡아가던 회사였다. 이제 이 제품은 프로텍트AI라는 회사의 이름을 달고 나온다.

5) 센티넬원(SentinelOne)이 핑세이프(PingSafe)를 인수 : 보안 업체 센티넬원이 1억 달러 이상의 현금 및 주식 거래를 통해 클라우드 네이티브 애플리케이션 보안 업체 핑세이프를 인수하기로 결정했다. 이로써 센티넬원의 포트폴리오에 클라우드 네이티브 애플리케이션 보호 기능이 들어가게 됐다.

6) 소닉월(SonicWall)이 바냔(Banyan)을 인수 : 네트워크 보안 장비 업체 소닉월이 제로트러스트 기반 네트워크 접근 기술에 특화된 보안 기업 바냔을 인수했다. 소닉월이 시장에 출시하는 제품과 서비스가 다양해졌다.

2월 : 27건
1) 원패스워드(1Password)가 콜라이드(Kolide)를 인수 : 비밀번호 관리 프로그램으로 유명한 원패스워드가 접근 제어 및 방지 솔루션을 만드는 회사인 콜라이드를 인수했다.

2) 아르미스(Armis)가 CTCI를 인수 : 자산 인텔리전스 보안 회사 아르미스가 위협 인텔리전스 회사인 CTCI를 2천만 달러에 인수했다. 이로써 아르미스는 보안 관제 팀의 효율성을 높이는 시스템을 개발할 수 있게 됐다고 발표했다.

3) 델리니아(Delinea)가 패스트패스(Fastpath)를 인수 : 높은 권한을 가진 채 접근하려는 시도를 관리하는 회사인 델리니아가 아이덴티티 거버넌스 및 관리 회사인 패스트패스를 인수함으로써 접근 제어를 보다 정확하게 할 수 있게 됐다.

4) F5가 윕(Wib)을 인수 : 대형 보안 회사 F5가 이스라엘의 API 보안 스타트업인 윕을 수십만 달러에 인수했다고 발표했는데, 정확한 금액은 알려지지 않았다.

5) 리질리언스(Resilience)가 브리치퀘스트(BreachQuest)를 인수 : 위험 관리 회사 리질리언스가 사고 대응 전문 기업인 브리치퀘스트를 인수해 비즈니스 이메일 침해 공격에 대한 대응 역량을 강화할 것이라고 발표했다.

3월 : 27건
1) 에어버스(Airbus)가 인포다스(Infodas)를 인수 : 유명 국방 업체 에어버스가 독일의 사이버 보안 및 IT 솔루션 업체인 인포다스를 인수했다. 에어버스는 이를 통해 사이버 보안 쪽의 포트폴리오를 확장시키려 했다.

[이미지 = gettyimagesbank]

2) 크라우드스트라이크(CrowdStrike)가 플로우시큐리티(Flow Security)를 인수 : 보안 업체 크라우드스트라이크가 클라우드 데이터 실행 보안 솔루션 회사인 플로우시큐리티를 약 2억 달러에 인수할 계획이라고 발표했다.

3) 클라우드플레어(Cloudflare)가 네펠리네트웍스(Nefeli Networks)를 인수 : 유명 클라우드 및 CDN 업체 클라우드플레어가 멀티클라우드 네트워킹 스타트업인 네펠리네트웍스를 인수했고, 이를 통해 새 제품인 매직클라우드네트워킹(Magic Cloud Networking)을 출시했다.

4) F5가 헤이핵(Heyhack)을 인수 : 보안 업체 F5가 덴마크의 업체 헤이핵을 인수해 자동화 된 탐색 및 침투 테스트 기능을 클라우드 서비스에 추가할 수 있게 됐다.

5) 깃랩(GitLab)이 옥스아이(Oxeye)를 인수 : 이스라엘의 애플리케이션 보안 전문 회사인 옥스아이를 깃랩이 3천만~4천만 달러에 인수한다고 발표했다. 깃랩의 정적 애플리케이션 보안 테스트 기능을 강화하는 데 도움이 될 거래였다고 한다.

6) 지스케일러(Zscaler)가 아발러(Avalor)를 인수 : 클라우드 보안 회사 지스케일러가 이스라엘 스타트업 아발러를 3억 5천만 달러에 인수했다.

