Newsletter · · Ashutosh Agarwal
팔로알토 CEO, 플랫폼 점유율 확대 강조... OAuth 유출과 FortiBleed가 보안 수요 견인
2026년 6월 23일 주간 사이버보안 뉴스레터. 팔로알토네트웍스의 니케시 아로라는 플랫폼화 스토리에 구체적인 수치를 제시했다(사이버 시장 점유율이 2% 미만에서 89%로 상승, 시가총액 기준 아직 60%가 남아 있음). 한편 OAuth 토큰 유출 사건과 FortiBleed 취약점이 신원 거버넌스와 제로 트러스트에 대한 수요 창출을 톡톡히 해냈다.
Palo Alto Networks (PANW)
2026년 6월 23일 주간: 팔로알토 CEO, 플랫폼 점유율 확대 강조... OAuth 유출과 FortiBleed가 보안 수요 견인
한눈에 보기
- 팔로알토 CEO는 플랫폼화 스토리에 구체적인 수치를 제시했다. 사이버 시장 점유율이 "2% 미만"에서 "8% 혹은 9%"로 상승했으며, "즐길 수 있는 시가총액이 아직 60% 남아 있다"고 밝혔다. 이는 상한선이 아니라 성장 여력에 관한 주장이다.
- 도난당한 OAuth 토큰 단 하나가 Salesforce를 통해 Tanium, Huntress, Recorded Future 등을 조용히 뚫었다. 비밀번호도, MFA 프롬프트도 없었다. 비인간 신원(non-human identity)은 이제 취약한 급소가 되었으며, 에이전트의 확산으로 그 규모가 폭발적으로 커지고 있다.
- FortiBleed 사태로 약 74,000대의 Fortinet 기기 자격 증명이 노출됐다. 이는 인터넷에 노출된 전체 기기의 약 절반에 해당한다. "방화벽이 곧 부채"라는 해석은 FTNT에 악재이며, 제로 트러스트 진영에는 은근한 호재다.
이번 주 새 소식
아로라는 VC 팟캐스트라는 뜻밖의 자리에서 강세론자들에게 구체적인 숫자를 던졌다. 해리 스테빙스와의 대담에서 팔로알토네트웍스의 니케시 아로라는 통합(consolidation)을 지속 가능한 순풍으로 규정했다. "사람들은 4060개의 사이버보안 기업을 직접 관리할 수 없다는 걸 깨닫고 있습니다. 그래서 우리는 지난 2436개월간 이미 이 플랫폼화 흐름을 주도해 왔습니다." 그리고 결정적인 한마디가 이어졌다. 그가 취임했을 당시 팔로알토는 전체 사이버 매출 중 "2% 미만의 시장 점유율"이었지만 지금은 "8% 혹은 9%에 근접"했으며, "아직 시가총액의 60%가 남아 있다"는 것이다. 이는 경영진이 직접 나서서 플랫폼 영토 확장이 아직 초기 단계이지 후반부가 아니라고 말해주는 셈이다. 출처: The Twenty Minute VC (20VC) - 니케시 아로라, 프론티어 모델 문제를 논하다, 니케시 아로라, 팔로알토네트웍스 회장 겸 CEO (운영자).
에이전틱 보안이라는 쐐기는 이제 명시적인 제품 전략이 됐다. 아로라는 "6개월 전 에이전틱 AI 게이트웨이 기업을 인수했다"고 밝히며, 기업들이 에이전트화되면서 에이전트를 통제하고 보호하는 "유일한 방법"은 게이트웨이나 방화벽을 통해 "에이전트 트래픽을 집약하는 것"이라는 논리를 제시했다. 풀어 말하면, 다음 공격 표면은 에이전트이며, 네트워크 병목 지점을 장악한 기존 강자가 그 통행량을 계측하게 된다는 뜻이다. 이는 Okta의 비인간 신원 전략, CyberArk의 머신 아이덴티티 스토리와 정면으로 충돌할 수밖에 없다. 출처: The Twenty Minute VC (20VC) - 니케시 아로라, 니케시 아로라, 팔로알토네트웍스 CEO (운영자).
