솔라윈즈(SolarWinds)가 최근 사모펀드 턴/리버 캐피털(Turn/River Capital)에 44억 달러에 인수되는 현금 거래를 발표하면서 기업의 CISO들이 가장 원치 않는 상황이 왔다. 불확실성이 더 큰 불확실성으로 이어질 가능성이 높아진 것이다.

IDC의 보안 및 신뢰 연구 부문 부사장 프랭크 딕슨은 “보안 업체가 사모펀드에 인수될 때 축배를 들 일은 거의 없다. 대부분은 긍정적인 결과로 이어지지 않는다”라고 말했다.

딕슨은 성공적인 보안 업체가 되기 위한 핵심 요소로 일관된 경영, 일관된 실행, 일관된 비전 3가지를 꼽았다. 딕슨은 “변화는 좋은 결과를 가져오지 않는다. 그런데 사모펀드는 방향을 바꾸려는 성향이 강하다. 이는 일반적으로 고객에게 도움이 되지 않는다. 또한 사모펀드는 장기적인 관점에서 움직이지 않는다. 변화는 불확실성을 초래한다. 그로 인한 이익은 투자자들이 가져가지만, 그 대가를 치르는 것은 고객”이라고 지적했다.

딕슨에 따르면 문제의 핵심은 사모펀드의 운영 방식에 있다. “사모펀드가 보안 회사를 인수할 떄 전통적으로 추구하는 것은 ‘가치 극대화’다. 즉, 수익성 향상이다. 수익성을 높이는 것은 종종 비용 삭감이나 사업의 일부 분리를 의미한다. 이런 변화가 고객에게 긍정적인 영향을 미치는 경우는 극히 드문다”라고 덧붙였다.

솔라윈즈 인수 거래는 6월 30일까지 완료될 예정이다.

불확실성은 고객에게 좋지 않다

솔라윈즈는 보안 솔루션 분야에서 좋은 평가를 받아왔지만, 2020년 발생한 공급망 사이버 공격으로 인해 브랜드 신뢰도와 이미지에 지울 수 없는 타격을 입었다. 당시 해커들은 오리온(Orion) 플랫폼의 업데이트에 트로이 목마를 심어 악성코드를 배포했다.

브러시 사이버 컨설팅(Brush Cyber Consulting)을 운영하는 더글러스 브러시는 이번 인수로 인해 솔라윈즈를 사용하는 고객사는 어려운 결정을 내려야 하는 상황에 놓였다고 지적했다. 현재 솔라윈즈 홈페이지에 따르면 월마트, 아마존, 맥도날드, CVS 헬스, 모건 스탠리 등의 기업이 솔라윈즈 솔루션을 사용하고 있다.

브러시는 이런 불확실성으로 인해 일부 CISO는 솔라윈즈의 주요 경쟁사로 마이그레이션한다는 결정을 내릴 수 있지만, 그럴 가능성은 거의 없다고 말했다.

이유는 2가지다. 첫째, 마이그레이션 과정은 복잡하고 비용이 많이 드는 “거대한 리프트 앤 시프트(lift and shift)” 작업이다. 둘째, 경쟁 업체들 또한 인수될 수 있다는 현실적인 문제가 존재한다.

브러시는 “지금은 기다리는 것이 최선이다. 상황이 어떻게 전개되는지 지켜봐야 한다”라고 조언했다. 또한 솔라윈즈의 현 경영진에게 미래의 방향에 대해 물어보는 것도 하나의 방법이다. 다만 브러시는 이 질문 자체는 일종의 “시험”이라며, 기업 소유 구조가 변하는 상황에서 고위 경영진도 미래의 방향을 알지 못할 가능성이 크다고 말했다.

즉, 경영진이 “어떻게 될지 모르겠다”라고 답한다면 적어도 솔직한 반응을 보인 것이다. 브러시는 “이 질문을 던지는 목적은 단순히 답을 듣기 위한 것이 아니다. 그들이 어떻게 대답하는지를 보는 것이 더 중요하다”라고 덧붙였다.

우려되는 최악의 상황은?

브러시는 솔라윈즈와 턴/리버 캐피털의 향후 행보에 대해 최악의 시나리오를 우려하고 있다고 말했다. “회사를 갉아먹을 수 있다. 사모펀드가 이런 기업을 인수할 때 하는 전형적인 방식대로, 회사를 해체하고 개별 부문을 더 큰 기업에 매각할 것”이라고 전망했다.

이어 “사모펀드는 매출을 올릴 것이다. 그게 바로 그 이름에 걸맞은 일이다. 솔라윈즈를 완전히 팔아넘기지는 않기를 바라지만, 회사명에 리버(River)가 포함된 만큼 걱정스럽다”라고 말했다.