4월 : 33건
1) 아르미스가 실크시큐리티(Silk Security)를 인수 : 2월에 이어 아르미스가 사이버 위험 우선순위 관리와 솔루션 개발 업체 실크시큐리티를 1억 5천만 달러에 인수했다.

2) 비욘드트러스트(BeyondTrust)가 인타이틀(Entitle)을 인수 : 아이덴티티 및 접근 보안 전문 회사 비욘드트러스트가 클라우드 접근 권한 업체인 인타이틀을 인수했다. 덕분에 비욘드트러스트는 높은 권한을 통한 접근 관리와 클라우드 인프라 권한 관리 문제를 해결할 수 있게 됐다.

3) IBM이 하시코프(HashiCorp)를 인수 : 64억 달러짜리 대형 M&A가 이 달 성사됐다. IBM은 하시코프가 가진 기술을 활용하여 생성형 인공지능 보안, 데이터 보안, IT 자동화, 컨설팅 등 각종 기술을 동원해 개선된 클라우드 플랫폼을 구축할 수 있게 됐다.

4) 노비포(KnowBe4)가 이그레스(Egress)를 인수 : 보안 인식 훈련 기업인 노비포가 클라우드 이메일 보안 기술 업체 이그레스를 인수할 계획이라고 발표했다. 이그레스의 이메일 보안 기술을 통해 노비포는 보안 인식 훈련 및 모의 피싱 훈련을 같이 진행할 수 있게 됐다

5) 옵스왓(OPSWAT)이 CIP사이버(CIP Cyber)를 인수 : 중요 인프라 보안 기업인 옵스왓이 사이버 보안 교육 및 인증 서비스를 제공하는 CIP사이버를 인수했다.

6) 토마브라보(Thoma Bravo)가 다크트레이스(Darktrace)를 인수 : 영국 보안 기업 다크트레이스가 53억 2천만 달러에 사모펀드 회사 토마브라보에 매각됐다. 토마브라보는 수년 동안 꾸준히 보안 업체들을 모으고 있다.

7) 베라코드(Veracode)가 롱보우시큐리티(Lowbow Security)를 인수 : 베라코드는 소프트웨어 분석 회사인데, 위협 자동 분석 스타트업인 롱보우시큐리티를 인수한다고 발표했다.

5월 : 28건
1) 아카마이(Akamai)가 노네임시큐리티(Noname Security)를 인수 : 대형 클라우드 및 보안 기업인 아카마이가 API 보안 전문 회사인 노네임시큐리티를 4억 5천만 달러에 인수했다.

[이미지 = gettyimagesbank]

2) 버그크라우드(Bugcrowd)가 인포머(Informer)를 인수 : 버그바운티 전문 플랫폼인 버그크라우드가 영국의 침투 테스트 제공 업체인 인포머를 인수했다.

3) 클라우드플레어가 바스티온제로(Bastionzero)를 인수 : 3월에 이어 클라우드플레어가 보안 스타트업인 바스티온제로를 인수하며 VPN 대체 솔루션 사업을 확장시킬 계획을 가지고 있음을 함께 발표했다.

4) 사이버아크(CyberArk)가 베나피(Venafi)를 인수 : 사이버아크가 머신 ID 관리 회사인 베나피를 15억 4천만 달러에 인수한다고 공개했다. 10억 달러는 현금으로, 5억 4천만 달러는 주식으로 구매한다고도 밝혔다.

5) 팔로알토네트웍스(Palo Alto Networks)가 IBM 큐레이더 사스(IBM QRadar Saas)를 인수 : 보안 대기업 팔로알토네트웍스가 IBM의 큐레이더 사스 자산을 인수하기로 결정했다. 큐레이더의 기존 고객들은 팔로알토네트웍스의 Cortex XSIAM SOC 플랫폼으로 이전될 것이라고 발표했다.

6월 : 29건
1) 포티넷(Fortinet)이 레이스워크(Lacework)를 인수 : 레이스워크는 한 때 기업 가치 평가에서 10억 달러 이상의 성적을 거둔 유망한 보안 스타트업이다. 이를 포티넷이 클라우드 제품의 현대화를 위해 매입했다.