현재로서는 AI가 수요를 죽이는 게 아니라 촉진하고 있다. 아로라는 팔로알토가 자사 코드에 프론티어 모델을 돌려본 결과 "원래 5~6년 걸렸을 것을 6주 만에 발견했다"고 말했다. 다만 그 모델은 발견한 문제를 안전하게 고칠 수는 없으며, 이를 공격적으로 사용하면 "잘못되지 않은 부분의 30%를 패치하게 될 것"이라고 덧붙였다. 그의 결론은, AI가 "보안 실무자들에게 불을 지폈다"는 것, 즉 지출을 없애는 게 아니라 오히려 가속화하고 있다는 것이다. 출처: The Twenty Minute VC (20VC) - 니케시 아로라, 니케시 아로라, 팔로알토네트웍스 CEO (운영자).
도난당한 토큰이 새로운 형태의 유출이 되었고, 규모도 빠르게 커지고 있다. 시장 정보 플랫폼 Clue는 방치된 레거시 자격 증명을 통해 뚫렸다. 공격자들은 이를 통해 고객사의 Salesforce 조직과 연결된 OAuth 토큰을 탈취했고, Huntress, Recorded Future, Tanium, Gong 등의 피해자를 대상으로 "15분 만에 거의 1,000건의 쿼리"를 실행했다. "비밀번호도, MFA 프롬프트도 없었다." 진행자 데이비드 십리(David Shipley)는 이렇게 지적했다. "에이전틱 AI 덕분에 비인간 신원이 폭발적으로 늘고 있습니다... 비인간 신원을 단단히 잠그세요. 물론, 어떤 것들이 존재하는지 알고 있다는 전제 하에 말이죠." 이전 버전의 이 공격 캠페인은 Cloudflare, Google, 팔로알토네트웍스, Zscaler를 직접 강타한 바 있으며, 이번 사건의 사고 대응은 CrowdStrike가 맡았다. 신원 거버넌스에 대한 수요 논리가 구체적인 사례로 입증된 셈이다. 출처: Cybersecurity Today - 도난당한 OAuth 토큰, 보안 기업들을 강타하다, 데이비드 십리, 진행자 (평론가).
FortiBleed는 방화벽 벤더들의 악몽이다. 연구진이 약 74,000대의 Fortinet 기기 자격 증명을 발견한 뒤 CISA는 긴급 경고를 발령했다. 이는 "인터넷에 노출된 전체 Fortinet 기기의 약 절반"에 해당한다. 케빈 보몬트(Kevin Beaumont)는 데이터의 진위를 확인했으며("이 데이터는 진짜입니다"), SOC Radar는 30,000건 이상이 이미 표적을 상대로 테스트를 마친 검증된 작동 자격 증명이며, 초기 액세스 브로커의 재고 목록처럼 업종과 매출별로 정리되어 있었다고 밝혔다. 이는 경계형 어플라이언스에 반대하고 제로 트러스트를 지지하는 구조적 논거를 한층 강화한다. 출처: Cybersecurity Today - FortiBleed 긴급 사태: 74,000건의 Fortinet 로그인 정보 노출, 짐 러브(Jim Love), 진행자 (평론가), 마이크 스위니(Mike Sweeney), Silent Push (운영자) 참여.
강세론 대 약세론
강세론, AI는 보안 시장의 총유효시장(TAM)을 확대한다(더 넓어진 공격 표면, 더 많은 에이전트, 검사해야 할 더 많은 데이터). 그리고 자동화는 통합된 데이터를 기반으로 규모의 경제가 갖춰져야만 성과를 내기 때문에, 플랫폼 리더의 지위를 더욱 공고히 한다. PANW, CRWD, ZS는 고객 지갑이 작아지는 게 아니라 커진다.
약세론, AI 네이티브 신생 기업들과 무료/번들 형태의 하이퍼스케일러 도구들이 좌석당 과금 경제 모델을 무너뜨리고 있다. 에이전틱 SOC와 마이크로소프트 E5 번들이 업무의 80%를 처리해준다면, 굳이 엔드포인트당 X달러를 지불할 이유가 있을까? 예산 통합은 새로운 스택이 아니라 레거시 스택부터 먼저 잘라낸다.
"스타트업 업계에만 (AI SOC 스타트업이) 54개가 넘고, AI SOC로 방향을 튼 기존 전통 플랫폼들은 아예 세지도 않았습니다." - 아크사 테일러(Aqsa Taylor), ExaForce 최고 보안 에반젤리스트, Cloud Security Podcast - AI SOC의 4대 기둥 (운영자).