또 다른 우려는 사모펀드가 인수한 후 솔라윈즈의 재무 투명성이 낮아질 가능성이다. 브러시는 “상장된 보안 업체의 경우 CISO가 SEC 공시 자료를 검토해 업체의 생존 가능성과 향후 계획에 대한 단서를 찾을 수 있지만, 사모펀드가 운영하는 기업은 블랙박스와 같다”라고 언급했다.

악시오(Axio)의 수석 사이버보안 고문인 리처드 카랄리 역시 이번 거래가 완료될 경우 가장 큰 변화는 솔라윈즈가 공개 기업에서 비공개 기업으로 전환되는 점이라고 지적했다.

카랄리는 “솔라윈즈가 비공개 기업이 되면 SEC와 마주했던 문제 대부분이 사라질 것이다. 주주가 없다는 것은 외부 압력이 줄어든다는 의미며, 이는 특히 사이버보안 강화를 위한 노력이 약화돼 사용자에게 피해를 줄 가능성을 시사한다. 규제 기반의 공시 의무가 사라지면 고객에게 위협이 될 수 있는 새로운 보안 문제가 적시에 파악되거나 공유되지 않을 가능성이 있다. 사모펀드 투자자들이 성장과 기업 가치 상승에 초점을 맞출 경우, 보안 개선보다 비즈니스 확장에 우선순위가 쏠릴 위험이 크다”라고 설명했다.

카랄리는 앞으로 솔라윈즈 제품이 어떻게 변화하는지 면밀히 지켜보고 지속적으로 그 가치를 재평가해야 한다고 조언했다.

무어 인사이트 & 스트래티지(Moor Insights & Strategy)의 부사장 겸 수석 애널리스트인 윌 타운센드는 2020년 공급망 여파가 여전히 솔라윈즈를 따라다니고 있으며, 이번 인수 결정의 핵심 요인 중 하나일 가능성이 크다고 봤다.

타운센드는 사모펀드 거래를 통해 비공개 기업이 되는 것은 전혀 놀라운 일이 아니다고 말했다. X 게시글에서 “투자자와 고객에게 공급망 해킹 재발을 방지할 충분한 조치를 취했음을 납득시키지 못했다. 또한 솔라윈즈가 시장 전반에 신뢰를 회복하기 위해 ‘사과 투어(apology tour)’ 이상의 실질적인 조치를 취하지 않았다”라고 덧붙였다.

성급한 결정은 금물

IDC의 딕슨 역시 브러시와 마찬가지로 당장 결정을 내리기보다 상황을 지켜볼 것을 권했다. “사모펀드가 보안 회사를 인수할 때 가장 먼저 해야 할 일은 심호흡이다. 성급한 행동을 하는 것은 가장 피해야 할 일”이라고 말했다. 또한 대체 업체를 평가할 때는 단순한 초기 대응이 아닌, 전체적인 관점에서 신중하게 접근해야 한다고 강조했다.

이어 “도구 자체의 가치는 10%에 불과하다. 나머지 90%는 이를 둘러싼 사람과 프로세스에 있다. 시장에 어떤 대안이 있는지 살펴보고, 충분한 시간을 두고 평가하라. 그리고 6개월 후 다시 재검토하라. 단기적으로 갱신해야 하는 고객은 일단 갱신하되, 1년 이상의 장기 계약은 피하고 해지 조항에 집중하는 것이 좋다. 또한 2~4년 사이의 기간을 전략적으로 계획하라”라고 조언했다.

포레스터의 보안 및 위험 부문 수석 애널리스트 제스 번은 이번 인수가 CISO에게 어떤 의미가 있는지에 대한 질문에 짧고 단호하게 “별로 달라질 게 없다”라고 말했다.

번은 “솔라윈즈 해킹과 그로 인한 보안 침해 사건은 CISO에게 2가지 중요한 교훈을 남겼다”라고 말했다. 첫째는 기업 내부 및 서드파티와 포스파티(forth party) 업체에 대한 더욱 철저한 검토가 필요하다는 점, 둘째는 개인적인 법적 책임에 대한 경각심이다.

번은 “솔라윈즈 사건은 CISO들과 미국 CISA같은 정부 기관에 제품 보안의 중요성을 각인시키는 계기가 됐다. CISA는 2023년, 연이은 소프트웨어 공급망 침해 사고를 계기로 ‘설계상의 보안(Secure by Design)’ 이니셔티브를 출범했다. 서드파티 및 포스파티 위험 관리는 여전히 중요한 과제이지만, 이제 CISO들은 소프트웨어 업체나 매니지드 IT 서비스 업체 등의 파트너에게 무엇을 요구해야 하는지 더 잘 알고 있다”라고 덧붙였다.
dl-itworldkorea@foundryco.com