2) 제이프로그(JFrog)가 콱AI(Qwak AI)를 인수 : 데브옵스 및 소프트웨어 공급망 보안 전문 회사 제이프로그가 인공지능 애플리케이션 플랫폼인 콱AI를 인수했다. 이를 통해 인공지능 모델 개발부터 생산까지의 흐름을 가속화할 것이라고 한다.

3) 모질라(Mozilla)가 어노님(Anonym)을 인수 : 모질라가 프라이버시 보호를 전문으로 하는 어노님을 인수했다. 모질라라는 명성이 워낙 자자하고, IT 업계에서도 신뢰를 받는 편인데, 이번에 어노님을 통해 사용자 프라이버시를 보호하면서 동시에 광고 효과를 향상시킬 것이라고 한다.

4) 테너블(Tenable)이 유레카시큐리티(Eureka Security)를 인수 : 대형 보안 업체 테너블이 데이터 보안 태세 관리 분야의 이스라엘 스타트업인 유레카시큐리티를 인수할 것이라고 발표했다.

7월 : 25건
1) 마임캐스트가 코드42(Code42)를 인수 : 1월에 이어 마임캐스트가 또 다른 보안 업체 코드24를 인수했다. 코드24는 내부 위협 관리 및 데이터 유출 방지를 전문으로 하는 기업이다.

2) 프로텍트AI가 사이드랩스(SydeLabs)를 인수 : 인공지능 보안 업체 프로텍트AI가 다시 한 번 보안 업체를 인수했다. 이번에는 인공지능 시스템의 자동 공격 시뮬레이션 활동(즉 레드팀 훈련)을 전문으로 하는 업체 사이드랩스였다. 이를 통해 프로텍트AI는 LLM 보안 테스트 및 역량을 강화할 요량이다.

3) 라피드7(Rapid7)의 노틱사이버(Noetic Cyber) 인수 : 보안 업체 라피드7이 사이버 자산 공격 표면 관리를 전문으로 하는 기업 노틱사이버를 인수하기로 결정했다. 두 업체의 솔루션이 합쳐져 포괄적인 시너지를 발휘할 것이 기대되고 있다.

4) 쓰레트커넥트(ThreatConnect)가 폴라리티(Polarity)를 인수 : 위협 인텔리전스 기업인 쓰레트커넥트가 보안 분석가의 작업을 간소화시켜주는 플랫폼 제공자 폴라리티(Polarity)를 인수했다. 그럼으로써 보안 관제 시스템의 분석가와 사고 대응 전문가, 위협 탐지 전문가들이 보다 깊이 있으며 맥락이 첨부된 정보를 얻을 수 있게 됐다.

8월 : 36건
1) 체크포인트(CheckPoint)가 사이버인트(Cyberint)를 인수 : 이스라엘을 대표하는 보안 기업 체크포인트가 위협 인텔리전스와 공격 표면 정찰 및 관리를 전문으로 하는 보안 업체 사이버인트를 약 2억 달러에 인수했다.

[이미지 = gettyimagesbank]

2) 시스코(Cisco)가 로버스트인텔리전스(Robust Intelligence)를 인수 : 네트워크와 보안 분야 대기업 시스코가 인공지능 애플리케이션 보안을 전문으로 하는 기업 로버스트인텔리전스를 인수하고 있다고 발표했다.

3) 디지서트(DigiCert)가 버카라(Vercara)를 인수 : 디지서트가 네트워크 및 애플리케이션 보호 전문 솔루션 제공 업체인 버카라를 인수하기로 결정했다.

4) 포티넷(Forinet)이 넥스트DLP(Next DLP)를 인수 : 보안 업체 포티넷이 보안 및 내부 위험 관리 기업인 넥스트DLP를 인수했다. 이로써 포티넷은 데이터 유출 방지 솔루션을 강화할 수 있게 됐다.

5) 마임캐스트의 어웨어(Aware) 인수 : 올해만 벌써 세 번째 인수 합병을 진행하는 마임캐스트가 협업 보안 플랫폼인 어웨어를 인수했고, 이를 통해 협업 보안 및 규정 준수 역량을 강화한다는 방침을 세우고 실천할 수 있게 됐다.