이번 주 내 결론: 완만한 강세. 아로라의 발언과 OAuth/신원 관련 사건이라는 두 증거는 같은 방향을 가리킨다. 위협 표면은 예산이 줄어드는 속도보다 더 빠르게 넓어지고 있으며, 병목 지점(네트워크, 신원)은 데이터를 소유한 기존 강자들에게 유리하다. 그렇다, 이제 모든 벤더가 "AI SOC"를 내세운다. 그렇다고 54개, 아니 그 이상의 스타트업이 다 살아남을 리는 없다. 이 정도로 극심한 과밀 상태는 대개 통합으로 귀결되고, 그 통합은 결국 플랫폼 기업들을 살찌운다. 약세론이 완전히 죽은 것은 아니다. 아로라 본인도 인정했듯이("누군가 더 나은 쥐덫을 만들어낼 것") 그것은 아직 살아있지만, 주가가 시사하는 것보다 훨씬 긴 도화선을 갖고 있을 뿐이다.
주목할 종목
PANW, 강세: CEO가 8~9% 점유율을 초기 단계로 규정하며, 플랫폼화와 에이전틱 게이트웨이라는 옵션 가치를 강조. 약세: 모델이 6주 만에 자사 코드의 결함을 찾아낸다는 사실 자체가, 해자(moat)를 끊임없이 다시 파야 한다는 것을 보여준다. 관전 포인트: 다음 실적 발표에서 나올 모듈 부착률 관련 코멘트가 "시가총액의 60%가 남아 있다"는 프레이밍을 뒷받침하는지 여부.
CRWD, 강세: Clue/Salesforce 유출 사고에서 사고 대응 업체로 지목되며, 실제 위기 상황에서 선호 브랜드임을 입증. 약세: Falcon Flex나 신규 ARR에 대한 운영진의 새로운 언급은 없었음. 관전 포인트: 신원 관련 사고가 Falcon의 신원 보호 부착률을 끌어올리는지 여부.
ZS, 강세: FortiBleed는 제로 트러스트라는 핵심 메시지의 살아있는 광고판이 되었음. 약세: 이번 주 신규 ARR에 대한 새로운 운영진 코멘트 없음. 관전 포인트: 다음 업데이트에서 연방 부문 및 AI-SOC/Avalor 관련 성과.
OKTA, 강세: 비인간 신원 공격 표면이 이번 주 주류 이슈로 떠올랐고, 이는 정확히 Okta의 확장 내러티브와 맞아떨어짐. 약세: Auth0 교차 판매에 대한 운영진의 언급 없음. 수요는 코멘트가 아니라 유출 사고를 통해 드러나고 있음. 관전 포인트: 다음 실적 발표에서 에이전틱/비인간 신원 TAM에 대한 프레이밍.
FTNT, 강세: 대규모의 패치 완료된 설치 기반은 갱신 협상력을 의미. 약세: FortiBleed는 어플라이언스 모델에 부과되는 평판상의 세금이나 다름없음. 관전 포인트: 자격 증명 재설정 주기가 교체 촉매가 될지, 이탈 방아쇠가 될지.
파급 효과
SentinelOne (S), 이번 주 새로운 운영진 시그널 없음.
Fortinet (FTNT), 부정적: CISA에 따르면 약 74,000대 기기의 자격 증명이 노출(인터넷 노출 전체 기기의 약 절반), 어플라이언스 신뢰도에 계속 부담.
Cloudflare (NET), 이전 OAuth 캠페인의 피해자 명단에 포함됨. 보안 관련 벤더조차 공격 대상이 될 수 있다는 점을 상기시킴.
CyberArk (CYBR), 이번 주 직접 언급되지는 않았으나, OAuth/비인간 신원이라는 주제는 정확히 이 회사의 핵심 영역이며 긍정적 파급 효과.
하이퍼스케일러 (MSFT/GOOGL/AMZN), 번들링 압박은 여전히 이론상의 이야기에 머묾. "마이크로소프트 E5가 업무의 80%를 처리한다"는 주장이 화제가 되었으나, 실질적인 대체 사례에 대한 새로운 증거는 없었음.
지난주 대비 변화
이번이 첫 발행호이므로 비교할 지난주 자료가 없다. 기준선은 다음과 같이 설정됐다. 운영진의 어조(아로라를 통해 확인됨)는 통합에 대해 자신감 있는 강세 기조를 보이고 있으며, 실제 위협 배경(OAuth 토큰 탈취, FortiBleed)이 수요 창출 역할을 톡톡히 해내고 있다. AI-SOC 시장은 과밀 상태이며 아직 구조조정 이전 단계다. 앞으로 운영진의 발언, 신제품 출시, 시장 심리 변화를 지속적으로 추적할 예정이다.