6) 옵스왓의 인퀘스트(InQuest) 인수 : 인프라 보호 기업 옵스왓이 네트워크 보안 전문 기업 인퀘스트를 인수함으로써 옵스왓은 네트워크 분석과 인텔리전스 확보 역량을 강화할 수 있게 됐다.

9월 : 37건
1) 마스터카드(Mastercard)가 레코디드퓨처(Recorded Future)를 인수 : 금융 서비스 대기업인 마스터카드가 위협 인텔리전스와 사이버 보안을 전문으로 하는 기업인 레코디드퓨처를 26억 달러에 인수한다고 발표했다.

2) 팡고(Pango)가 카스퍼스키(Kaspersky)의 미국 사업부 인수 : 카스퍼스키가 미국 시장에서 더 이상 사업을 유지하기 어려워지면서 팡고라는 기업이 카스퍼스키 백신 사업부를 인수하기로 결정했다. 그러면서 100만 고객이 팡고로 넘어가게 됐다. 이 과정에서 적잖은 소비자 불만이 제기된 것으로 알려져 있다.

3) 세일즈포스(Salesforce)가 오운컴파니(Own Company)를 인수 : 대기업 세일즈포스가 데이터 보호 및 데이터 관리 솔루션 업체인 오운컴파니를 약 19억 달러에 인수하기로 합의했다. 이로써 세일즈포스의 서비스가 다양해질 수 있을 전망이다.

4) 비자(Visa)가 피처스페이스(Featurespace)를 인수 : 비자가 실시간 인공지능 기반 결제 보호 기술 업체 피처스페이스를 인수할 계획이라고 발표했다. 이로서 비자의 금융 서비스가 추가되고 더 안전해질 전망이다.

5) 위드시큐어(WithSecure)가 일부 사업부를 패트리아(Patria)에 매각 : 보안 업체 위드시큐어가 오픈소스 데이터 수집 솔루션과 관련 사업부를 국방 기업인 패트리아에 매각했다. 이를 통해 패트리아는 사이버 보안 쪽으로도 국방 사업을 확장시켜갈 수 있게 됐다.

10월 : 37건
1) 클라우드플레어가 키베라(Kivera)를 인수 : 클라우드 보안 전문 업체 키베라를 클라우드 서비스 업체 클라우드플레어가 인수했다. 이를 통해 클라우드플레어의 고객들은 좀 더 강력한 보안 ‘예방책’을 누릴 수 있게 됐다.

[이미지 = gettyimagesbank]

2) 드라고스(Dragos)가 네트워크퍼셉션(Network Perception)을 인수 : OT 사이버 보안 전문 업체인 드라고스가 네트워크 가시성 솔루션 개발사인 네트워크퍼셉션을 인수했다.

3) 엑스페리안(Experian)이 클리어세일(ClearSale)을 인수 : 보안 업체 엑스페리안이 브라질의 사이버 보안 기업 클리어세일을 3억 5천만 달러에 인수하기로 결정했다. 이를 통해 엑스페리안은 브라질 시장으로의 진출을 도모할 수 있게 됐다.

4) EY가 디그나리(Dignari)를 인수 : 글로버러 컨설팅 기업 EY가 신원 및 접근 관리 솔루션 전문 기업 디그나리를 인수했다. 인수 후 디그나리는 EY 디그나리(EY Dignari)라는 이름으로 새롭게 출범한다.

5) 프루프포인트(Proofpoint)가 노멀라이즈(Normalyze)를 인수 : 보안 업체 프루프포인트가 DSPM 기업 노멀라이즈를 인수하기로 최종 합의했다. 이를 통해 프루프포인트는 자사 서비스와 플랫폼을 DSPM 기술로 강화할 수 있게 됐다.

6) 소포스(Sophos)가 시큐어웍스(SecureWorks)를 인수 : 큰 보안 업체가 또 다른 큰 보안 업체와 합치게 됐다. 약 8억 5900만 달러로 시큐어웍스를 매입한 소포스는 시큐어웍스의 XDR 플랫폼을 소포스의 MDR 서비스와 결합시킬 예정이라고 한다.

11월 : 49건
1) 비트사이트(Bitsight)가 사이버식스길(Cybersixgill)을 인수 : 사이버 리스크 관리 회사 비트사이트가 이스라엘의 인텔리전스 업체 사이버식스길을 1억 1500만 달러에 인수하기로 결정했다. 이번 인수를 통해 비트사이트는 고객들에게 포괄적인 가시성을 제공할 수 있게 됐다.

2) 크라우드스트라이크가 어댑티브쉴드(Adaptive Shield)를 인수 : 사이버 보안 업체 크라우드스크라이크가 이스라엘의 SaaS 보안 전문 회사인 어댑티브쉴드를 인수하기로 결정했다. 금액은 약 3억 달러였던 것으로 알려져 있다.

3) 사이버리즌(Cybereason)이 트러스트웨이브(Trustwave)와 합병 : 엔드포인트 탐지 및 대응 전문 회사 사이버리즌이 보안 관리 대행 전문 업체 트러스트웨이브와 합병한다고 발표했다. 양사의 전략적 결정으로, 관리형 XDR과 디지털 포렌식, 사고 대응 부문의 역량을 종합적으로 강화하기 위한 것이라고 한다.

4) 멀웨어바이츠(Malwarebytes)가 어자이어VPN(AzireVPN)을 인수 : 보안 업체 멀웨어바이츠가 개인정보 보호를 전문으로 하는 VPN 서비스인 어자이어VPN을 인수하기로 결정했다. 이로써 어자이어의 기술과 솔루션, 플랫폼은 멀웨어바이츠의 솔루션에 통합된다.

5) 위즈(Wiz)가 대즈(Dazz)를 인수 : 클라우드 보안 기업인 위즈가 인공지능 기반 클라우드 보안 업체인 대즈를 4억 5천만 달러에 인수하기로 합의했다. 이 금액은 비공식적으로 알려진 것으로, 양 기업은 금액을 구체적으로 발표하지 않았다.

[이미지 = gettyimagesbank]

여전히 서방 세계의 이야기
보안 업계에서 M&A가 활발히 일어나고 있다는 건, 그러나, 아태 지역에 살고 있는 사람들에게는 먼 나라 이야기다. M&A의 대상이 되는 기업 절대 다수가 미국과 유럽의 기업들이기 때문이다. 정확히는 미국과 영국의 기업들이 선두를 달리고 있다. 아시아 전체로 따졌을 때 M&A를 진행한 기업의 수는 유럽 바로 다음이긴 하지만 그나마도 대부분 이스라엘 기업들의 이야기였다. 그 외에 인도에서 소수의 M&A가 있었을 뿐, 아시아 기업들은 M&A 시장 안에서 침묵을 지키고 있다.

업종별로 분류하면, GRC에 집중하고 있는 기업들이 가장 인기가 높았던 것으로 분석된다. GRC는 ‘거버넌스, 리스크 관리 및 규정 준수(Governance, Risk Management, Compliance)’의 준말이다. 이는 최근 여러 대륙과 산업에서 정보, 프라이버시, 개인정보 보호를 위한 각종 규칙을 제정하고 있으며, 어겼을 시의 벌금도 점점 높게 책정하고 있기 때문에 나타나는 현상이라고 할 수 있다. 기업들로서는 해커들도 무섭지만, 규정을 어겨 천문학적인 벌금을 내야만 하는 상황에 처하는 것도 무섭다는 뜻이 된다. ‘최소한 벌금을 내는 일은 막아야겠다’는 마음으로 보안에 접근하는 것은 아닌지 우려스럽기도 하다.

클라우드와 인공지능이라는, 최근 각광 받고 있는 신기술과 관련된 보안 기술을 갖춘 스타트업들의 인기가 높다는 것 역시 올해 M&A 트렌드를 통해 드러났다. 클라우드와 인공지능, 그 외에 또 출현할 것으로 보이는 여러 신기술들을 보호하는 게 한동안 관건이 될 것으로 예상된다. 클라우드와 인공지능 모두 보안 사고와 자주 엮이는 기술들이라 보안에 대한 수요가 끊이지 않을 것이다.
[국제부 문정후 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)